文档介绍:物理安全测评将通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为主机房与灾备机房。
在内容上,物理安全层面测评实施过程涉及10个测评单元,具体如表1所示:
表1物理安全单元测评实施内容
序号
测评范围
测评对象
测评项
1
物理位置的选择
物理安全负责人、机房和办公场地建筑验收报告
a) 机房和办公场地建筑是否具有防震、防风和防雨等能力
b) 机房场地是否避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁
2
物理访问控制
物理安全负责人,机房值守人员,机房,机房安全管理制度,值守记录,进入机房的登记记录,来访人员进入机房的审批记录
a) 检查机房安全管理制度,查看是否有关于机房出入方面的规定
b) 检查机房出入口是否有专人值守,是否有值守记录及人员进入机房的登记记录
c) 检查机房是否不存在专人值守外的其他出入口
d) 检查是否有来访人员进入机房的批准记录,查看审批记录是否包括来访人员的活动范围
e) 是否对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域
f)重要区域是否配置电子门禁系统,控制、鉴别和记录进入的人员。并且检查电子门禁系统是否有验收文档或产品安全认证资质
3
防盗窃和防破环
物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测试/验收报告
a) 检查关键设备放置位置是否做到安全可控;检查关键设备或设备的主要部件的固定情况,查看其是否不易被移动或被搬走,是否设置了明显的不易除去的标记;
b)通信线缆是否铺设在隐蔽处;
c) 检查机房安装的防盗报警设施是否正常运行,并查看是否有运行和报警记录;
d) 检查介质的管理情况,查看介质是否有正确的分类标示,是否存放在介质库或档案室内
e)应检查机房的摄像、传感等监控报警系统是否正常运行,并查看是否有运行记录、监控记录和报警记录。
f)应检查是否有机房防盗报警设施和监控报警设施的安全资质材料、安装测试、验收报告
4
防雷击
物理安全负责人,机房维护人员,机房设施(避雷装置,交流电源地线),建筑防雷设计/验收文档
a) 机房建筑是否设置避雷装置
b) 机房建筑是否设置交流电源地线
c)是否安装了防雷保安器,防止感应雷
5
防火
物理安全负责人,机房值守人员,机房设施,机房安全管理制度,机房防火设计/验收文档,火灾自动报警系统设计/验收文档
a) 是否设置灭火设备,灭火设备摆放位置是否合理,有效期是否合格;
b) 是否设置火灾自动报警系统,工作是否正常,查看是否有运行记录、报警记录、定期检查和维修记录
c)应检查是否采取区域隔离防火措施,将重要设备与其他设备隔离开
6
防水和防潮
物理安全负责人,机房维护人员,机房设施(上下水装置,除湿装置),建筑防水和防潮设计/验收文档
a) 检查穿过机房的管道是否配置套管,管道与套管间是否有可靠的密封措施
b) 检查机房是否出现过漏水、渗透和返潮现象,机房是否不存在明显的漏水和返潮威胁;如果出现漏水、渗透和返潮现象,是否能够及时修复解决
c) 检查是否有防止出现地下积水的转移与渗透措施,是否有防水防潮处理记录
d) 检查机房是否有湿度记录,是否有除湿装置并运行正常
e)检查是否安装了对水敏感的检测仪表或元件,对机房进行防水检测和报警,并且查看仪表和元件是否运行正常,是否有运行记录,是否有人负责其运行管理工作
7
防静电
物理安全负责人,机房维护人员,机房设施,防静电设计/验收文档
a) 检查是否采用必要的接地等防静电措施
b) 查看机房是否不存在明显的静电现象
c)检查机房是否采用了防静电地板
d)检查机房是否采用了防静电工作台、静电消除剂或静电消除器等防静电措施
8
温湿度控制
物理安全负责人,机房维护人员,机房设施,温湿度控制设计/验收文档,温湿度记录、运行记录和维护记录
a) 检查是否设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内
b) 检查温湿度自动调节设施是否运行正常,查看是否有温湿度记录、运行记录和维护记录
9
电力供应
物理安全负责人,机房维护人员,机房设施(供电线路,稳压器,过电压防护设备,短期备用电源设备),电力供应安全设计/验收文档,检查和维护记录
a) 是否设置稳压器和过电压防护设备
b) 是否提供短期的备用电力供应(如UPS设备),至少满足主要设备在断电情况下的正常运行要求
c) 是否设置了冗余或并行的电力电缆线路为计算机系统供电
d) 是否建立了备用供电系统
10
电磁防护
物理安全负责人,机房维护人员,机房设施,电磁防护设计