理部门必须研究和确认使用这些工具的必要性。66工作人员保密协议公司所有人员必须在开始工作前，亲自签订计算机及信息系统保密协议。67知识产权权利尊重互联网上他人的知识产权。
3
f公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品，无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产，都是公司的专有资产。
7物理和环境安全策略计算机信息和其他用于存储、处理或传输信息的物理设施，例如硬件、磁介
质、电缆等，对于物理破坏来说是易受攻击的，同时也不可能完全消除这些风险。因此，应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。
71安全区域根据信息安全的分层管理，应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护，安全区域防护等级应当与安全区域内的信息安全等级一致，安全区域的访问权限应该被严格控制。72设备安全对支持涉密信息或关键业务过程（包括备份设备和存储过程）的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。包括：设备应该放置在合适的位置或加强保护，将被如水或火破坏、干扰或非
授权访问的风险降低到可接受的程度。对涉密信息或关键业务过程的设备应该进行保护，以免受电源故障或其
他电力异常的损害。对计算机和设备环境应该进行监控，必要的话要检查环境的影响因素，
如温度和湿度是否超过正常界限。对设备应该按照生产商的说明进行有序地维护。安全规程和控制措施应该覆盖该设备的安全性要求。设备包括存储介质在废弃使用之前，应该删除其上面的数据。73物理访问控制信息安全管理部门应建立访问控制程序，控制并限制所有对计算计及信息系统计算、存储和通讯系统设施的物理访问。应有合适的出入控制来保护安全场所，确保只允许授权的人员进入。必须仅限公司工作人员和技术维护人员访问公司办
4
f公场所、布线室、机房和计算基础设施。74建筑和环境的安全管理为确保计算机处理设施能正确的、连续的运行，应至少考虑及防范以下威胁：
偷窃、火灾、温度、湿度、水、电力供应中断、爆炸物、吸烟、灰尘、振动、化学影响等。
必须在安全区域建立环境状况监控机制，以监控厂商建议范围外的可能影响信息处理设施的环境状况。应在运营范围内安装自动灭火系统。定期测试、检查并维护环境监控警告机制，并至少每年操作一次灭火设备。
75r