公司信息系统安全等级保护评测内容及方案.pdf

公司信息系统安全等级保护评测内容及方案

技术控制测评

1)物理安全

物理安全控制测评

域测评项测评方式测评对象测评实施

a)应访谈物理安全负责人，询问现有机房和办公场地（放置终端计算机设备）的环境

条件是否能够满足信息系统业务需求和安全管理需求，是否具有基本的防震、防风和防

雨等能力；询问机房场地是否符合选址要求；

a)机房和办公场地选择在具有防

a)物理安全负责人b)应访谈机房维护人员，询问是否存在因机房和办公场地环境条件引发的安全事件或

震、防风和防雨等能力的建筑内；

物理位访谈b)机房维护人员安全隐患；如果某些环境条件不能满足，是否及时采取了补救措施；

b)机房场地避免设在建筑物的高

置选择检查c)机房\办公场地\机房场地c)应检查机房和办公场地的设计/验收文档，查看是否有机房和办公场地所在建筑能够

层或地下室，以及用水设备的下层

设计/验收文档具有防震、防风和防雨等能力的说明；查看是否有机房场地的选址说明；查看是否与机

或隔壁。

房和办公场地实际情况相符合；

d)应检查机房和办公场地是否在具有防震、防风和防雨等能力的建筑内；

e)应检查机房场地是否不在建筑物的高层或地下室，以及用水设备的下层或隔壁。

a)机房出入口安排有专人值守，鉴a)物理安全负责人a)应访谈物理安全负责人，了解具有哪些控制机房进出的能力；

别进入的人员身份并登记在案；b)机房值守人员b)应访谈物理安全负责人，如果业务或安全管理需要，是否对机房进行了划分区域管

物理访b)需进入机房的来访人员经过申访谈c)机房设施（电子门禁系统）理，是否对各个区域都有专门的管理要求；

问控制请和审批流程，并限制和监控其活检查d)机房安全管理制度\值守c)应访谈机房值守人员，询问是否认真执行有关机房出入的管理规定，是否对进入机

动范围；记录房的人员记录在案；

c)对机房划分区域进行管理，区域e)进入机房的登记记d)应检查机房安全管理制度，查看是否有关于机房出入方面的规定；

和区域之间设置物理隔离装置，在f)来访人员进入机房的审批e)应检查机房出入口是否有专人值守，是否有值守记录，以及进出机房的人员登记记

重要区域前设置交付或安装等过渡记录录；检查机房是否不存在值守人员控制之外的出入口；

区域；g)电子门禁验收文档或安全f)应检查机房是否有进入机房的人员身份鉴别措施，如戴有可见的身份辨识标识；

d)重要区域配置电子门禁系统，鉴资质g)应检查是否有来访人员进入机房的审批记录；

别和记录进入的人员身份。h)电子门禁系统记录h)应检查机房区域划分是否合理，是否在机房重要区域前设置交付或安装等过渡区域；

i)电子门禁运行维护记录是否对不同区域设置不同机房或者同一机房的不同区域之间设置有效的物理隔离装置

（如隔墙等）；