信息系统等级保护物理安全测评要求说明(三级)

测评对象：测评人：物理安全（机房）(三级)测评表测评时间：现场测评确认:指标名称测评项a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。1、应访谈物理安全负责人，了解机房和办公场地所在建筑及周边环境情况；询问是否存在因机房和办公场地环境条件引发的安全事件或安全隐患；如果某些环境条件不能满足，是否及时采取了补救措施；2、应检查机房和办公场地是否在具有防震、防风和防雨等能力的建筑内。(1)机房和办公场地的环境条件□防震□防风□防雨(2)机房和办公场地位置的选择是否符合要求□是□否(3)是否存在因机房和办公场地环境条件引发的安全事件或安全隐患□是□否(4)如果某些环境条件不能满足，是否及时采取补救措施□是□否b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔1、应检查机房场地是否不在建筑物的高层或地下室，以及用水设备的下层或隔壁。(1)机房是否在建筑物的高层或地下室□是□否(2)机房是否在用水设备的下层或隔壁□是□否a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；1、应访谈物理安全负责人，了解部署了哪些控制人员进出机房的保护措施，询问机房出入口是否有专人值守；2、应访谈物理安全负责人，询问是否认真执行有关机房出入的管理规定，是否对进入机房的人员记录在案；3、应检查机房安全管理制度，查看是否有有进出机房的人员出入管理制度。(1)安全管理制度是否有关于机房出入方面的规定□是□否(2)机房是否有专人值守□是□否(3)机房是否不存在专人值守之外的其他出入口□是□否b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；1、应检查机房出入口是否有专人值守，是否有值守记录以及进出机房的人员登记记录；检查机房是否不存在值守人员控制之外的出入口；2、应检查是否有来访人员进入机房的审批记录，查看审批记录是否包括来访人员的访问范围；(1)是否有进入机房的审批记录□是□否(2) 审批记录是否包括来访人员的访问范围□是□否物理位置的选择物理访问控制1  2要求项符合情况问题描述序号测评指标测评实施过程现场测评记录(√)测评对象：测评人：物理安全（机房）(三级)测评表测评时间：现场测评确认:指标名称测评项要求项符合情况问题描述序号测评指标测评实施过程现场测评记录(√)c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；1、应访谈物理安全负责人，如果业务或安全管理需要，是否对机房进行了划分区域管理，是否对各个区域都有专门的管理要求；2、应检查是否在不同机房间和同一机房不同区域间设置了有效的物理隔离装置，机房区域划分是否合理，是否在机房重要区域前设置交付或安装等过渡区域；(1)有哪些控制机房进出的能力。____________是否对机房进行了区域管理。□是□否是否在机房重要区域前设置交付或安装等过渡区域□是□否是否对不同区域设置不同机房或者同一机房的不同区域之间设置有效的物理隔离装置（如隔墙等）□是□否采用的隔离手段:____________d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。1、应检查重要区域配置的电子门禁系统是否有验收文档或产品安全认证资质；2、应检查电子门禁系统是否正常工作（不考虑断电后的工作情况）；查看是否有电子门禁系统运行和维护记录；查看监控进入机房重要区域的电子门禁系统记录，是否能够鉴别和记录进入人员的身份。(1)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。□是□否a)应将主要设备放置在机房内；1、应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内；(1)关键设备是否放置在机房内或其它不易被盗窃和破坏的可控范围□是□否b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；1、检查主要设备或设备的主要部件的固定情况，查看其是否不易被移动或被搬走，是否设置明显的不易除去的标记；(1)    关键设备是否设置不易被除去的标记□是□否c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；1、应访谈机房维护人员，询问主要设备放置位置是否做到安全可控，设备或主要部件是否进行了固定和标记，通信线缆是否铺设在隐蔽处；(1)    通信线缆是否铺设在隐蔽处□是□否d)应对介质分类标识，存储在介质库或档案室中；1、应访谈物理安全负责人，采取了哪些防止设备、介质等丢失的保护措施；2、应访谈资产管理员，介质是否进行了分类标识管理，介质是否存放在介质库或档案室内进行管理；3、应检查介质的管理情况，查看介质是否有正确的分类标识，是否存放在介质库或档案室中，并且进行分类存放（满足磁介质、纸介质等的存放要求）；(1)介质是否进行了分标识管理□是□否(2) 介质是否存放在介质库或档案室□是□否物理访问控制2防盗窃和防破坏3  测评对象：测评人：物理安全（机房）(三级)测评表测评时间：现场测评确认:指标名称测评项要求项符合情况问题描述序号测评指标测评实施过程现场测评记录(√)e)应利用光、电等技术设置机房防盗报警系统；1、应检查是否有机房防盗报警设施。是否对机房安装的防盗报警系统和监控报警系统定期进行维护检查；2、应检查机房防盗报警设施是否正常运行，并查看是否有运行和报警记录；(1)关键设备放置位置是否安全可控□是□否(2)机房是否安装防盗设备□是□否(3)机房是否安装报警设备□是□否(4)是否对机房安装防盗报警设施并定期维护检查□是□否f)应对机房设置监控报警系统。1、应检查监控报警设施的安全资质材料、安装测试/验收报告；2、应检查机房的摄像、传感等监控报警系统是否正常运行，并查看是否有运行记录、监控记录和报警记录。(1)防盗报警设施是否正常运行□是□否(2)是否有运行和报警记录□是□否a)机房建筑应设置避雷装置；1、应访谈物理安全负责人，询问为防止雷击事件采取了哪些防护措施，机房建筑是否设置了避雷装置，是否通过验收或国家有关部门的技术检测；询问机房计算机系统接地是否设置了专用地线；是否在电源和信号线上安装避雷装置；(1)    机房建筑是否有避雷装置□是□否(2)    是否通过验收或国家有关部门的技术检测□是□否b)机房应设置交流电源地线。1、应检查机房是否安装防雷保安器等装置；(3) 机房设备是否有避雷装置□是□否c)应设置防雷保安器，防止感应雷1、应检查机房建筑是否有避雷装置，是否有交流地线。(1)机房计算机供电系统是否有交流电源地线□是□否防盗窃和防破坏3  防雷击4  测评对象：测评人：物理安全（机房）(三级)测评表测评时间：现场测评确认:指标名称测评项要求项符合情况问题描述序号测评指标测评实施过程现场测评记录(√)a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；1、应访谈物理安全负责人，询问机房是否设置了灭火设备，是否设置了自动检测火情、自动报警、自动灭火的自动消防系统，是否有专人负责维护该系统的运行，是否制定了有关机房消防的管理制度和消防预案，是否进行了消防培训；2、应访谈机房维护人员，询问是否对火灾自动消防系统定期进行检查和维护；3、应检查自动消防系统是否正常工作，查看是否有运行记录、报警记录、定期检查和维修记录；(1)是否设置了灭火设备□是□否(2) 灭火器摆放位置是否合理□是□否(3)灭火器是否在使用保质期内□是□否(4)机房是否设置了自动检测火情、自动报警、自动灭火的设施□是□否(5) 机房火灾自动报警系统是否正常工作□是□否(6) 是否有灭火器运行记录、报警、定期检查保养□运行记录□报警记录□定期检查和维修记录b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；1、应检查机房是否设置了自动检测火情、自动报警、自动灭火的自动消防系统，自动消防系统摆放位置是否合理，其有效期是否合格；(1)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料□是□否c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。1、应检查机房是否采取区域隔离防火措施，将重要设备与其他设备隔离开。(1)机房是否采取区域隔离防火措施□是□否a)水管安装，不得穿过机房屋顶和活动地板下；1、应访谈物理安全负责人，询问机房是否部署了防水防潮措施；如果机房内有上/下水管安装，是否避免穿过屋顶和活动地板下，穿过墙壁和楼板的水管是否采取了的保护措施；在湿度较高地区或季节是否有人负责机房防水防潮事宜，配备除湿装置；(1)    机房是否没有出现过漏水事件□是□否(2) 是否经常检查上/下水管漏水情部况□是□否b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；1、应检查穿过主机房墙壁或楼板的管道是否采取必要的防渗防漏等防水保护措施；2、应检查机房的窗户、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象，机房及其环境是否不存在明显的漏水和返潮的威胁；如果出现漏水、渗透和返潮现象，则查看是否能够及时修复解决；(1)漏水、渗透和返潮□机房的窗户、屋顶和墙壁等与外界是否进行隔离□能否及时修复解决防水和防潮防火5  6  测评对象：测评人：物理安全（机房）(三级)测评表测评时间：现场测评确认:指标名称测评项要求项符合情况问题描述序号测评指标测评实施过程现场测评记录(√)c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；1、应访谈机房维护人员，询问机房是否没有出现过漏水和返潮事件；如果机房内有上/下水管安装，是否经常检查其漏水情况；如果出现机房水蒸气结露和地下积水的转移与渗透现象是否及时采取防范措施；2、对湿度较高的地区，应检查机房是否有湿度记录，是否有除湿装置并能够正常运行，是否有防止出现机房地下积水的转移与渗透的措施，是否有防水防潮处理记录和除湿装置运行记录；(1)漏水、渗透和返潮□机房的窗户、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象□是否不存在明显的漏水和返潮的威胁□能否及时修复解决(2) 在湿度较高的地区或季节是否有人负责机房防水防潮事宜，配备除湿装置□是□否(3) 措施□是否有湿度记录□是否有除湿装置并能够正常运行□是否有防止出现机房地下积水的转移和渗透的措施□是否有防水防潮处理记录d)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。1、应检查是否设置水敏感的检测仪表或元件，对机房进行防水检测和报警，查看该仪表或元件是否正常运行，是否有运行记录，是否有人负责其运行管理工作。(1)是否有漏水、防水检测平台并配有专人运行、监测管理□是□否a)主要设备应采用必要的接地防静电措施；1、应访谈物理安全负责人，询问机房主要设备是否采取必要的防静电措施，是否不存在静电问题或因静电引发的安全事件；在静电较强地区的机房是否采取了有效的防静电措施，存在静电时是否及时采取消除静电的措施；2、应检查主要设备是否有安全接地，查看机房是否不存在明显的静电现象；3、应检查机房是否采用了防静电工作台、静电消除剂和/或静电消除器等防静电措施；(1)    防静电□关键设备安全接地□不存在明显的静电现象b)机房应采用防静电地板。1、应检查机房是否采用了防静电地板。(2)    防静电□静电地板防静电防水和防潮7  防静电6  测评对象：测评人：物理安全（机房）(三级)测评表测评时间：现场测评确认:指标名称测评项要求项符合情况问题描述序号测评指标测评实施过程现场测评记录(√)8  温湿度控制a)机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。1、应访谈物理安全负责人，询问机房是否配备了温湿度自动调节设施，保证温湿度能够满足计算机设备运行的要求，是否在机房管理制度中规定了温湿度控制的要求，是否有人负责此项工作，是否定期检查和维护机房的温湿度自动调节设施，询问是否没有出现过温湿度影响系统运行的事件；2、应检查温湿度自动调节设施是否能够正常运行，查看是否有温湿度记录、运行记录和维护记录；查看机房温湿度是否满足计算站场地的技术条件要求。(1)    温湿度控制□温湿度自动调节设施正常运行□有温湿度记录、运行记录维护记录□机房温湿度满足计算站场地的技术条件要求a)应在机房供电线路上配置稳压器和过