2-SGISLOP-SA02-10 物理安全等级保护测评作业指导书(三级)

信息安全等级保护测评作业指导书物理安全（三级）版号：第2版修改次数：第0次生效日期：2010年01月06日中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA02-10中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA03-10第1页共15页物理安全等级保护测评作业指导书（三级第2版第0次修订发布日期：2010年01月06日修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA02-10毛澍按公安部要求修订詹雄2010.3.8中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA03-10第2页共15页物理安全等级保护测评作业指导书（三级第2版第0次修订发布日期：2010年01月06日一、物理位置的选择测评项编号ADT-OS-WIN-01对应要求a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。测评项名称物理位置的选择操作步骤文档检查：1.检查机房和办公场地的设计/验收文档，是否有机房和办公场地所在建筑能够具有防震、防风和防雨等能力的说明。2.检查机房设计/验收文档中是否有机房场地的选址说明。人员访谈：3.访谈物理安全负责人，询问现有机房和办公场地的环境条件是否能够满足信息系统业务需求和安全管理需求。4.访谈物理安全负责人，询问现有机房和办公场地的环境条件是否具有基本的防震、防风和防雨等能力。5.访谈物理安全负责人，询问机房场地是否符合选址要求。6.访谈机房维护人员，询问是否存在因机房和办公场地环境条件引发的安全事件或安全隐患；如果某些环境条件不能满足，是否及时采取了补救措施。现场检查：7.检查机房和办公场地是否在具有防震、防风和防雨等能力的建筑内。8.检查机房场地是否避免在建筑物的高层或地下室，以及用水设备的下层或隔壁。9.机房和办公场地的设计/验收文档是否与实际情况相符合。可选项：10.机房和办公场地的显示器、打印机等设备有敏感或密级信息输出，应检查设备摆放位置是否为不易被无关人员看到的隐蔽位置（若无此类信息，本项不适用）。适用版本任何版本实施风险无符合性判定a)符合：1、3、4、6、7、9项审计结果均为肯定，本项结果为符合。不符合：1、3、4、6、7、9项中的任意一项审计结果为否定，本项结果为不符合。中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA03-10第3页共15页物理安全等级保护测评作业指导书（三级第2版第0次修订发布日期：2010年01月06日b)符合：1、3、5、8、9项审计结果均为肯定，本项结果为符合。不符合：1、3、5、8、9项中的任意一项审计结果为否定，本项结果为不符合。整体符合性判定符合：a、b两项审计结果都为符合。不符合：a、b两项中的任意一项审计结果为否定。注：可选项不计入符合性判定。二、物理访问控制测评项编号ADT-OS-WIN-02对应要求a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。测评项名称物理访问控制操作步骤文档检查：1.检查机房安全管理制度，查看是否有关于机房出入方面的规定（应包括专人值守，对进入人员的记录和身份鉴别，对来访人员的控制，电子门禁系统的管理等内容）。2.检查机房安全管理制度，查看是否有关于进入机房的来访人员要求申请和审批的规定（应包括对其活动范围进行限制和监控等内容）。3.检查是否有来访人员进入机房的审批记录是否完整。4.检查机房或重要区域配置的电子门禁系统是否有验收文档或产品安全资质。5.查看电子门禁系统运行、维护记录是否完整。人员访谈：6.访谈物理安全负责人，了解具有哪些控制机房进出的规定。7.访谈物理安全负责人，了解具有哪些控制来访人员的申请和审批流程。8.访谈机房值守人员，询问是否认真执行有关机房出入的管理制度，是否对进入机房的人员记录在案。现场检查：9.检查机房出入口是否有专人值守，是否有值守记录，以及进出机房的人员登记记录。中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA03-10第4页共15页物理安全等级保护测评作业指导书（三级第2版第0次修订发布日期：2010年01月06日10.检查机房是否存在专人值守之外的出入口。11.检查机房，是否有进入机房的人员身份鉴别措施，如戴有可见的身份辨识标识。12.检查电子门禁系统是否正常工作（不考虑断电后的工作情况）。13.查看监控进入机房的电子门禁系统记录，是否能够鉴别和记录进入的人员身份。14.检查机房是否存在电子门禁系统控制之外的出入口。可选项：15.访谈物理安全负责人，如果业务或安全管理需要，是否对机房进行了划分区域管理，是否对各个区域都有专门的管理要求（若无此类需要，本项不适用）。16.如果进行了区域划分，检查机房区域划分是否合理，是否在机房重要区域前设置交付或安装等过渡区域，是否对不同区域设置不同机房或者同一机房的不同区域之间设置有效的物理隔离装置（如隔墙等）。适用版本任何版本实施风险无符合性判定a)符合：1、6、8、9、10、11项审计结果均为肯定，本项结果为符合。不符合：1、6、8、9、10、11项中的任意一项审计结果为否定，本项结果为不符合。b)符合：2、3、7项审计结果均为肯定，本项结果为符合。不符合：2、3、7项中的任意一项审计结果为否定，本项结果为不符合。c)符合：15、16项审计结果均为肯定，本项结果为符合。不符合：15、16项中的任意一项审计结果为否定，本项结果为不符合。d)符合：4、5、10、12、13、14项审计结果均为肯定，本项结果为符合。基本符合：如果4、5、10、12、13、14中只有5的审计结果为否定，其余为肯定，本项结果为基本符合。不符合：4、10、12、13、14项中的任意一项审计结果为否定，本项结果为不符合。整体符合性判定符合：a、b、c、d审计结果都为符合。不符合：a、b、c、d中的任意一项审计结果为否定。注：如果15、16不适用，则c不计入符合性判定。三、防盗窃和防破环中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA03-10第5页共15页物理安全等级保护测评作业指导书（三级第2版第0次修订发布日期：2010年01月06日测评项编号ADT-OS-WIN-03对应要求a)应将主要设备放置在机房内；b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d)应对介质分类标识，存储在介质库或档案室中；e)应利用光、电等技术设置机房防盗报警系统；f)应对机房设置监控报警系统；测评项名称防盗窃和防破环操作步骤文档检查：1.检查是否有设备管理制度文档。2.检查是否有通信线路布线文档。3.检查是否有介质管理制度文档，介质清单和使用记录。4.检查是否有机房防盗报警设施的安全资质材料、安装测试/验收报告。5.检查是否有机房监控报警系统的安装测试/验收报告。6.查看文档中的条文是否与设备放置位置实际情况一致。7.查看文档中的条文是否与设备或主要部件保护实际情况一致。8.查看文档中的条文是否与通信线缆铺设实际情况一致。人员访谈：9.访谈物理安全负责人，采取了哪些防止设备、介质等丢失的保护措施。10.访谈机房维护人员，询问主要设备放置位置是否做到安全可控。11.访谈机房维护人员，询问设备或主要部件是否进行了固定和标记。12.访谈机房维护人员，询问通信线缆是否铺设在隐蔽处。13.访谈机房维护人员，询问是否对机房安装的防盗报警系统进行定期维护检查。14.访谈机房维护人员，询问是否对监控报警系统进行定期维护检查。15.访谈资产管理员，在介质管理中，是否进行了分类标识，是否存放在介质库或档案室中。现场检查：16.检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内。17.检查主要设备或设备的主要部件的固定情况，是否不易被移动或被搬走，是否设置明显的无法除去的标记。18.检查通信线缆铺设是否在隐蔽处（如铺设在地下或管道中等）。19.检查介质是否有正确的分类标识。20.检查介质是否存放在介质库或档案室中中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA03-10第6页共15页物理安全等级保护测评作业指导书（三级第2版第0次修订发布日期：2010年01月06日21.检查介质是否进行分类存放（满足磁介质、纸介质等的存放要求）。22.检查机房防盗报警设施是否正常运行，并查看运行和报警记录。23.检查机房的摄像、传感等监控报警系统是否正常运行，并查看运行记录、监控记录和报警记录。适用版本任何版本实施风险无符合性判定a)符合：1、6、16项审计结果均为肯定，本项结果为符合。不符合：1、6、16项中的任意一项审计结果为否定，本项结果为不符合。b)符合：1、7、11、17项审计结果均为肯定，本项结果为符合。不符合：1、7、11、17项中的任意一项审计结果为否定，本项结果为不符合。c)符合：2、8、12、18项审计结果均为肯定，本项结果为符合。不符合：2、8、12、18项中的任意一项审计结果为否定，本项结果为不符合。d)符合：3、9、15、19、20、21项审计结果均为肯定，本项结果为符合。不符合：3、9、15、19、20、21项中的任意一项审计结果为否定，本项结果为不符合。e)符合：4、9、10、13、22项审计结果均为肯定，本项结果为符合。不符合：4、9、10、13、22项中的任意一项审计结果为否定，本项结果为不符合。f)符合：5、9、10、14、23项审计结果均为肯定，本项结果为符合。不符合：5、9、10、14、23项中的任意一项审计结果为否定，本项结果为不符合。整体符合性判定符合：a、b、c、d、e、f审计结果都为符合。不符合：a、b、c、d、e、f中的任意一项审计结果为否定。四、防雷击测评项编号ADT-OS-WIN-04对应要求a)机房建筑应设置避雷装置；b)应设置防雷保安器，防止感应雷；中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA03-10第7页共15页物理安全等级保护测评作业指导书（三级第2版第0次修订发布日期：2010年01月06日c)机房应设置交流电源地线。测评项名称防雷击操作步骤文档检查：1.检查机房是否有建筑防雷设计/验收文档。2.检查机房是否有机房接地设计/验收文档，查看是否有地线连接要求的描述，与实际情况是否一致。人员访谈：3.访谈物理安全负责人，询问为防止雷击事件导致重要设备被破坏采取了哪些防护措施，机房建筑是否设置了避雷装置，是否通过验收或国家有关部门的技术检测；询问机房计算机系统接地是否设置了专用地线；是否在电源和信号线增加有资质的避雷装置，以避免感应雷击。（如果计算机机房防雷符合GB50057－1994《建筑物防雷设计规范》（GB157《建筑防雷设计规范》）要求，而且如果是在雷电频繁区域，装设浪涌电压吸收装置等，本项为符合）4.访谈机房维护人员，询问机房建筑避雷装置是否有人定期进行检查和维护；询问机房计算机系统接地（交流工作接地、安全保护接地）是否符合GB50174－93《电子计算机机房设计规范》的要求。（如果地线的引线和大楼的钢筋网及各种金属管道绝缘，交流工作接地的接地电阻不大于4Ω，安全保护地的接地电阻不大于4Ω；防雷保护地（处在有防雷设施的建筑群中可不设此地）的接地电阻不大于10Ω的要求，本项为符合）现场检查：5.检查机房是否在电源和信号线增加有资质的避雷装置,以避免感应雷击。适用版本任何版本实施风险无符合性判定a)符合：1、3项审计结果均为肯定，本项结果为符合。不符合：1、3项中的任意一项审计结果为否定，本项结果为不符合。b)符合：1、3、5项审计结果均为肯定，本项结果为符合。不符合：1、3、5项中的任意一项审计结果为否定，本项结果为