信息安全之物理与环境安全四

设备、信息或软件在授权之前不应带出组织限定的安全边界或场所。如果根据实际工作需要必须外带设备，要设置设备移动的时间限制，并在返还时执行符合性核查；设备外带和返回时需要作相应记录以备核查。

应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险，例如失窃风险。组织外使用信息存储和处理设备需得到管理者的审批授权。这适用于该组织所拥有的设备，也同样适用与为了组织利益使用的私人设备。

设备处置或再利用前，应实施验证以确保是否包含存储介质，例如服务器中的硬盘、 打印机机中的缓存。如果包含敏感信息的设备再利用前，其中的存储介质应该在物理上予以摧毁，或者采用使原始信息不可获取的技术破坏、删除或多次写覆盖，而不能采用标准的删除或格式化功能。

对于无人值守的用户设备，应确保有适当的保护，例如视频监控、自动故障告警。所有用户应了解保护无人值守的设备的安全要求和规程，以及他们对实现这种保护所负有的职责。

制定保持办公桌面没有无关纸质资料和清空计算机屏幕上“桌面”文件策略能降低正常工作时间之中和之外对组织敏感信息的未授权访问、丢失、破坏的风险。应制定采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略，并由专门人员进行检查。清空桌面和清空屏幕策略宜考虑信息分类、法律和合同要求、相应的风险和组织的文化方面。