信息中心物理环境审计

上传人:工**** 文档编号:591895042 上传时间:2024-09-18 格式:PPT 页数:16 大小:114KB
返回 下载 相关 举报
信息中心物理环境审计_第1页
第1页 / 共16页
信息中心物理环境审计_第2页
第2页 / 共16页
信息中心物理环境审计_第3页
第3页 / 共16页
信息中心物理环境审计_第4页
第4页 / 共16页
信息中心物理环境审计_第5页
第5页 / 共16页
点击查看更多>>
资源描述

《信息中心物理环境审计》由会员分享,可在线阅读,更多相关《信息中心物理环境审计(16页珍藏版)》请在金锄头文库上搜索。

1、物理与环境审计目录1.物理控制、环境控制的涵义2.相关风险3.常见的控制措施4.物理环境审计清单5.思考:物理环境审计的控制点?1. 物理与环境控制的涵义o物理控制:是用于阻止对IT设备未经授权访问,防止其发生故障的机制和管理过程。o环境控制:是用于保护计算机软硬件,避免其受到火灾、水灾、灰尘、电源事故伤害的行为和过程。2. 与物理和环境控制相关的风险 (1)物理风险o员工 (IT雇员、清洁工、警卫及其他人员)有意或无意的破坏;o计算机或其零部件失窃;o电压波动导致设备损坏或数据丢失或损坏;o存在绕过逻辑访问控制的旁路;o复制或查阅敏感或机密的信息。o(2)环境风险o水灾或火灾破坏,以及其他自

2、然灾害的破坏;o电源掉电导致内存数据丢失;o电压不稳导致系统故障、处理错误和设备部件的损坏;o由于温度、湿度恶劣导致系统故障;o炸弹破坏;o静电破坏敏感的电子部件;o其他诸如。照明设备停工,灰尘或污垢聚集等。3. 控制措施-安全区的物理控制 o物理访问安全应基于信息技术设备所处区域的定义。例如,可以将一栋大楼、一个计算机房、一个打印间当作一个管理区域。管理区域的定义应该清晰明白,雇员能够意识到它的边界。o从安全区的在外层防护到建筑物的入口、计算机间和终端,应该通过多层控制措施,控制对用户站点和安全区域的访问。 3. 控制措施-管理控制 o雇员佩带身份或姓名证章;o解除辞退人员的访问权限;o来访

3、人员必须登记,包括他是谁,在哪工作,找谁、来访时间、离开时间等。来访人在放行之前应提供一些证件加以确认。o办公室无人照管时的控制过程。例如当雇员晚上回家或外出吃饭时,应锁好键盘、将笔记本电脑锁入抽屉、锁好软盘等。3. 控制措施-门禁系统(locks on doors) 常见的门禁系统包括:o使用机械钥匙的锁。o组合门禁系统或密码锁o电子门禁系统o生物门禁系统3. 控制措施-其他常见的物理控制措施 o电视摄像头o警卫o雇员在上班时间以外的控制;o计算机锁o手工日志记录:来客需要登记姓名、单位、事由和会见人。在进入前需要出示身份证明。o电子日志:在电子或生物安全系统中,所有的来客都要做日志记录,特

4、别是失败的进入试图需要被特别标记。o控制的来客接触:所有来客都应有雇员护送。3. 控制措施-其他常见物理控制措施(续)o人员担保:所有服务人员应该有担保。o死人门(deadman doors):该系统使用一对门。前一门未锁上,后一门不能打开。在两个门之间只能有一个人。以防止未经授权的人跟随其他人进入。o不宣扬敏感设备的位置;o计算机终端锁;o经控制的单个输入点;o夜贼警报系统;o安全的文件分发车。3. 控制措施-环境控制措施o火灾的预防、检测和扑救 o防水 o防静电o防雷击o防电磁干扰o电源的保护和控制 o三度要求(温度,湿度和清洁度)3. 控制措施-火灾的预防、检测和扑救 o火灾的预防控制

5、o火灾扑救系统包括:n手持灭火器;o一些灭火器适合电子设备,例如二氧化碳或halon(BCF)灭火器。o水灭火器可以放在计算机耗材库房中。n自动灭火系统o自动灭火器通常使用水或halon。Halon对计算机设备无害,并且相对二氧化碳来说,危害较小。 3. 控制措施-防水 进入机房的水可能来自以下方面:o洪水;o屋顶漏水;o爆裂的管道;o洗手间或水池溢水;o冷却系统漏水。3. 控制措施-三度要求4. 物理环境审计清单-样本类别子类中文编号要求内容检测方法机房物理访问通过门禁系统实现物理访问控制。各部门需经常进入机房的人员,都需要通过门禁卡申请表或机房准入申请表申请,由相关部门主管签字审批。1.机

6、房门禁系统的截屏(门禁控制)2. 门禁卡发放授权表样本 (门禁控制)3. 机房准入人员名单及授权记录(门卫控制)4.临时进入机房人员的授权记录样本。5.机房出入登记表样本。.相关的政策制度机房物理访问需要临时进入机房的人员必需通过设备操作审批表/临时人员进出机房准入申请表申请,机房管理人员审批后,由有权限进入机房的工作人员陪同,並在进入时在机房出入登记表上登记。机房物理访问对未有门禁系统的机房要求所有人员(包括员工或第三方人员)出入时,必需在登记表上登记。机房物理访问机房管理人员/门禁系统管理人员每季度准备机房准入人员名单/门禁卡发放清单,由部门负责人对有权限进入机房的人员进行复核签字,如果发现不恰当用户的存在及时通知机房管理人员取消相应用户的授权。1.系统门禁清单的定期审阅记录。(门禁控制)2.机房准入人员名单的定期审阅记录。(门卫控制)3.相关的政策制度。机房物理访问人员进出机房会在机房门禁系统留下日志记录/机房进出登记表中留下记录,业务主管根据系统风险及重要性原则,每月检查机房门禁系统日志/机房进出登记表记录,检查是否有异常进出情况,並签字确认。1.门禁系统人员进出日志样本及审阅记录样本。(门禁控制)2.机房进出登记表样本及审阅记录样本。(门卫控制)思考o物理环境审计的控制点?谢谢大家共同交流,分享价值

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号