用于存储、处理或传输信息的资产，例如硬件、磁介质、电缆等，应该放置于恰当的环境中并在物理上保护他们免受安全威胁和环境危害。通过识别和减小这些风险将其降低到可接受的水平。 

一、安全域

应将支持关键或敏感业务活动的信息技术设备放置在安全域中。 

1.安全域应当考虑物理安全边界控制，安全域防护等级应当与安全域内的信息资产安全等级一致。 

2.安全域应该有适当的进出控制措施保护。 

3.安全域的访问权限应该被严格控制。 

4.要保护信息机密性或关键信息不受非授权访问，防止信息由于灾难事件带来的损伤或破坏；在非正常工作时间这些信息应该是不可见和不可访问的。 

5.资产的销毁应该通过管理手段适当地授权。 

二、设备安全

对支持关键或敏感业务过程（包括备份设备和存储过程）的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。 

1.设备应该放置在合适的位置或加强保护，将被如水或火破坏、干扰或非授权访问的风险降低到可接受的程度。 

2.对支持关键业务过程的设备应该进行保护，以免受电源故障或其他电力异常的损害。 

3.对计算机和设备环境应该进行监控，必要的话要检查环境的影响因素如温度和湿度是否超过正常界限。 

4.对通讯和电力线应该保护，以防被侦听和中断。 

5.对设备应该按照生产商的说明进行有序地维护。 

6.安全规程和控制措施应该覆盖设备的安全性要求。 

7.设备包括存储介质在废弃使用之前，应该删除其上面的数据。 

三、物理访问控制

1.建立访问控制机制，控制并限制所有对信息系统计算、存储和通讯系统设施的物理访问。 

2.应有合适的出入控制来保护安全场所，确保只允许授权的人员进入。 

3.必须仅限相关人员访问(系统办公场所、布线室、机房和计算基础设施。 

4.对所有进入系统的访客都应有访客登记，至少包含以下信息： 

1)姓名 

3)他们所在的机构 

3)接待他们的系统工作人员 

4)进入和离开的日期和时间 

5)接待人员签名 

5.在进入系统信息设施之前要逐项列出所携带的信息存储媒体和处理设备，并在离开时确认。 

四、建筑和环境安全管理

1.为了确保计算机处理设施能正确的、连续的运行，应至少考虑及防范以下威胁： 

1)偷窃 

2)火灾 

3)温度 

4)湿度 

5)水 

6)电力供应中断 

7)爆炸物 

8)吸烟 

9)灰尘 

10)振动 

11)化学影响 

2.必须建立环境状况监控机制，以监控厂商建议范围外的可能影响信息处理设施的环境状况。 

3.应在运营范围内安装自动灭火系统。 

4.定期测试、检查并维护环境监控警告机制，并至少每年组织员工操作一次灭火设备。 

五、数据中心访问记录管理

1.交接班领导应每日检查物理访问记录本，以确保正确使用了这项控制。 

2.物理访问记录应至少保留12个月，以便协助事件调查。 

3.应经信息安全管理层批准后才可以处置记录，并应用碎纸机处理。