林士峰

1. 設備應安置在適當的地點並予保護，以減少環境不安全引發的危險及減少未經授權存取系統的機會。
2. 設備安置應遵循的原則如下：
   
   1. 設備應儘量安置在可減少人員不必要經常進出的地方。處理機密性及敏感性資料的工作站，應放置在公會人員可以注意及照顧的地點。
   2. 需要特別保護的設備，應考量與一般的設備區隔，安置在獨立的區域。
   3. 應檢查及評估火災、煙、水、灰塵、震動、電力供應、電磁幅射等可能的風險。
   4. 電腦作業區應禁上飲用食物。
   5. 在特定的作業環境下，可考慮使用鍵盤保護膜。

1. 電腦設備之設置，應予保護，以防止斷電或其他電力不正常導致的傷害；電源供應依據製造廠商提供的規格設置。
2. 應考量安置預備電源，並使用不斷電系統。
3. 公會擬訂資訊安全事件緊急處理應變計畫，應將不斷電系統失效之後的應變措施納入；不斷電系統應依據製造廠商的建議，定期進行測試。
4. 應謹慎使用電源延長線，以免電力無法負荷導致火災等危害安全情事。

1. 電力及通信用的電纜線，應予適當的保護，以防止被破壞或是資料被截取。
2. 電力及通信纜線的保護原則如下：
   
   1. 連接資訊設施的電源及通信線路，應儘可能地下化；如果不能地下化，應採取足夠的替代保護措施。
   2. 應該考量保護網路通信線路的措施，以防止遭截取或是受到破壞。
   3. 對於特別敏感性或是特別重要的系統，應採取額外強化的安全措施。

1. 應妥善地維護設備，以確保設備的完整性及可以持續使用。
2. 設備維護的原則如下：
   
   1. 應依據設備供應商建議的維修服務期限及說明，進行設備維護。
   2. 設備的維護能由專責的維護人員執行。
   3. 應將所有的錯誤或是懷疑的錯誤，予以明確記載。

1. 實體環境的安全保護，應以事前劃定的各項周邊設施為基礎，並以設置必要的障礙（例如:使用身分識別卡之安全門），達成安全控管的目的。
2. 每項資訊設施的實體保護程度，以及實體障礙設置的位置，應依資訊資產及服務系統 的價值及安全的風險決定。
3. 實體環境的安全保護原則如下：
   
   1. 周圍設施的安全措施，應視擬保護的資訊資產或資訊服務系統的價值而定。
   2. 應明確界定有那些周邊設施，須列為安全管制的對象。
   3. 支援資訊作業的相關設施如影印機、傳真機等，應安置在適當的地點，以降低未經授權的人員進入管制區的風險，及減少敏感性資訊遭破解及洩漏的機會。
   4. 非經授權，公會內不得設置照像、錄音及錄影等設備。

1. 應考量採用辦公桌面的淨空政策，以減少文件及磁碟片等在辦公時間之外遭未被授權的人員取用、遺失或是被破壞的機會。
2. 應考量事項如下：
   
   1. 文件及磁碟片在不使用或是不上班時，應存放在櫃子內。
   2. 機密性及敏感性資訊，不使用或下班時應該上鎖，最好是放在防火櫃之內。
   3. 個人電腦及電腦終端機不再使用時，應以上鎖、通行碼或是其他控制措施保護。
   4. 應該考量保護一般郵件進出的地點，以及無人看管的傳真機。