## ISO/IEC 27001:2022 foundation V - 附錄 A ### 7 Physical controls (14) 實體控制措施 #### 7.1 (A.11.1.1) 實體安全周界 - 控制措施：應定義及使用安全周界，以保護收容資訊及其他相關聯資產之區域。 - 目的：防止未經授權之實體進出、破壞及干擾組織的資訊與其他相關聯資產。 #### 7.2 (A.11.1.2, A.11.1.6) 實體進入 - 控制措施：保全區域應藉由適切之進入控制措施及進出點加以保護。 - 目的：確保僅有對組織之資訊及其他相關聯資產的經授權實體進出。 #### 7.3 (A.11.1.3) 保全辦公室、房間及設施 - 控制措施：應設計辦公室、房間及設施之實體安全並實作之。 - 目的：防止對辦公室、房間及設施中組織之資訊及其他相關資產的未經授權之實體存取、破壞及干擾。 #### 7.4 <font color='yellow'>(NEW)</font> 實體安全監視 - 控制措施：應持續監視場所，防止未經授權之實體進出。 - 目的：偵測並阻止未經授權之實體進出。 #### 7.5 (A.11.1.4) 防範實體及環境威脅 - 控制措施：應設計並實作防範實體及環境威脅(諸如天然災害及其他對基礎設施之蓄意或非蓄意的實體威脅)之措施。 - 目的：防止或降低源自實體及環境威脅之事件的後果。 #### 7.6 (A.11.1.5) 於安全區域內工作 - 控制措施：應設計並實作於安全區域內工作之安全措施。 - 目的：保護安全區域內之資訊及其他相關聯資產，免受於此等區域內工作的人員之損壞及未經授權的干擾。 #### 7.7 (A.11.2.9) 桌面淨空與螢幕淨空 - 控制措施： 應定義對紙本及可移除式儲存媒體之桌面淨空規則，以及對資訊處理設施的螢幕淨空規則，並適切實施之。PIMS 延伸要求 - A.11.2.9, 桌面淨空與螢幕淨空政策 - 目的：降低於正常工作時間內及外，桌面、螢幕及其他可存取位置上之資訊，遭受未經授權的存取、遺失及毀損之風險。 #### 7.8 (A.11.2.1) 設備安置及保護 - 控制措施：設備應安全安置並受保護。 - 目的：降低源自實體及環境之威脅的風險，以及未經授權存取及破壞之風險。 #### 7.9 (A.11.2.6) 場所外資產之安全 - 控制措施：應保護場域外資產。 - 目的：防止場域外裝置之遺失、損害、遭竊或危害，並防止組織運作中斷。 #### 7.10 (A.8.3.1, A.8.3.2, A.8.3.3, A.11.2.5) 儲存媒體 - 控制措施儲存媒體應依組織之分類分級方案及處置要求事項，於其獲取、使用、運送及汰除的整個 [ 生命週期 ] 內進行管理。PIMS 延伸要求 - A.8.3.1, 可移除式媒體之管理 A.8.3.2, 媒體之汰除 A.8.3.3, 實體媒體運送 - 目的：確保僅經授權之揭露、修改、刪除或銷毀儲存媒體上的資訊。 #### 7.11 (A.11.2.2) 支援之公用服務事業 - 控制措施：應保護資訊處理設施免於電源失效，以及因支援之公用服務事業失效，所導致的其他中斷。 - 目的：防止資訊及其他相關聯資產之遺失、破損或危害，或由於支援的公用服務事業之失效及中斷而中斷組織的運作。 #### 7.12 (A.11.2.3) 佈纜安全 - 控制措施：應保護傳送電源、資料或支援資訊服務之纜線，以防範竊聽、干擾或破壞。 - 目的：防止資訊及其他相關聯資產之遺失、破壞、遭竊或危害，並防止與電源及通訊佈纜相關的組織運作中斷。 #### 7.13 (A.11.2.4) 設備維護 - 控制措施：應正確維護設備，以確保資訊之可用性、完整性及機密性。 - 目的：防止資訊及其他相關聯資產之遺失、破壞、遭竊或危害，以及因缺乏維護而導致組織運營中斷。 #### 7.14 (A.11.2.7) 設備汰除或重新使用之保全 - 控制措施：應查證包含儲存媒體之設備項目，以確保於汰除或重新使用前，所有敏感性資料及具使用授權的軟體已移除或安全覆寫。PIMS 延伸要求 - A.11.2.7, 設備汰除或再使用之保全 - 目的：防止資訊由待汰除或重新使用之設備洩露。