在 ISO27001 審核時(shí),通常會去機(jī)房進(jìn)行審查���。
機(jī)房是企業(yè)信息系統(tǒng)的重要物理設(shè)施場所��,涉及到信息安全的多個(gè)方面�,以下是審查機(jī)房的主要原因:
**一���、物理安全方面**
1. 門禁控制
- 審核員會檢查機(jī)房是否有嚴(yán)格的門禁系統(tǒng)�����,以確保只有授權(quán)人員能夠進(jìn)入��。這包括門禁卡����、密碼��、生物識別等控制措施的有效性�。
- 例如,查看門禁記錄�,確認(rèn)是否有異常的進(jìn)入記錄;檢查門禁設(shè)備是否正常運(yùn)行���,是否容易被破解或繞過�。
2. 監(jiān)控設(shè)施
- 機(jī)房通常應(yīng)安裝監(jiān)控?cái)z像頭�����,審核員會檢查監(jiān)控系統(tǒng)的覆蓋范圍�����、圖像質(zhì)量和存儲時(shí)間是否符合要求��。
- 例如���,確認(rèn)監(jiān)控是否能夠覆蓋機(jī)房的關(guān)鍵區(qū)域�,如入口、設(shè)備區(qū)等�����;檢查監(jiān)控錄像的保存期限是否足夠長����,以便在發(fā)生安全事件時(shí)進(jìn)行調(diào)查。
3. 環(huán)境控制
- 審核機(jī)房的溫度�、濕度、電力供應(yīng)等環(huán)境條件是否符合設(shè)備運(yùn)行要求�����,以及是否有相應(yīng)的監(jiān)控和報(bào)警系統(tǒng)���。
- 例如��,檢查溫濕度傳感器的讀數(shù)是否在規(guī)定范圍內(nèi)�;確認(rèn)備用電源系統(tǒng)是否能夠在主電源故障時(shí)及時(shí)啟動���,保證設(shè)備的持續(xù)運(yùn)行�。
**二、設(shè)備安全方面**
1. 服務(wù)器和網(wǎng)絡(luò)設(shè)備
- 審核員會檢查服務(wù)器和網(wǎng)絡(luò)設(shè)備的配置和安全設(shè)置���,包括訪問控制���、加密�、漏洞管理等。
- 例如��,查看服務(wù)器的用戶權(quán)限設(shè)置是否合理����,是否存在不必要的用戶或過高的權(quán)限;檢查網(wǎng)絡(luò)設(shè)備的防火墻規(guī)則是否嚴(yán)格�,是否能夠有效阻止未經(jīng)授權(quán)的訪問。
2. 存儲設(shè)備
- 對于存儲重要數(shù)據(jù)的設(shè)備�����,審核員會關(guān)注其安全性�,如加密、備份和恢復(fù)措施等�����。
- 例如,檢查存儲設(shè)備是否采用了加密技術(shù)保護(hù)數(shù)據(jù)�;確認(rèn)備份策略是否有效,備份數(shù)據(jù)是否能夠及時(shí)恢復(fù)���。
3. 安全設(shè)備
- 機(jī)房可能配備了防火墻���、入侵檢測系統(tǒng)、UPS(不間斷電源)等安全設(shè)備�����,審核員會檢查這些設(shè)備的運(yùn)行狀態(tài)和配置是否正確�。
- 例如,檢查防火墻的規(guī)則是否最新����,是否能夠有效阻擋外部攻擊;確認(rèn)入侵檢測系統(tǒng)是否能夠及時(shí)發(fā)現(xiàn)異常行為并發(fā)出警報(bào)���。
**三��、管理措施方面**
1. 機(jī)房管理制度
- 審核員會審查機(jī)房的管理制度�,包括設(shè)備維護(hù)、人員進(jìn)出管理����、應(yīng)急響應(yīng)等方面的規(guī)定是否完善并得到有效執(zhí)行。
- 例如�����,查看機(jī)房維護(hù)記錄���,確認(rèn)設(shè)備是否按照規(guī)定進(jìn)行定期維護(hù)�;檢查人員進(jìn)出機(jī)房的登記記錄�����,是否嚴(yán)格執(zhí)行審批制度����。
2. 標(biāo)識和文檔
- 機(jī)房內(nèi)應(yīng)有清晰的標(biāo)識和文檔�����,如設(shè)備標(biāo)識�、線路標(biāo)識、操作指南等,審核員會檢查這些標(biāo)識和文檔是否準(zhǔn)確�、完整。
- 例如�����,確認(rèn)設(shè)備上的標(biāo)識是否與實(shí)際情況相符����,便于維護(hù)和管理;檢查操作指南是否易于理解�,是否能夠指導(dǎo)操作人員正確處理各種情況。
