返回
信息中心物理环境审计

信息中心物理环境审计

ID:39833782

大小:229.10 KB

页数:16页

时间:2019-07-12

信息中心物理环境审计_第1页
信息中心物理环境审计_第2页
信息中心物理环境审计_第3页
信息中心物理环境审计_第4页
信息中心物理环境审计_第5页
资源描述:

《信息中心物理环境审计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、物理与环境审计目录物理控制、环境控制的涵义相关风险常见的控制措施物理环境审计清单思考:物理环境审计的控制点?1.物理与环境控制的涵义物理控制:是用于阻止对IT设备未经授权访问,防止其发生故障的机制和管理过程。环境控制:是用于保护计算机软硬件,避免其受到火灾、水灾、灰尘、电源事故伤害的行为和过程。2.与物理和环境控制相关的风险(1)物理风险员工(IT雇员、清洁工、警卫及其他人员)有意或无意的破坏;计算机或其零部件失窃;电压波动导致设备损坏或数据丢失或损坏;存在绕过逻辑访问控制的旁路;复制或查阅敏感或机密

2、的信息。(2)环境风险水灾或火灾破坏,以及其他自然灾害的破坏;电源掉电导致内存数据丢失;电压不稳导致系统故障、处理错误和设备部件的损坏;由于温度、湿度恶劣导致系统故障;炸弹破坏;静电破坏敏感的电子部件;其他诸如。照明设备停工,灰尘或污垢聚集等。3.控制措施----安全区的物理控制物理访问安全应基于信息技术设备所处区域的定义。例如,可以将一栋大楼、一个计算机房、一个打印间当作一个管理区域。管理区域的定义应该清晰明白,雇员能够意识到它的边界。从安全区的在外层防护到建筑物的入口、计算机间和终端,应该通过多层

3、控制措施,控制对用户站点和安全区域的访问。3.控制措施----管理控制雇员佩带身份或姓名证章;解除辞退人员的访问权限;来访人员必须登记,包括他是谁,在哪工作,找谁、来访时间、离开时间等。来访人在放行之前应提供一些证件加以确认。办公室无人照管时的控制过程。例如当雇员晚上回家或外出吃饭时,应锁好键盘、将笔记本电脑锁入抽屉、锁好软盘等。3.控制措施----门禁系统(locksondoors)常见的门禁系统包括:使用机械钥匙的锁。组合门禁系统或密码锁电子门禁系统生物门禁系统3.控制措施----其他常见的物理控

4、制措施电视摄像头警卫雇员在上班时间以外的控制;计算机锁手工日志记录:来客需要登记姓名、单位、事由和会见人。在进入前需要出示身份证明。电子日志:在电子或生物安全系统中,所有的来客都要做日志记录,特别是失败的进入试图需要被特别标记。控制的来客接触:所有来客都应有雇员护送。3.控制措施----其他常见物理控制措施(续)人员担保:所有服务人员应该有担保。死人门(deadmandoors):该系统使用一对门。前一门未锁上,后一门不能打开。在两个门之间只能有一个人。以防止未经授权的人跟随其他人进入。不宣扬敏感设备

5、的位置;计算机终端锁;经控制的单个输入点;夜贼警报系统;安全的文件分发车。3.控制措施----环境控制措施火灾的预防、检测和扑救防水防静电防雷击防电磁干扰电源的保护和控制三度要求(温度,湿度和清洁度)3.控制措施----火灾的预防、检测和扑救火灾的预防控制火灾扑救系统包括:手持灭火器;一些灭火器适合电子设备,例如二氧化碳或halon(BCF)灭火器。水灭火器可以放在计算机耗材库房中。自动灭火系统自动灭火器通常使用水或halon。Halon对计算机设备无害,并且相对二氧化碳来说,危害较小。3.控制措施-

6、---防水进入机房的水可能来自以下方面:洪水;屋顶漏水;爆裂的管道;洗手间或水池溢水;冷却系统漏水。3.控制措施----三度要求4.物理环境审计清单---样本类别子类中文编号要求内容检测方法机房物理访问通过门禁系统实现物理访问控制。各部门需经常进入机房的人员,都需要通过门禁卡申请表或机房准入申请表申请,由相关部门主管签字审批。1.机房门禁系统的截屏(门禁控制)2.门禁卡发放授权表样本(门禁控制)3.机房准入人员名单及授权记录(门卫控制)4.临时进入机房人员的授权记录样本。5.机房出入登记表样本。 6.

7、相关的政策制度机房物理访问需要临时进入机房的人员必需通过设备操作审批表/临时人员进出机房准入申请表申请,机房管理人员审批后,由有权限进入机房的工作人员陪同,並在进入时在机房出入登记表上登记。机房物理访问对未有门禁系统的机房要求所有人员(包括员工或第三方人员)出入时,必需在登记表上登记。机房物理访问机房管理人员/门禁系统管理人员每季度准备机房准入人员名单/门禁卡发放清单,由部门负责人对有权限进入机房的人员进行复核签字,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。1.系统门禁清单的定期

8、审阅记录。(门禁控制)2.机房准入人员名单的定期审阅记录。(门卫控制)3.相关的政策制度。机房物理访问人员进出机房会在机房门禁系统留下日志记录/机房进出登记表中留下记录,业务主管根据系统风险及重要性原则,每月检查机房门禁系统日志/机房进出登记表记录,检查是否有异常进出情况,並签字确认。1.门禁系统人员进出日志样本及审阅记录样本。(门禁控制)2.机房进出登记表样本及审阅记录样本。(门卫控制)思考物理环境审计的控制点?谢谢大家共同交流,分享价值

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。