您好,欢迎访问三七文档
1物理安全测评指导书1.1机房安全测评序号测评指标测评项检查方法预期结果1物理位置的选择a)通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。访谈:询问物理安全负责人,现有机房和办公场地的环境条件是否具有基本的防震、防风和防雨能力。检查:检查机房和办公场地的设计/验收文档,查看机房和办公场所的物理位置选择是否符合要求。机房和办公场地的设计/验收文档中有关于机房和办公场所的物理位置选择的内容,并符合防震、防风和防雨能力要求。b)通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。检查:检查机房场地是否避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;检查机房场地是否避免设在强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生水灾、火灾、易遭受雷击的地区。1)机房没有在建筑物的高层或地下室,附近无用水设备;2)机房附近无强电场、强磁场、强震动源、强噪声源、重度环境污染,机房建筑地区不发生水灾、火灾,不易遭受雷击。2物理访问控制a)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。访谈:1)询问物理安全负责人,了解具有哪些控制机房进出的能力,是否安排专人值守;2)访谈机房值守人员,询问是否认真执行有关机房出入的管理制度,是否对进入机房的人员记录在案。1)有专人值守和电子门禁系统;2)出入机房需要登记,有相关记录。b)检查机房出入口等过程,测评信息系统在物访谈:询问物理安全负责人,了解是否有关于机房来访人员的申请和审批流程,是1)来访人员进入机房需经过申请、审批流程并记录;2)进入机房有机房管理人员理访问控制方面的安全防范能力。否限制和监控其活动范围。检查:检查是否有来访人员进入机房的审批记录。陪同并监控和限制其活动范围。c)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。访谈:访谈物理安全负责人,是否对机房进行了划分区域管理,是否对各个区域都有专门的管理要求;检查:检查机房区域划分是否合理,是否在机房重要区域前设置交付或安装等过渡区域,是否对不同区域设置不同机房或同一机房的不同区域之间设置有效的物理隔离装置(如隔离墙等)。1)对机房进行了划分区域管理;2)对各个区域都有专门的管理要求。d)检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。检查:重要区域电子门禁记录。配置了电子门禁系统,控制、鉴别、记录进入人员信息。3防盗窃和防破坏a)检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。访谈:访谈物理安全负责人,采取了哪些防止设备、介质丢失的保护措施;检查:检查主要设备是否防止在机房内或其他不易被盗窃和破坏的可控范围内。主要设备都放置在机房内。b)检查机房内的主要设备、介质和防盗报警设施等过程,访谈:访谈机房维护人员,设备和主要部件是否进行了固定和标记;检查:检查主要设备或设备的主设备和主要部件是否进行了固定和标记。测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。要部件的固定情况,是否不易被移动或被搬走,是否设置了明显的不易除去的标记。c)检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。访谈:访谈机房维护人员,了解通信线缆是否铺设在隐蔽处;是否设置了冗余或并行的通信线路;检查:检查通信线缆铺设是否在隐蔽处(如铺设在地下或管道中等)。通信线缆铺设在隐蔽处。d)检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。访谈:访谈资产管理人员,在介质管理中,是否设置了分类标识,是否存放在介质库或档案室中;询问对设备或存储介质携带出工作环境是否规定了审批程序、内容加密、专人检查等安全保护的措施;检查:1)检查介质的管理情况,查看介质是否有正确的分类标识,是否存放在介质库或资料室中并且进行分类存放(满足磁介质、纸介质等的存放要求);2)检查有关设备或存储介质携带出工作环境的审批记录,以及专人对内容加密进行检查的记录。介质分类标识,存储在介质库或档案室中。e)检查机房内的主要设备、介质和检查机房防盗报警设施是否正常运行,并查看运行和报警记机房防盗报警设施运行正常,并且有运行防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。录。和报警记录。f)检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。检查机房的摄像、传感等监控报警系统是否正常运行,并查看运行记录、监控记录和报警记录。机房安装了监控摄像头,监控报警系统运行正常。4防雷击a)检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。访谈:访谈物理安全负责人,机房建筑是否设置了避雷装置,是否通过验收或国家有关部门的技术检测;询问机房维护人员机房建筑避雷装置是否有人定期进行检查和维护;检查:检查机房是否有建筑防雷设计/验收文档,是否符合GB50057-1994《建筑物防雷设计规范》(GB157《建筑物防雷设计规范》)要求,如果是在雷电频繁区域,是否装设有浪涌电压吸收装置等。机房建筑设置避雷装置;b)检查机房设计/验收文档,测评信息系统是否采取相应访谈并检查:访谈物理安全负责人,同时检查是否在电源和信号线增加有资质的避雷装置以避免感应雷设置防雷保安器,防止感应雷;的措施预防雷击。击。c)检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。访谈:询问物理安全负责人,机房计算机系统接地是否设置了专用地线;检查:检查机房是否有机房接地设计/验收文档,查看是否有地线连接要求的描述,与实际情况是否一致。机房设置交流电源地线。5防火a)检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。检查机房是否设置了自动测火情(如使用温感、烟感探测器)、自动报警、自动灭火的自动消防系统,摆放位置是否合理,有效期是否合格;检查自动消防系统是否正常工作,查看运行记录、报警记录、定期检查和维修记录;1)机房设置自动测火情(如使用温感、烟感探测器)、自动报警、自动灭火的自动消防系统,摆放位置合理,有效期合格;2)自动消防系统有运行记录、报警记录、定期检查和维修记录。b)检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。检查是否有机房以及相关房间的建筑材料的验收文档或消防检查验收文档。机房及相关的工作房间和辅助房采用具有耐火等级的建筑材料。c)检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防检查是否有机房区域隔离防火措施的验收文档;检查重要设备是否与其他设备隔离开。不同物理区域,中间有防火玻璃隔离。止火灾的发生。6防水和防潮a)检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。检查机房是否避开水源,与机房无关的给排水管道是否避免穿过机房;如果有与机房相关的给排水管道穿过主机房墙壁和楼板处,应检查是否有必要的保护措施,如设置套管等。机房避开了水源,空调给排水管道周围有防水隔离带。b)检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。访谈:询问机房维护人员,机房是否出现过漏水和返潮事件;检查:检查机房是否不存在屋顶和墙壁等出现过漏水、渗透和返潮现象,机房及其环境是否不存在明显的漏水和返潮的威胁;检查机房如果出现漏水、渗透和返潮现象是否能够及时修复解决。机房采用双层玻璃,有窗帘,未发生过漏水和返潮事件c)检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。访谈:访谈机房维护人员,如果出现机房水蒸气结露和地下积水的转移与渗透现象是否采取防范措施;检查:检查机房是否有湿度记录,是否有除湿装置并能够正常运行,是否有防止出现机房地下积水的转移与渗透的措施,是否有防水防潮处理记录和除湿装置运行记录,与机房湿度记录情况是否一致。机房有温度、湿度记录,运转正常。d)检查机房及其除潮设备等过程,检查:检查机房是否有湿度记录,是否有对水敏感得检测仪表机房空调有温湿度控制功能,可以防止机房水蒸气结露。测评信息系统是否采取必要措施来防止水灾和机房潮湿。或元件对机房进行防水检测和报警,并检查检测仪表或元件是否能够正常运行。7防静电a)检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。检查机房是否有安全接地,查看机房的相对湿度记录是否符合GB2887中的规定,查看机房是否不存在明显的静电现象。机房机柜有效的接地,防止静电现象发生。b)检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。检查机房是否采用了如防静电地板、防静电工作台、以及静电消除剂和静电消除器等措施。机房采用了防静电地板。8温湿度控制机房检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。访谈:访谈物理安全负责人,询问机房是否配备了恒温恒湿系统,保证温湿度能够满足计算机设备运行的要求,是否在机房管理制度中规定了温湿度控制的要求,是否有人负责此项工作;访谈机房维护人员,询问是否定期检查和维护机房的温湿度自动调节设施,询问是否出现过温湿度影响系统运行的事件;检查:检查机房是否有温湿度控制设计/验收文档,是否能够满足系统运行需要,是否与当前情况相符合;检查恒温恒湿系统是否能够正常运行,查看是否有温湿度记录、运行记录机房空调有温湿度控制功能,可以自动调节,使机房温湿度的变化处于允许范围内。机房温度26摄氏度,湿度为44%。和维护记录,查看机房温湿度是否满足GB2887-89《计算站场地技术条件》的要求。9电力供应a)检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。访谈:访谈物理安全负责人,询问计算机系统供电线路上是否设置了稳压器和过电压防护设备;询问机房维护人员是否对稳压器、过电压防护设备等进行定期检查和维护;检查:1)检查机房是否有电力供应安全设计/验收文档,查看文档中是否标明单独为计算机系统供电,配备稳压器、过电压防护设备等要求,查看与机房电力供应实际情况是否一致;检查机房,查看计算机系统供电线路上的稳压器和过电压防护设备是否正常运行,查看供电电压是否正常;2)检查是否有稳压器、过电压防护设备的检查和维护记录,是否符合系统正常运行的要求。机房供电线路上配置了稳压器和过电压防护设备。b)检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。访谈:访谈物理安全负责人,询问计算机系统供电线路上是否设置了短期备用电源设备(如UPS),供电时间是否满足系统最低电力供应需求;询问机房维护人员是否对短期备用电源设备进行定期检查和维护;是否能够控制电源稳压范围满足计算机系统运行正常。检查:检查机房是否有电力供应安全设计/验收文档,查看文档中是否标明备用电源设备要求,查看与机房电力供应实际情况是否一致;检查机房,查看计算机系统供电线路上的短期备用电源设备是否正常运行,查看供电电压是否正常;检查是否有短期备用电源设备的检查和维护记录,是否符合系统正常运行的要求。c)检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。访谈:访谈物理安全负责人,询问计算机系统供电线路上是否安装了冗余或并行的电力电缆线路(如双路供电方式);询问机房维护人员,冗余或并行的电力电缆线路(如双路供电方式)在双路供电切换时是否能够对计算机系统正常供电;检查:检查机房是否有电力供应安全设计/验收文档,查看文档中是否有冗余或并行电力电缆线路要求,查看与机房电力供应实际情况是否一致;检查是否有冗余或并行电力电缆线路切换记录,是否符合系统正常运行的要求;测试安装的冗余或并行电力电缆线路是否能够进行双线路供电切换。设置冗余或并行的电力电缆线路为计算机系统
本文标题:等级保护测评指导书
链接地址:https://www.777doc.com/doc-5891866 .html