這個章節的重點在於資訊管理系統的實體環境的保護。

不是這種保護 XD
不過，比較常跟受稽方討論到乖乖到底能不能放機房？
其實乖乖不要破掉養老鼠咬電線或網路線就好 XD

A.11 實體及環境安全

A.11.1 保全區域

目標：防止組織資訊及資訊處理設施遭未經授權之實體存取、損害及干擾。

A.11.1.1 實體安全周界

應定義及使用安全周界，以保護收容敏感或重要資訊及資訊處理設施之區域。

• 有沒有實際的實體安全周界，如機房、倉庫是不是開放式，大家都能進出？
  曾經有遇過塑膠拉門，但後來加了實體鎖來限制進出範圍 (OK)

A.11.1.2 實體進入控制措施

保全區域應藉由適切之進入控制措施加以保護，以確保僅允許經授權人員進出。

• 實體區域的管理方式，如：刷卡門禁、指靜脈、人臉辨識、實體鎖等等，哪怕你在機房裡面設櫃檯，只要能控管門禁都可以。

A.11.1.3 保全之辦公室、房間及設施

應設計辦公室、房間及設施之實體安全並施行之。

• 機房的環境控管，是否有相應的保護機制，如：CCTV

A.11.1.4 防範外部及環境威脅

應設計並施行實體保護，以防範天然災害、惡意攻擊或事故。

• 天然災害：防颱機制(偵水)、水災、火災、消防。

A.11.1.5 於保全區域內工作

應設計並施行於保全區域內工作之程序。

• 在保全區域內工作，要遵循的事，如：IDC 機房控管、禁用攜帶裝置、手機禁止拍照、不可飲食……

A.11.1.6 交付及裝卸區

對諸如交付及裝卸區及其他未經授權人員可進入作業場所之進出點，應加以控制；若可能，應與資訊處理設施隔離，以避免未經授權之存取。

• 針對未經授權人員或是委外供應商進入實體安全周界的控管方式？
• 進一步確認委外的存取交付區，或是有設備的裝卸區。

A.11.2 設備

目標：防止資產之遺失、損害、遭竊或破解，並防止組織運作中斷。

A.11.2.1 設備安置及保護

應安置並保護設備，以降低來自環境之威脅及危害造成的風險，以及未經授權存取之機會。

• 設備要能放好且給予保護，如：機櫃、環控、上鎖

A.11.2.2 支援之公用服務事業

應保護設備免於電源失效，及因其他支援之公用服務事業失效，所導致之中斷。

• UPS、發電機、甚至市電力雙迴路
  這個會跟備援機制去一起驗證，如果驗證範圍有包含 A.17.2 多重備援：RTO、RPO 是否有滿足在時間內。
  

A.11.2.3 佈纜安全

應保護傳送資料或支援資訊服務之電源及電信佈纜，以防範竊聽、干擾或損害。

• 以設備經驗來看，如果你的線路是蜘蛛網，如果跳線太誇張，那八成如果有緊急情況，可能會難以處理。
  我有被機櫃的線絆倒過 Q Q

A.11.2.4 設備維護

應正確維護設備，以確保其持續之可用性及完整性。

• 抽驗設備維護記錄，如機房巡檢 或是 委外廠商的歷程記錄。
  首抽核心設備，再來常常被抽驗的是 UPS 的維護記錄。

A.11.2.5 資產之攜出

未經事前授權，不得將設備、資訊或軟體帶出場域外。

• 資產攜出管理之方式為何？
• 這裡要思考一下攜出的風險，如果將資產帶離場域，會不會有機敏資訊外洩或是遺失之可能？
  在機房通常會有自己的 Terminal Server 或 Console 筆電來管理控制機房中的電腦及伺服器，
  通常存取權限會全開，試想一下被攜出的風險？

A.11.2.6 場所外設備及資產之安全

安全應適用於場域外資產，並將於組織場所外工作之不同風險納入考量。

• 場外設備，一般企業不一定有，如果有放在場外，例如：放在客戶家的設備、放在公共區域的設備，要有安全的管理方式

A.11.2.7 設備汰除或再使用之保全

含有儲存媒體之所有設備組件，於汰除或再使用前應加以查證，以確保任何敏感性資料及有版權之軟體已被移除或安全地覆寫。

• 設備汰除或再使用要考量到其內的敏感資訊處理
  最常見就是離職時，抽驗移交的設備有沒有相關的版權問題 或是 相關機敏是否有格式化處理。

A.11.2.8 無人看管之使用者設備

使用者應確保無人看管之設備具適切保護。

• 無人看管設備、會議室電腦、下班後的個人電腦，保護的機制，如：下班後公司門會上鎖

A.11.2.9 桌面淨空及螢幕淨空政策

對紙本及可移除式儲存媒體應採用桌面淨空政策，且對資訊處理設施應採用螢幕淨空政策。

• 紙本機敏資訊隨意置放、USB 上鎖或加密、螢幕機櫃密碼小紙條記得都要避免

在菜稽的時期曾經因為遠端稽核時想請受稽方讓我確認是否機櫃上是否有小紙條，
然後真的很巧有看到 P@ssw0rd 的設定 …
受稽方說這是廠商的預設密碼，現在已經改囉，然後也有驗證了。
不過後續有被前輩提醒說：「不能以預設立場去稽核。」
因為預設立場會讓 【受稽方有不舒服的感受】：「你是不是在懷疑我？」
所以，在遠端稽核的時候可能還是要注意一下 【不要預設立場】 這件事情。

參考文獻

國家標準(CNS)網路服務系統：https://www.cnsonline.com.tw/

恐怖遊戲推薦：

小鎮驚魂 2 (DreadOut 2)

封印被打破，巨蛇布洛龍甦醒了。
見證琳達的旅程，尋找答案、救贖和接受她在阻止人類最大威脅方面所扮演的角色。 深入了解 DreadOut 領域中的第三人稱恐怖冒險。 再次從恐懼中倖存下來。

https://store.steampowered.com/app/945710/DreadOut_2/

玩法很像日系的零系列，場景做超大！超有趣！
可以蒐集成就跟到處拍照 XDDDD