信息安全等级保护第三级测评指导书v1-物理安全.docxVIP

物理安全G3A3G3

PAGE32

序号

控制点

测评指标

测评结论

1

物理位置的选择

a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；

测评方法

检查机房和办公场地的设计/验收文档，检查机房和办公场地所在的建筑物，查看其是否具有防震、防风和防雨等能力的基本条件。

符合描述

机房和办公场地所在建筑为XXX级建筑，具有防震、防雷击、承重、防风和防雨等能力，建筑抗震设防烈度为XXX度；具备《XXX机房工程验收图纸》、《XXX机房竣工验收报告》和《XXX大楼结构总说明》，与机房实际情况符合；机房和办公场地的环境条件能够满足信息系统业务需求和安全管理需求，目前不存在因机房和办公场地环境条件引发的安全事件；机房所在地区属于交通、通信便捷地区；机房和办公场地的终端显示器、打印机等设备不存在敏感或密级信息输出。

存在问题

1.目前无法提供机房验收有效文档。无法提供大楼设计/验收文档，无法确认大楼防震等级。

2.机房和办公场地所在建筑不具备防震、防雷击、承重、防风和防雨等能力。

3.机房和办公场地的环境条件不能满足信息系统业务需求和安全管理需求，存在因机房和办公场地环境条件引发的安全事件。

4.机房所在地区不属于交通、通信便捷地区。

危害分析

1.机房和办公场地所在建筑不具备防震、防雷击、承重、防风和防雨等能力，导致机房物理环境无安全保障，如出现重大自然灾害，可能导致严重损失。

2.机房未选择在交通、通信便捷的地区，导致出现重大事件时不能及时获得外界救援，可能因此遭受重大损失。

整改建议

1.建议在新建机房或机房改造时，妥善保留机房建筑资质/验收文档、机房设计和验收有效文档，以保留机房建设的证据文件。

2.建议在机房改造或新建机房时，将机房选择在具有防震、防雷击、承重、防风和防雨等能力的建筑内。

3.建议在新建机房选址时，充分考虑机房周边环境，应将机房选择在交通、通信便捷的地区。

序号

控制点

测评指标

测评结论

2

物理位置的选择

b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

测评方法

检查机房场地是否避免在建筑物的高层或地下室，以及用水设备的下层或隔壁。

符合描述

机房所在建筑地上XXX层，地下XXX层，XXX单位主机房位于建筑XXX层，机房上层及隔壁不存在用水设备，机房墙壁使用防水涂料进行了防水处理。

存在问题

1.主机房位于建筑高层、顶层，机房顶部存在漏水隐患。2，主机房或UPS电池间位于建筑地下一层，当雨量过大时存在地下室进水隐患。

危害分析

1.主机房位于建筑顶层，如果出现雨雪天气，可能导致机房顶层漏水，进而影响机房中重要设备运行。

2.主机房或UPS电池间位于建筑地下一层，如果出现暴雨天气时，可能导致地下室进水或雨水倒灌的安全事故。

整改建议

1.建议在机房改造或新建机房时，避免将机房设于建筑物的顶层或地下室，并保证机房上层及隔壁不存在用水设备。

2.建议强化机房吊顶和墙壁的防水措施，防止机房吊顶出现渗水、漏水事故。

3.建议在地下室的XXX区配置防水坝、抽水泵等应急措施，防范地下室进水事故。

序号

控制点

测评指标

测评结论

3

物理访问控制

a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

测评方法

访谈物理安全负责人，了解具有哪些控制机房进出的机制，检查是否具有对进入机房人员的身份鉴别措施

符合描述

机房入口处/监控室具备值班人员，对机房进行7*24小时值守，具备值班记录《XXX》；机房内不存在电子门禁系统控制之外的出入口；机房主要出入口配置了电子门禁系统，并通过刷卡/指纹方式控制、鉴别和记录进入的人员；具备机房门禁系统的安全认证资质文件《XXX》；门禁系统目前运行正常，能够正常鉴别和记录进入的人员身份，系统记录信息永久保存；XXX人员XXX（定期）对门禁系统进行维保巡检，检查门禁系统运行状况，具备维保记录《XXX》。

存在问题

1.机房出入口未安排专人值守，未配置电子门禁系统，无法控制、鉴别和记录进入的人员。

2.目前无法提供机房门禁系统的测试验收/安全资质文件。

3.机房内存在电子门禁系统控制之外的备用出入口。

4.尚未定期对对门禁系统进行维保巡检，尚不具备巡检记录。

危害分析

1.机房未安装门禁，无法进行有效地访问控制，易导致非授权人员进入机房。

2.机房存在电子门禁系统控制之外的备用出入口，易导致人员从备用出入口进出，而不能控制、鉴别和记录进出入人员。

3.未