Security IBM Cloud data center | Bảo vệ thiết bị vật lý, địa điểm và kỹ thuật bảo mật nền tảng


Một thành phần quan trọng của bảo mật cho một hệ thống CNTT là bảo mật của cơ sở hạ tầng vật chất và các cơ sở chứa hệ thống. Trong trường hợp điện toán đám mây, điều này mở rộng đến cơ sở hạ tầng và cơ sở của nhà cung cấp dịch vụ đám mây. Các kiểm soát bảo mật vật lý phù hợp được áp dụng cho IBM® Cloud. Bài viết này cung cấp tổng quan về bảo mật vật lý được tích hợp trong các giải pháp Đám mây của IBM.

Mọi khía cạnh của trung tâm dữ liệu Đám mây của IBM, từ vị trí và khả năng truy cập đến mật độ năng lượng và dự phòng, được thiết kế để đảm bảo tính bảo mật, khả năng phục hồi và hiệu quả của nó. Thiết kế này cho phép nhân viên IBM và khách hàng của IBM lưu trữ khối lượng công việc kinh doanh, bao gồm cả khối lượng công việc nhạy cảm và được quy định, biết rằng môi trường vật lý được quản lý theo thỏa thuận mức dịch vụ khả dụng 100% (SLA) và được kiểm toán theo các tiêu chuẩn này thông qua nhiều cuộc kiểm toán độc lập của bên thứ ba của IBM Cloud .

Đánh giá và đánh giá bảo mật của bên thứ ba
Đám mây của IBM phải chịu nhiều cuộc kiểm toán độc lập của bên thứ ba khác nhau, bao gồm SOC1 và SOC2, ISO27001 và PCI DSS v3.1. Mỗi kiểm toán này bao gồm Hệ thống quản lý cơ sở hạ tầng đám mây của IBM (IMS), môi trường quản lý từ và tất cả các trung tâm dữ liệu vận hành. Nếu một trung tâm dữ liệu được đưa trực tuyến trong chu kỳ đánh giá kiểm toán hoặc nếu nó không hoạt động đủ lâu để được đưa vào một chu kỳ nhất định, thì nó sẽ được bao gồm trong chu kỳ và kiểm toán "có sẵn" tiếp theo.

Ví dụ: một trung tâm dữ liệu đã hoạt động dưới sáu tháng không đủ điều kiện để được đưa vào kiểm toán SOC1 hoặc SOC2. Trung tâm dữ liệu đó được bao gồm trong lần kiểm toán khả dụng tiếp theo, có thể là kiểm toán PCI hoặc kiểm toán ISO 27001. Vì vậy, mặc dù có thể mất cả năm để một trung tâm dữ liệu được đưa vào bất kỳ cuộc kiểm toán cụ thể nào, nhưng thông thường sẽ mất ít hơn nhiều so với trung tâm dữ liệu để được đưa vào một trong các cuộc kiểm toán độc lập của bên thứ ba của IBM Cloud.

Báo cáo kiểm toán có sẵn cho các khách hàng của IBM Cloud theo yêu cầu. Một danh sách tất cả các thành tựu tuân thủ Đám mây của IBM có sẵn khi tuân thủ trên Đám mây của IBM. Bạn có thể tải xuống các báo cáo và chứng nhận "công khai" từ trang web này, bao gồm chứng chỉ ISO 27001: 2013, chứng chỉ ISO 27017: 2014, chứng chỉ ISO 27018: 2015 và báo cáo SOC3.

Cơ sở hạ tầng vật chất và bảo mật cơ sở cho IBM Cloud
Vì bảo mật vật lý trong IBM Cloud phụ thuộc vào cơ sở hạ tầng bên dưới, bạn cần hiểu cách IBM triển khai bảo mật vật lý và môi trường tại tất cả các trung tâm dữ liệu của IBM Cloud.

An ninh vật lý cho chu vi
Tất cả các trung tâm dữ liệu có nhiều lớp bảo mật vật lý, bắt đầu bằng các điều khiển truy cập tại vành đai cơ sở làm việc bên trong tòa nhà trung tâm dữ liệu, sảnh tòa nhà, bên trong tòa nhà và các phòng được kiểm soát trong tòa nhà của trung tâm dữ liệu. Các phòng được kiểm soát này bao gồm các phòng máy chủ sàn nâng, tủ mạng, thiết bị điện và phòng tiện ích và khu vực tổ chức Đám mây của IBM.

Ngoại thất của các tòa nhà được giữ không bị phát triển và được chiếu sáng đầy đủ. Các cửa như lối thoát hiểm không có tay cầm bên ngoài hoặc bản lề tiếp xúc và được giám sát bởi camera quan sát. Các trung tâm dữ liệu của IBM Cloud không có cửa sổ bên ngoài hoặc cửa sổ đến các khu vực được bảo mật trong trung tâm dữ liệu. Nhật ký camera quan sát được lưu giữ ít nhất 90 ngày.

Nhân viên bảo vệ thực hiện các bước đi thường xuyên của các phòng bên trong và xây dựng bên ngoài và tiến hành kiểm tra để đảm bảo rằng các cửa ra vào khu vực an ninh được bảo mật và khóa.

Kiểm soát nhập vật lý
Nhập cảnh vào tất cả các cơ sở của IBM yêu cầu xác thực bằng huy hiệu lân cận hoặc huy hiệu sọc từ. Truy cập vào các trung tâm dữ liệu được ghi lại trên camera quan sát và được giám sát bởi nhân viên bảo vệ của cơ sở. Nếu một nhân viên quên hoặc mất một huy hiệu, nhân viên đó sẽ được cấp một huy hiệu truy cập tạm thời có hiệu lực trong một ngày, nhưng chỉ sau khi việc làm tiếp tục của họ được xác nhận.

Mỗi trung tâm dữ liệu có ít nhất một điểm vào bảo mật luôn có nhân viên và có thể bao gồm một hoặc nhiều cách truy cập được kiểm soát truy cập được giám sát bởi CCTV. Mỗi khu vực được kiểm soát yêu cầu xác thực dựa trên đầu đọc huy hiệu ít nhất. Các khu vực nhạy cảm như phòng máy chủ, tủ mạng và tủ tiện ích yêu cầu xác thực huy hiệu và sinh trắc học. Các nỗ lực truy cập được ghi lại và nhật ký được giữ lại trong ít nhất một năm dương lịch. Lặp đi lặp lại các lần truy cập thất bại kích hoạt một cảnh báo cho các nhân viên bảo vệ.

Truy cập vào trung tâm dữ liệu không đến lượt nó trao quyền truy cập vào các phòng được bảo mật trong trung tâm dữ liệu. Ví dụ, quyền truy cập của nhân viên dựa trên vai trò công việc, để các kỹ thuật viên máy chủ không có quyền truy cập vào tủ mạng và chỉ nhân viên của cơ sở được đào tạo mới có quyền truy cập vào các phòng chấm dứt cấp điện.

Khách truy cập, chẳng hạn như kiểm toán viên, phải được chấp thuận trước và phải cung cấp ID do chính phủ cấp khi vào cửa. Khách truy cập chỉ có thể nhập thông qua các điểm nhập cảnh an ninh nhân viên. Khách truy cập được cung cấp một huy hiệu cho mục đích nhận dạng; huy hiệu này xác định người đeo luôn yêu cầu hộ tống và không trao quyền truy cập vào bất kỳ khu vực an toàn nào trong trung tâm dữ liệu. Nhật ký truy cập của khách truy cập được giữ lại ở dạng giấy và điện tử trong ít nhất một năm dương lịch.

Bảo vệ văn phòng, phòng, và các cơ sở
Trong mỗi trung tâm dữ liệu, tất cả các khu vực văn phòng và phòng được bảo vệ bằng quyền truy cập huy hiệu. Xác thực dựa trên sinh trắc học bổ sung là cần thiết cho các khu vực được bảo mật như phòng máy chủ, tủ mạng và tủ tiện ích. Tất cả các nỗ lực truy cập được ghi lại và xem xét. Bất kỳ nỗ lực truy cập không thành công lặp đi lặp lại đối với cửa bên trong hoặc bên ngoài đều gây ra cảnh báo cho các nhân viên bảo vệ vật lý. Camera quan sát tập trung vào các khu vực này và lính canh điều tra "trực tiếp".

Phòng bảo đảm không có cửa sổ hướng ra bên ngoài hoặc cửa ra vào. Cửa ra vào được giám sát bởi camera quan sát để nhân viên bảo vệ có thể theo dõi và điều tra mọi hành vi đáng ngờ.

Trong phòng máy chủ được nâng lên, việc xây dựng chu vi là "sàn để sàn" khiến cho không thể truy cập thông qua các tầng được nâng lên hoặc trần nhà bị rơi. Gạch lát sàn nâng được kiểm tra như một phần của các bước đi thường xuyên.

Bảo vệ chống lại các mối đe dọa từ bên ngoài và môi trường
Các mối đe dọa bên ngoài và môi trường có thể tác động đến "sơn", "sức mạnh" hoặc "đường ống" của trung tâm dữ liệu. "Sơn" dùng để chỉ tòa nhà và cơ sở, "sức mạnh" dùng để chỉ các hệ thống tiện ích và "đường ống" dùng để chỉ kết nối mạng.

Sơn và điện (tòa nhà, tiện ích)
Các trung tâm dữ liệu của IBM Cloud được xây dựng để chống lại các mối đe dọa về môi trường và không được đặt tại các vùng đồng bằng ngập lụt. Các trung tâm dữ liệu như Tokyo TOK01 được xây dựng theo cấu trúc chống động đất.

Tất cả các trung tâm dữ liệu Đám mây của IBM đều duy trì nhiều nguồn cấp điện từ các nhà cung cấp tiện ích độc lập, với các máy phát chuyên dụng trong cấu hình N + 1 với pin dự phòng Nguồn cung cấp điện liên tục (UPS). Trong phòng máy chủ sàn nâng, Bộ phân phối điện (PDU) đảm bảo phân phối điện liên tục cho mỗi hàng. IBM Cloud có công suất diesel để đảm bảo nguồn điện dự phòng ít nhất 24 giờ có các điều khoản tiếp nhiên liệu từ nhiều nhà cung cấp tại chỗ.

Các hệ thống dự phòng và dự phòng được kiểm tra một cách thường xuyên, bao gồm các thử nghiệm máy phát hàng tháng để đảm bảo cuộn qua thích hợp trên các máy phát dự phòng. Bảo trì được thực hiện đối với các thành phần này theo thông số kỹ thuật của nhà sản xuất.

Cơ chế sưởi ấm và làm mát (HVAC), chẳng hạn như các đơn vị CRAC, CRAH, xử lý không khí và thiết bị làm lạnh quản lý nhiệt độ và độ ẩm cho cơ sở. Cấu hình hàng nóng lạnh độc đáo của IBM Cloud cho phép chúng tôi điều hành các trung tâm dữ liệu của mình một cách hiệu quả, được giám sát liên tục bởi Hệ thống quản lý tòa nhà địa phương (BMS) và kiểm tra và kiểm tra thường xuyên.

Tất cả các cơ sở được bảo vệ bởi hệ thống báo động phát hiện khói và lửa và hệ thống chữa cháy. Hệ thống chữa cháy bao gồm cả bình chữa cháy và hệ thống phun nước trước hành động và được kiểm tra thường xuyên.

Cuộc tập trận hỏa hoạn thường xuyên được tiến hành, bao gồm cả cuộc tập trận "công bố" và "không báo trước". Các cá nhân được yêu cầu rời khỏi tòa nhà, làm theo chỉ dẫn của đội trưởng đội cứu hỏa được chỉ định và điểm hẹn tại các địa điểm họp được công bố.

Mạng (đường ống)
Kết nối mạng từ các nhà cung cấp "Điểm hiện diện" (POP) của mạng bên ngoài bao gồm nhiều cáp mạng quang dự phòng, vật lý dự phòng. Nếu bất kỳ cáp nào trong số này bị hỏng, các cáp còn lại sẽ mang lưu lượng mạng cho đến khi có thể thiết lập kết nối quang mới. Biện pháp tạm thời này có thể dẫn đến hiệu suất bị suy giảm nhưng không dẫn đến việc một trung tâm dữ liệu bị cắt khỏi phần còn lại của cơ sở hạ tầng.

Các điều khiển này cho phép IBM Cloud quản lý và khẳng định SLA khả dụng 100% cho IBM Cloud IaaS.

Làm việc trong khu vực an toàn
Tất cả các cơ sở của IBM, bao gồm các tòa nhà văn phòng công ty và trung tâm dữ liệu, tuân theo các chính sách và quy trình bảo mật vật lý để đảm bảo an toàn và bảo mật cho từng nhân viên. Các chính sách này bao gồm hạn chế quyền truy cập vào các tòa nhà dựa trên vai trò công việc và tiếp tục theo dõi môi trường vật lý bên trong và bên ngoài để tìm kiếm các mối đe dọa và bất thường.

Tất cả các trang web của IBM, cả trung tâm dữ liệu và trang web văn phòng, đều có nhân viên bảo vệ vật lý. Nhân viên bảo vệ thực hiện các bước đi bộ thường xuyên của cơ sở, nhà để xe và các khu vực khác. Nhân viên bảo vệ sẵn sàng hộ tống nhân viên đến xe của họ sau nhiều giờ và trả lời số điện thoại khẩn cấp 24 giờ của IBM.

Khu vực giao hàng và bốc xếp
Các khu vực nơi người trái phép có thể vào cơ sở, chẳng hạn như khu vực giao hàng và bốc hàng, được kiểm soát. Các lô hàng được sắp xếp trước và yêu cầu ủy quyền để truy cập vào chu vi cơ sở trung tâm dữ liệu.

Thiết bị bảo vệ
Các trung tâm dữ liệu của IBM Cloud được thiết kế để bảo vệ thiết bị và các tiện ích hỗ trợ.

Thiết bị định vị và bảo vệ
Các trung tâm dữ liệu của IBM Cloud được xây dựng để chống lại các mối đe dọa về môi trường và không được đặt tại các vùng đồng bằng ngập lụt. Các trung tâm dữ liệu như Tokyo TOK01 được xây dựng theo cấu trúc chống động đất. Trong trung tâm dữ liệu, thiết bị tiện ích được đặt trong các khu vực dành riêng, bảo mật, chỉ dành cho những người có vai trò công việc phù hợp. Do đó, một kỹ thuật viên phòng máy chủ không có quyền truy cập vào trang trại bể chứa diesel hoặc các phòng máy phát điện.

Máy chủ được lưu trữ trong các phòng máy chủ riêng biệt, được nâng lên, yêu cầu xác thực dựa trên huy hiệu và sinh trắc học và phải tuân theo cả ghi nhật ký truy cập và giám sát và ghi hình camera quan sát. Trong phòng máy chủ, các máy chủ được đánh dấu bằng mã vạch và không có bất kỳ thông tin nhận dạng khách hàng nào.

Hỗ trợ tiện ích
Tất cả các trung tâm dữ liệu Đám mây của IBM đều duy trì nhiều nguồn cấp điện từ các nhà cung cấp tiện ích độc lập để bảo vệ khỏi các lỗi từ bất kỳ một nhà cung cấp nào. Cấu hình N + 1 của các máy phát chuyên dụng có nghĩa là có ít nhất một máy phát dự phòng độc lập cho khả năng phục hồi của các bản sao lưu. Các hệ thống cung cấp điện liên tục (UPS) đảm bảo cung cấp điện liên tục cho trung tâm dữ liệu nếu nguồn cấp dữ liệu tiện ích độc lập bị gián đoạn cho đến khi các máy phát dự phòng được đưa trực tuyến hoàn toàn. Trong phòng máy chủ sàn nâng, Bộ phân phối điện (PDU) đảm bảo phân phối điện liên tục cho mỗi hàng.

IBM Cloud có công suất diesel để đảm bảo nguồn điện dự phòng ít nhất 24 giờ với các hợp đồng ưu tiên để tiếp nhiên liệu từ nhiều nhà cung cấp. Sự sắp xếp này đảm bảo rằng trong trường hợp mất điện kéo dài, động cơ diesel được cung cấp liên tục.

Cơ chế làm nóng và làm mát (HVAC) cũng được duy trì trong cấu hình N + 1 để đảm bảo sưởi ấm và làm mát độc lập cho cơ sở trung tâm dữ liệu.

Một thông tin bên lề thú vị, khi trò chơi vô địch SuperBowl của Liên đoàn bóng đá quốc gia (NFL) được chơi ở Dallas, IBM Cloud đã đưa tất cả các trung tâm dữ liệu của mình "ra khỏi lưới điện" và chạy diesel trong ba ngày, để giảm tải cho tổng thể Mạng lưới tiện ích Dallas Metroplex. Đây không chỉ là điều đúng đắn đối với cư dân khu vực Dallas, nó còn cho phép IBM thử nghiệm và xác nhận quy trình phân phối động cơ diesel bao gồm cả tiếp nhiên liệu khẩn cấp.

Bảo mật cáp
Các điểm chấm dứt mạng, tại cả Điểm chấm dứt hiện diện và điểm trung tâm dữ liệu của IBM, được đặt tại các khu vực được bảo mật. Các khu vực bảo mật huy hiệu và sinh trắc học này chỉ có thể được truy cập bởi những kỹ sư mạng có vai trò công việc phù hợp và được ghi lại và theo dõi.

Bảo trì thiết bị
Các trung tâm dữ liệu của IBM Cloud kiểm tra, thử nghiệm và bảo trì các thiết bị và cơ sở hạ tầng tiện ích và đảm bảo xử lý an toàn hoặc tái sử dụng thiết bị.

Thiết bị tiện ích
Tất cả các thiết bị cơ sở hạ tầng thường xuyên được kiểm tra, thường là một phần của các hướng dẫn hàng ngày, và thường xuyên được kiểm tra và bảo trì theo thông số kỹ thuật của nhà sản xuất. Thiết bị sưởi ấm, làm mát và tiện ích được quản lý bởi nhân viên nhà cung cấp trung tâm dữ liệu được đào tạo, với cùng mức độ kiểm soát truy cập như tất cả các nhân viên hỗ trợ của trung tâm dữ liệu khác. Kiểm tra, bảo trì và các lỗi đáng ngờ hoặc thực tế được ghi lại và duy trì bởi nhà cung cấp trung tâm dữ liệu. Nếu một nhà cung cấp phải được đưa vào để bảo trì cụ thể, chẳng hạn như bảo trì cho trang trại máy phát N + 1, quyền truy cập này được phê duyệt trước và được giám sát.

Cơ sở hạ tầng (máy chủ, thiết bị)
Các phòng máy chủ được duy trì nhiệt độ và độ ẩm không đổi để đảm bảo môi trường hoạt động cho các máy chủ và thiết bị như bộ định tuyến và chuyển mạch. Nếu bảo trì vật lý là bắt buộc đối với máy chủ kim loại trần của khách hàng, chẳng hạn như thêm dung lượng ổ cứng bổ sung hoặc thêm GPU, việc bảo trì chỉ được thực hiện để đáp ứng yêu cầu bằng văn bản và được khách hàng chấp thuận. Hộp thoại yêu cầu và phê duyệt giữa IBM và khách hàng được ghi lại trong một vé dịch vụ IBM Cloud mà khách hàng có thể tải xuống để nhập vào các công cụ quản lý dịch vụ của khách hàng theo yêu cầu.

Xóa tài sản
Các tài sản cơ sở hạ tầng hỗ trợ dịch vụ IaaS không bị xóa khỏi cơ sở. Đám mây của IBM không hỗ trợ lưu trữ tài sản ngoài trang web, chẳng hạn như băng hoặc bản sao lưu đĩa. Tất cả các tài sản được giữ tại chỗ và chỉ được gỡ bỏ khi chúng hết hạn sử dụng và phải tuân theo các quy trình thanh lọc NIST 800-88 thích hợp.

Trong một số trường hợp, IBM có thể di chuyển khoảng không quảng cáo giữa các trung tâm dữ liệu, nhưng chỉ khi hàng tồn kho chưa bao giờ được sử dụng hoặc phải chịu sự thanh lọc của tất cả dữ liệu. IBM không di chuyển các máy chủ chứa dữ liệu khách hàng, có hoặc không có sự cho phép của khách hàng.

Xử lý an toàn hoặc tái sử dụng thiết bị
Khách hàng có trách nhiệm chính trong việc xóa bất kỳ dữ liệu nào trước khi hủy cung cấp máy chủ hoặc dịch vụ theo yêu cầu của IBM Cloud. IBM đảm bảo rằng các máy chủ và dịch vụ phải chịu ít nhất một lần "làm sạch" tuân thủ NIST 800-88 nếu không phải là một cuộc thanh trừng về việc cung cấp lại.

Các máy chủ kim loại phải chịu sự thanh lọc dựa trên việc cung cấp lại NIST 800-88, bao gồm xóa sạch các ổ đĩa cứng, flash BIOS và xóa TPM cho một máy chủ được đặt hàng với IntelTxT. Chính sách này đảm bảo rằng máy chủ đã sẵn sàng cho khách hàng tiếp theo.

Khi một máy chủ hoặc ổ cứng bị xóa khỏi dịch vụ, nó phải tuân theo quy trình thanh lọc tương tự. Ổ đĩa cứng được nghiền cục bộ và sau đó được gửi ra khỏi trang web bằng chuyển phát nhanh an toàn để phá hủy được chứng nhận.

An ninh nguồn nhân lực
Các biện pháp kiểm soát phù hợp được áp dụng cho tất cả các nhân viên, bao gồm cả nhân viên tạm thời và nhân viên hợp đồng, làm việc tại các cơ sở có liên quan đến Đám mây của IBM. Nhân viên tạm thời và hợp đồng không có quyền truy cập vào các trung tâm dữ liệu Đám mây của IBM.

Lên tàu
Khi một nhân viên chấp nhận lời đề nghị làm việc tại IBM, anh ta hoặc cô ta phải trải qua kiểm tra lý lịch và đồng ý với các điều khoản tuyển dụng của IBM.

IBM không yêu cầu nhân viên ký thỏa thuận cho một khách hàng cụ thể. Nhân viên của IBM bị ràng buộc với các điều khoản của họ cho tất cả các khách hàng.

Một bộ tiêu chuẩn xác minh trước khi tuyển dụng được thực hiện và kiểm soát bởi HR cho tất cả nhân viên mới và các nhà thầu độc lập.

Các sai lệch so với tiêu chuẩn được xem xét kỹ lưỡng bởi HR trên cơ sở từng trường hợp. Hướng dẫn nhân sự được tuân theo để đảm bảo rằng trình độ phù hợp cho việc làm được đáp ứng. Chính sách tuyển dụng đòi hỏi trình độ học vấn và kinh nghiệm tối thiểu, hoàn thành tất cả các mẫu đơn, tài liệu tham khảo, kiểm tra lý lịch và hồ sơ tội phạm và thực hiện các tuyên bố bảo mật.

Tất cả các ứng viên tuyển dụng mới được yêu cầu phải hoàn thành một mẫu đơn xin việc. Xác minh đủ điều kiện tuyển dụng được hoàn thành bởi HR cho tất cả nhân viên mới. Một số vị trí yêu cầu thử nghiệm trước khi tuyển dụng. IBM có quyền từ bỏ quy trình đăng ký và kiểm tra lý lịch đối với bất kỳ ứng cử viên nào được tuyển dụng ở cấp giám đốc trở lên. Sau khi tuyển dụng thành công một ứng viên, Mẫu thuê mới được hoàn thành và ban quản lý phê duyệt việc làm.

Tất cả nhân viên được yêu cầu ký một chính sách bảo mật thông tin. Chính sách bảo mật thông tin chứa thông tin liên quan đến thực tiễn bảo mật logic, vật lý và môi trường và chính sách bảo vệ thông tin bí mật của khách hàng. Nhân viên được yêu cầu ký xác nhận xác nhận sự hiểu biết của họ về sổ tay nhân viên, bao gồm các bản cập nhật, vai trò và trách nhiệm của họ được mô tả trong sổ tay.

Ngoài ra, tất cả các nhân viên mới được yêu cầu ký một thỏa thuận bảo mật / không tiết lộ.

Đào tạo
IBM có một chương trình đào tạo bảo mật mở rộng và thông tin được truyền đạt thường xuyên tới nhân viên và nhà thầu. Mỗi nhân viên được yêu cầu chứng nhận lại đào tạo an ninh của mình hàng năm.

Tất cả nhân viên của IBM đều được đào tạo nâng cao nhận thức bảo mật hàng năm, bất kể vai trò nào. Đào tạo bổ sung được cung cấp theo yêu cầu dựa trên vai trò.

Quá trình thoát và chấm dứt
Nếu một nhân viên nghỉ việc hoặc bị chấm dứt, Danh sách kiểm tra chấm dứt nhân sự của IBM sẽ được theo dõi. Điều này bao gồm việc hủy kích hoạt ID người dùng trong Danh mục doanh nghiệp của IBM và xóa tất cả các đặc quyền và bộ sưu tập huy hiệu, máy tính và bất kỳ tài sản nào do IBM cấp.

IBM tài liệu chính sách để quản lý đặc quyền người dùng, bao gồm thay đổi vai trò và chấm dứt. Các chi tiết chính sách không được chia sẻ bên ngoài. Nói chung, quyền truy cập mạng và cơ sở dữ liệu bị thu hồi bởi Phòng CNTT và quyền truy cập cơ sở bị thu hồi bởi Phòng Hoạt động và Cơ sở.

Truy cập vật lý và logic cho nhân viên bị chấm dứt được thu hồi một cách kịp thời.