2 信息中心物理环境审计.pptVIP

物理与环境审计 目录 物理控制、环境控制的涵义 相关风险 常见的控制措施 物理环境审计清单 思考：物理环境审计的控制点？ 1. 物理与环境控制的涵义 物理控制：是用于阻止对IT设备未经授权访问，防止其发生故障的机制和管理过程。 环境控制：是用于保护计算机软硬件，避免其受到火灾、水灾、灰尘、电源事故伤害的行为和过程。 2. 与物理和环境控制相关的风险 （1）物理风险 员工 （IT雇员、清洁工、警卫及其他人员）有意或无意的破坏； 计算机或其零部件失窃； 电压波动导致设备损坏或数据丢失或损坏； 存在绕过逻辑访问控制的旁路； 复制或查阅敏感或机密的信息。 （2）环境风险 水灾或火灾破坏，以及其他自然灾害的破坏； 电源掉电导致内存数据丢失； 电压不稳导致系统故障、处理错误和设备部件的损坏； 由于温度、湿度恶劣导致系统故障； 炸弹破坏； 静电破坏敏感的电子部件； 其他诸如。照明设备停工，灰尘或污垢聚集等。 3. 控制措施----安全区的物理控制 物理访问安全应基于信息技术设备所处区域的定义。例如，可以将一栋大楼、一个计算机房、一个打印间当作一个管理区域。管理区域的定义应该清晰明白，雇员能够意识到它的边界。 从安全区的在外层防护到建筑物的入口、计算机间和终端，应该通过多层控制措施，控制对用户站点和安全区域的访问。 3. 控制措施----管理控制 雇员佩带身份或姓名证章； 解除辞退人员的