第一篇:等保测评工作流程
等保测评项目管理制度
等级保护测评项目管理制度 一、目的 为有效保障等级保护测评中心的测评质量,防止发生质量异常,提升效率,确保质量满足客户需求,特制定本制度。
二、职责 等级保护测评中心的测评质量监督管理纳入公司总体质量管理体系,由公司法人代表授权的等保测评质量主管组织质量部对测评的质量进行控制:
Ø 质量主管:
1) 全面领导等保测评中心的质量管理工作,监督执行有关等保测评中心须遵循的各种政策、法律法规,并传达法律法规对测评工作的重要性;
2) 确保质量部开展工作所需的各种资源;
3) 审批质量部发展的中长期计划和年度计划;
4) 主持重大质量问题的申诉,对等保测评中心的质量和质量管理工作全面负责;
5) 质量手册(方针、目标等)的发布者;
6) 负责贯彻执行等保测评中心应遵循的各种法律、法规及标准;
7) 负责主持制定质量方针、质量目标,并确保质量管理体系得以完善和有效运行;
8) 主持质量管理体系的策划、建立,并完善实现等保测评中心质量方针、质量目标所必须的组织机构,确保质量部各类人员的职责和权限得到规定与沟通;
9) 主持管理评审和质量工作会,定期向等保测评中心主任汇报质量体系运行情况,提出改进的建议;
10) 负责质量问题和质量事故的申诉处理以及质量奖惩工作,签发质量管理体系程序文件和质量规章制度文件;
11) 制订质量部发展的中长期计划和年度计划,注重计划的准确性、可操作性,把质量工作计划纳入年度计划;
12) 负责组织对《等级测评报告》进行评估活动,并批准签发《等级测评报告》;
13) 根据等保测评项目的论证签订等级保护测评合同,并批准等级保护测评总体计划;
14) 调研分析对设备供应单位质量保证能力,确定供应设备能满足工作需要;
15) 落实质量部的保密制度和保密防范措施,对人员的安全保密培训情况;
16) 负责与质量体系有关事宜的外部联络。
Ø 质量部 1) 履行企业法人代表赋予的职责;
2) 贯彻执行等保测评中心应遵循的各种法律、法规及标准;
3) 贯彻、执行质量方针、质量目标;
4) 主持等级保护测评项目的论证,组织《等级测评方案》的评审;
5) 管理并监督等级保护测评中心测评人员按国家有关保密规定保守相关秘密;
6) 统筹安排等保测评中心资源,确保每项测评工作顺利完成;
7) 制定等级保护测评中心测评人员技术培训计划,确保计划能与预期的任务相适应;
8) 确保等保测评中心专用设备的准确度,指定专人负责设备运输、存放、使用、维护的管理;
9) 负责组织设备的验收、入库、保管、标识工作;
10) 在技术上负责系统测评的正确性,负责审核等保测评中心《等级测评报告》,并可以受测评中心主任委托批准《等级测评报告》。
三、工作程序 1、测评中心开展的等级保护测评项目,严格按照《质量管理体系文件》要求和国家《信息系统安全等级保护测评过程指南》和《信息系统安全等级保护测评要求 》等规范文件进行,严格遵循ISO9001:2000质量管理体系规范管理。
2、对测评的质量评价采用优秀、良好、一般、差四级评定,见下表。
质量要素 优秀 良好 一般 差 进度(非测评组长可控因素除外) 按时完成。
未按时完成,进度变更控制良好,延期在计划工期的10%之内。
未按时完成,延期在计划工期的25%内。
未按时完成,进度变更控制差,延期计划工期的25%以上。
测评成果 及时提交完备的测评成果,文档材料规范。
及时提交关键的测评成果,文档材料规范,得到质量主管认可。
提交关键的测评成果,延期不超过2天,文档材料不规范,但基本得到质量主管认可。
拖延提交测评成果超过一周,文档材料严重不规范,缺少关键内容。
用户反馈 《工作确认单》,表明服务规范,用户满意。
《工作确认单》表明服务流程完成,用户认可。
《工作确认单》,或用户主动反映现场测评存在缺陷,经核查属实。
《工作确认单》,或测评客户投诉,后果对测评产生严重影响,经核查属实。
3、质量评定的方法 质量主管根据上述三项服务考察要素的质量评定结果,综合评定测评的质量等级。评定方式原则上取三个考察要素获得的等级最低的为综合质量评定结果。举例:如果进度等级为优,测评成果等级为良,用户反馈等级为优,则综合质量等级为良。
4、质量改进 质量评价后,对存在的不合格或潜在的不合格,质量主管将向测评组长提交《测评质量审核报告》,测评组长对报告上的不合格项或潜在的不合格项进行确认,测评组长填写《纠正预防措施报告》,采取相应的纠正和预防措施,质量主管根据《纠正预防措施报告》上的整改时间,进行跟踪验证改进措施的效果,直到合格为止。
四、等保测评质量管理体系 1.总要求:
1.1 依据ISO 9001:2000质量管理体系的要求,对测评中心等级保护测评项目的测评过程进行控制,表明本中心有能力稳定地提供满足被测评单位的测评要求,并通过对质量管理体系的有效运用,包括持续改进和纠正预防不合格的发生而保证测评质量。
1.2 实施质量管理体系,测评中心做到:
Ø 测评中心质量管理体系所需过程主要有:客户服务体系的建立、测评设备的管理、测评活动的开展、验收评审、文档管理等过程,并对各过程进行监视、测量和控制管理,测评项目的质量控制有关过程参见“质量管理体系过程图” 见附件;
Ø 在“质量管理体系过程图”中可看到测评过程的顺序及相互的关联;
Ø 质量主管通过质量目标的测量和监控对质量管理体系的各过程进行监控和管理,并分析过程的有效性。技术主管决定所需要的技术标准及方法,以确保等保测评的相关过程可达到有效作业及控制。
Ø 各部门按要求确保所需要的资讯容易获取,从而支持测评过程的实施及监控;
Ø 通过质量方针、质量目标及各部门的分解目标的达成状况,测量、监控及分析这些过程,并且执行所需要的测量、监视活动,以证实这些过程的成果及今后的持续改进;
Ø 质量部依照ISO9001:2000标准和等级保护测评相关法规、技术标准的要求管理这些过程,组织进行持续改进。
2.文件要求:
2.1 各部门按国家/国际标准要求实施相关文件要求,并作好相关质量记录。
2.2 质量管理体系的范围:测评中心按等级保护测评相关法规和技术标准的要求进行等级保护测评服务 。包括ISO9001:2000质量管理体系的全过程、全要素。
2.3 文件控制:测评过程中产生的各类文档和记录应指定管理部按质量管理体系的要求加以管理控制。质量体系文件的架构见“质量体系文件架构图”,并建立文件目录。每一份规范化程序文件的制定包括以下内容:
Ø 测评过程产生的各类文件和记录定稿前得到测评中心主任审批,确保其适宜性、充分性;
Ø 质量管理体系文件在每年的管理评审时进行适宜性、有效性评审,确定是否需要更新,体系文件更新后要重新进行审核,并再次批准;
Ø 文件的版本、修订状态在文件中有标识,文件更改标识体现在修订状态上,文件更改按《文档管理制度》进行;
Ø 确保使用场所具有适宜版本的有效文件,便于使用;
Ø 确保文件保持清晰、完好,易于阅读、识别、调阅及追溯;
Ø 确保外来文件原稿已作标识,并控制其分发;
特别关注国家、行业的标准和管理文件的最新版本的收集和管理、发放;
Ø 预防作废文件被误用,假如因任何目的需保存以备用时,则应作出适当鉴别(加盖作废章、保留章),并加以控制。
3.记录控制:
3.1 测评中心各部门执行《等级保护测评项目质量监督管理制度》对质量管理体系所需的质量记录予以控制,并保持、维护有效的质量记录,以证明符合各项要求及质量管理体系得到有效运行。
3.2 测评中心建立的《等级保护测评项目质量监督管理制度》规定了质量记录的鉴别、储存、调阅、保护、保存期限及作废处理办法和程序。
4.测评过程的质量监督管理:
测评中心测评部负责对等保测评项目的被测系统的详细情况进行分析,为实施测评做好文档及测试工具,从而完成测评项目的测评准备过程活动;
进入测评实施过程活动后测评部部负责开发与被测信息系统相适应的测评内容及实施方法,为测评实施提供最基本的文档和指导方案;
在测评实施过程活动中,按照测评方案的总体要求,分步实施所有测评项目,包括单项测评和系统整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题;
最后进入分析与报告编制过程,综合评价被测信息系统保护状况,并形成测评报告文本。整个测评活动应与质量管理体系的其他要求相一致,质量部需同步对测评活动的以下各项目进行监督管理:
4.1 根据被测评单位要求/相关的质检规范、国标、法律法规要求,技术工程部确定有关工程的质量目标及要求;
4.2 市场部接到客户的等级保护测评需求,将信息传递到测评部、管理部, 测评部编制《项目计划书》,全面满足被测评单位要求。具体的过程和相互关系参见《质量管理体系过程图》中的描述;
4.3 根据等级保护测评相关法规和技术标准的要求针对测评过程,策划并实施各项验证、确认、访谈、检验等测评活动,留下相关的记录。
4.4 对各项测评过程及测评验收提供所需的记录,规划结果必须以测评报告的形式输出。
4.5 对测评活中输入输入的各类作业指导书、记录表单、报告及选取的测评设备必须进行评审,确保其准确和稳定。并做相应的验证及分析。
Ø 输入包括:功能和性能的要求;
适用的法律法规要求;
成熟的作业指导书;
Ø 对所有的输入进行评审:确保输入是充分的,适宜的,要求不可自相矛盾,完整,清楚;
Ø 保证测评活动中的各类输出记录的完整性和准确性;
Ø 质量部针对测评输入进行验证,并在放行前得到测评中心主任和被测评单位批准;
Ø 质量部针对测评输出(如测评记录和测评报告)进行评审,并由测评中心主任审批后方可提交客户;
Ø 质量部对选取的测评设备进行校验,确保设备的可靠性和检测数据准确性;
五、系统集成建设和服务提供的控制 测评中心依通过以下方式来对测评过程进行质量控制:
1.测评部提供可以说明测评有关特性的信息(测评方案、项目计划书等),对测评的重要节点进行重点控制;
2.向现场测评活动提供各类作业指导书,给出更为详细的测评规范和方法,指导现场测评;
3.测评部选取测评活动所需要的测评设备种类及数量,并对测评设备进行适宜的维护,确保设备的运行能力。
4.在现场测评过程中,质量部对测评设备的运行以及测评输出的数据进行监督管理,确保在现场测评过程中不断的测量及监控测评设备检测过程的变化,为调整和修正这些变化提供保证;
5.对测评的重要特性形成的过程执行监控和测量活动,通过对现场测评师,测评设备,测评方法都进行监控,保证测评质量满足要求;
6.测评部按照预先与被测评单位商定的验收时间,执行规定的测评结果交付活动;
未通过质量部评审合格或不满足测评要求的测评项目不得放行。
7.被测评单位资产:测评过程中有被测评单位提供的场地、终端设备、用户的知识产权的保护,包括系统需求、图样等都是客户资产,进场前与客户进行验证确认,明确其状态,并在现场测评活动中加以保护,发生损坏及时向客户报告,必要时予以修复或赔偿。
六、测评设备的质量管理 测评中心管理部负责维护、保养测评中心现有测评设备,建立《测评设备清单》,《编制保养计划》,《设备履历卡》,《维修记录》,确保测评设备的运行正常、测评数据准确。
测评部协助管理部对测评设备进行日常保养,包括测设备的版本升级、校对和维修。当发现测评设备不符合要求时,对以往的测量结果进行有效性的评价和记录,对该设备和任何受影响的测评项目采取补救措施。校准和验证结果的记录应予以保持。
质量部对测评设备的日常保养进行监督管理,对各项文档记录进行审核后由管理部存档。
七、质量方针和质量总目标 1.质量方针:技术先进、诚信服务、用户至上。
2.质量总目标:
Ø 等级保护测评方案评审一次成功;
Ø 测评质量目标:等级保护测评报告评审一次成功;
Ø 顾客满意率:≥95%。
Ø 等级保护测评报告准时交付率:≥80%。
3.宣贯方式:通过会议、质量手册、培训等方式确保传递到测评中心的每一位员工,总质量目标分解到各部门。
4.质量目标分解 Ø 管理部:培训计划完成率98%;
文件资料管理失误次数每年度小于3次。
Ø 市场部:客户服务体系完成98%;
合同评审率100%。
Ø 研究部:测评方案、作业指导书研究完成100%。
Ø 测评部:测评方案一次成功;
测评报告一次成功;
测评过程各节点质量控制100%符合等保测评技术标准;
准时交付率80%;
客户满意度95%。
Ø 质量部:质量管理体系完成100%;
测评项目质量监督完成100%。
八、质量文件的修订 测评中心测评项目质量监督管理制度依据ISO9001:2000质量管理体系的要求,结合等级保护测评相关法规和技术标准编制而成。测评中心质量部每年年底前至少重新校正一次,并参照以往质量管理实际情况检查各项标准及规范的合理性,进行修订。 质量管理体系产品实现的过程图 市场部 测评部 质量部 测评部 质量部 管理部 质量部 客户要求 测评设计 验证 输出 输入 评审 确认 编写测评方案 前期调查 作业指导书 测评设备的选用 方案评审 客户确认 测评计划 作业指导书 设备校对 现场测评 报告评审 编写测评报告 满意度衡量及售后服务 Y 客户 N 顾客抱怨 原因分析,纠正措施,预防不合规的再发生,质量改进活动 改进措施实施的验证,结果确认,PDCA
第二篇:等保工作流程简介
等级保护定级备案→等级保护差距分析→等级保护整改建议方案→等级保护整改实施→等级保护测评→等级保护检查
● 等级保护定级备案
对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后完成保护等级的备案工作。
● 等级保护差距分析
通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统安全工作有的放矢。
● 等级保护整改建议方案
根据评估的结果和信息系统确认的保护等级,结合公安部《信息系统安全等级保护基本要求》中对各级别信息系统的技术、管理和运维方面的要求,调整相应的安全保护措施,并完成等级保护整改建议方案的设计。
● 等级保护整改实施
依据规划提供详细设计和等级保护系统建设服务,确保保障等级能够达到信息系统所要求的保护等级,或者协助用户进行等级保护的实施,对承建商的工作进行监理。
● 等级保护测评
在信息系统进行完成定级和整改实施之后,需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,提供的测评服务将协助用户完成等级保护测评工作。
● 等级保护检查
在信息系统进行完成定级和整改实施之后,用户需要对信息系统的安全技术和安全管理上各个层面的安全控制进行检查,并准备检查所需要的文档和资料,配合公安机关开展现场的检查工作。
第三篇:2012年度等保工作总结
根据电监会、集团公司信息安全等级保护工作要求,结合公司实际情况,在定级为二级保护的基础上,按照二级等级保护要求,认真开展信息安全等级保护建设、自查和整改工作,落实等级保护各项任务,提高公司信息系统安全防护能力。现将2012年信息安全自查工作开展情况总结如下:
一、信息安全保护工作开展情况
1、制定信息安全规划,明确公司信息安全策略,规划信息安全技术层面和管理方面的建设内容。
2、制、修订《Q/AEPC.G09-6-2009 计算机网络系统管理制度》、《Q/AEPC.G09-7-2009 信息机房管理制度》、《Q/AEPC.G09-9-2009 服务器管理及数据备份管理制度》、《Q/AEPC.G17-21-2011 网络与信息系统安全管理制度》、《Q/AEPC.G17-20-2009 网络与信息系统安全风险应急预案管理制度》、《Q/AEPC.G17-25-2009 信息保密管理制度》、《Q/AEPC.J11-3-2009 网络控制策略规范》、《Q/AEPC.J11-4-2009 信息机房环境和监测规范》等信息安全制度规范,规范公司信息安全管理涉及的机房、服务器、网络、用户接入、数据保密、数据备份和恢复、边界防护、风险防范等各方面的内容。
3、网络边界购置部署防火墙、IPS等设备,设置过滤、入侵检测策略,提高内部网络安全性。采取ip-mac-port绑定的方式对用户接入进行管理,防止未授权用户接入内部网络。部署上网行为管理设备,根据策略管控规范用户上网行为。对登录网络设备的用户进行身份鉴别,设置唯一的管理员标识和登录地址限制。
4、管理员统一管理主机,操作票审批通过才能操作主机,监督人旁站监督。关闭服务器远程桌面管理,对服务器的操作只能在机房监控室通过KVM切换进行。操作系统管理员口令满足复杂度要求并定期更换,启用登录失败处理功能,采取结束会话、限制非法登录次数和自动退出等措施进行保护。
5、梳理现有应用系统,根据应用系统的重要性以及新环境下的需求,修订完善应急预案,并实施“SSL VPN宕机”和“网页篡改”两个预案的演练。
6、根据年度工作计划,对合肥、宿州、田集、虎山等4个项目部进行了信息安全检查、MIS应用及信息安全培训。
二、存在的问题
1、信息安全规章制度还不完善,未能覆盖到信息系统安全所有方面。
2、专业技术人员较少,技术力量薄弱。
3、信息系统建设和信息安全保护工作投入的经费不足。
三、整改方向
1、进一步完善信息安全相关规章制度,实现信息安全的规范管理。
2、建立集中日志分析审计管理系统,对防火墙、SSL VPN等网络设备产生的日志统一管理,并能自动分析并产生告警。
3、部署网络管理平台,实时对网络设备、物理链路的运行情况等进行监测,对于设备和链路的异常提供告警等服务。
4、识别防火墙、IPS、SSL VPN、WebLogic、Oracle等系统存在的弱点,经测试后分别编制加固手册,根据加固手册对系统进行加固,提高其安全性
5、加强对计算机安全知识的培训,定期开展信息安全检查工作,提高人员安全防护意识。
第四篇:等保二级管理要求
1.
1管理要求
1.1.1
安全管理制度
1.1.1.1
管理制度(G2)
本项要求包括:
a)
应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;
b)
应对安全管理活动中重要的管理内容建立安全管理制度;
c)
应对安全管理人员或操作人员执行的重要管理操作建立操作规程。
1.1.1.
2制定和发布(G2)
本项要求包括:
a)
应指定或授权专门的部门或人员负责安全管理制度的制定;
b)
应组织相关人员对制定的安全管理制度进行论证和审定;
c)
应将安全管理制度以某种方式发布到相关人员手中。
1.1.1.
3评审和修订(G2)
应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。
1.1.2
安全管理机构
1.1.2.
1岗位设置(G2)
本项要求包括:
a)
应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
b)
应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
1.1.2.
2人员配备(G2)
本项要求包括:
a)
应配备一定数量的系统管理员、网络管理员、安全管理员等;
b)
安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
1.1.2.
3授权和审批(G2)
本项要求包括:
a)
应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;
b)
应针对关键活动建立审批流程,并由批准人签字确认。
1.1.2.
4沟通和合作(G2)
本项要求包括:
a)
应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通;
b)
应加强与兄弟单位、公安机关、电信公司的合作与沟通。
1.1.2.
5审核和检查(G2)
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
1.1.
3人员安全管理
1.1.3.
1人员录用(G2)
本项要求包括:
a)
应指定或授权专门的部门或人员负责人员录用;
b)
应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核;
c)
应与从事关键岗位的人员签署保密协议。
1.1.3.
2人员离岗(G2)
本项要求包括:
a)
应规范人员离岗过程,及时终止离岗员工的所有访问权限;
b)
应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
c)
应办理严格的调离手续。
1.1.3.
3人员考核(G2)
应定期对各个岗位的人员进行安全技能及安全认知的考核。
1.1.3.
4安全意识教育和培训(G2)
本项要求包括:
a)
应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b)
应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;
c)
应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。
1.1.3.
5外部人员访问管理(G2)
应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
1.1.
4系统建设管理
1.1.4.
1系统定级(G2)
本项要求包括:
a)
应明确信息系统的边界和安全保护等级;
b)
应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由;
c)
应确保信息系统的定级结果经过相关部门的批准。
1.1.4.
2安全方案设计(G2)
本项要求包括:
a)
应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
b)
应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案;
c)
应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;
d)
应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。
1.1.4.
3产品采购和使用(G2)
本项要求包括:
a)
应确保安全产品采购和使用符合国家的有关规定;
b)
应确保密码产品采购和使用符合国家密码主管部门的要求;
c)
应指定或授权专门的部门负责产品的采购。
1.1.4.
4自行软件开发(G2)
本项要求包括:
a)
应确保开发环境与实际运行环境物理分开;
b)
应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
c)
应确保提供软件设计的相关文档和使用指南,并由专人负责保管。
1.1.4.
5外包软件开发(G2)
本项要求包括:
a)
应根据开发要求检测软件质量;
b)
应确保提供软件设计的相关文档和使用指南;
c)
应在软件安装之前检测软件包中可能存在的恶意代码;
d)
应要求开发单位提供软件源代码,并审查软件中可能存在的后门。
1.1.4.6
工程实施(G2) 本项要求包括:
a)
应指定或授权专门的部门或人员负责工程实施过程的管理;
b)
应制定详细的工程实施方案,控制工程实施过程。
1.1.4.7
测试验收(G2)
本项要求包括:
a)
应对系统进行安全性测试验收;
b)
在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;
c)
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
1.1.4.8
系统交付(G2)
本项要求包括:
a)
应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
b)
应对负责系统运行维护的技术人员进行相应的技能培训;
c)
应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。
1.1.4.9
安全服务商选择(G2)
本项要求包括:
a)
应确保安全服务商的选择符合国家的有关规定;
b)
应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
c)
应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。
1.1.
5系统运维管理
1.1.5.
1环境管理(G2)
本项要求包括:
a)
应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
b)
应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
c)
应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
d)
应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。
1.1.5.
2资产管理(G2)
本项要求包括:
a)
应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;
b)
应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
1.1.5.
3介质管理(G2)
本项要求包括:
a)
应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;
b)
应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点;
c)
应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏;
d)
应根据所承载数据和软件的重要程度对介质进行分类和标识管理。
1.1.5.
4设备管理(G2)
本项要求包括:
a)
应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
b)
应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;
c)
应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现关键设备(包括备份和冗余设备)的启动/停止、加电/断电等操作; d)
应确保信息处理设备必须经过审批才能带离机房或办公地点。
1.1.5.
5网络安全管理(G2)
本项要求包括:
a)
应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
b)
应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;
c)
应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
d)
应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
e)
应对网络设备的配置文件进行定期备份;
f)
应保证所有与外部系统的连接均得到授权和批准。
1.1.5.6
系统安全管理(G2)
本项要求包括:
a)
应根据业务需求和系统安全分析确定系统的访问控制策略;
b)
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
c)
应安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;
d)
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定;
e)
应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作;
f)
应定期对运行日志和审计数据进行分析,以便及时发现异常行为。
1.1.5.7
恶意代码防范管理(G2)
本项要求包括: a)
应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查;
b)
应指定专人对网络和主机进行恶意代码检测并保存检测记录;
c)
应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。
1.1.5.8
密码管理(G2)
应使用符合国家密码管理规定的密码技术和产品。
1.1.5.9
变更管理(G2)
本项要求包括:
a)
应确认系统中要发生的重要变更,并制定相应的变更方案;
b)
系统发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告。
1.1.5.10
备份与恢复管理(G2)
本项要求包括:
a)
应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b)
应规定备份信息的备份方式、备份频度、存储介质、保存期等;
c)
应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法。
1.1.5.1
1安全事件处置(G2)
本项要求包括:
a)
应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
b)
应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
c)
应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分; d)
应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。
1.1.5.12 应急预案管理(G2)
本项要求包括:
a)
应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;
b)
应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。
第五篇:等保物理层面重点讲义资料
[物理安全]防盗窃和防破坏
一、要求内容
a) 应将主要设备放置在机房内;
b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;
c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d) 应对介质分类标识,存储在介质库或档案室中;
e) 应利用光、电等技术设置机房防盗报警系统;
f) 应对机房设置监控报警系统。
二、实施建议
首先需要明确所有信息资产都应根据其重要程度实施物理上的保护措施。
制定完整、统
一、唯
一、详细的资产分类和标识规定,并应在资产的明显出进行标记;在实施物理保护措施的同时增加监控、报警系统对资产的安全进行辅助管理,如在重要资产存放区域和附近增加红外或感应报警系统。
三、常见问题
虽然多数单位能够做到对重要资产采取基本的安全保护措施,但对线缆一类的资产则可能忽略采取保护手段,而且大都缺少很好资产分类和标识规定,尤其是经过多次易手的组织资产,经常是没有对资产进行标记,有的甚至出现多种不同的标签。
四、实施难点
对于信息资产的分类和标记方法应当尽量做到与财务或行政部门对固定资产的要求相一致。
五、测评方法 形式
访谈,检查。
对象
物理安全负责人,机房维护人员,资产管理员,设备,介质,通信线缆,机房设施,介质清单和使用记录,通信线路布线文档,运行和报警记录,监控记录,防盗报警系统和监控报警系统的安全资质材料、安装测试/验收报告。
实施
a) 应访谈物理安全负责人,采取了哪些防止设备、介质等丢失的保护措施;
b) 应访谈机房维护人员,询问主要设备放置位置是否做到安全可控,设备或主要部件是否进行了固定和标记,通信线缆是否铺设在隐蔽处;是否设置了冗余或并行的通信线路;是否对机房安装的防盗报警系统和监控报警系统进行定期维护检查;
c) 应访谈资产管理员,在介质管理中,是否进行了分类标识,是否存放在介质库或档案室中;
d) 应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内;检查主要设备或设备的主要部件的固定情况,是否不易被移动或被搬走,是否设置明显的不易除去的标记;是否有设备物理位置图,是否经常检查设备物理位置的变化;
e) 应检查通信线缆铺设是否在隐蔽处(如铺设在地下或管道中等);
f) 应检查介质的管理情况,查看介质是否有正确的分类标识,是否存放在介质库或档案室中;是否有异地保存的措施; g) 应检查机房防盗报警设施是否正常运行,并查看运行和报警记录;应检查机房的摄像、传感等监控报警系统是否正常运行,并查看运行记录、监控记录和报警记录;
h) 应检查是否有通信线路布线文档,介质清单和使用记录,机房防盗报警设施和监控报警设施的安全资质材料、安装测试/验收报告;查看文档中的条文是否与通信线缆铺设等实际情况一致。
[物理安全]物理访问控制
一、要求内容
a) 机房出入口应安排专人值守并配置电子门禁系统,控制、鉴别和记录进入的人员;
b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
d) 重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员。
二、实施建议
机房进出通过双向电子门禁系统进行控制,可通过门禁电子记录或填写出入记录单的形式记录进出人员和时间,有能力的单位应当增设保安人员在门外值守;机房的内和外部临近入口区域要安装摄像头保证全部范围覆盖,外来人员进入机房应当由专人全程陪同;对于系统较多、机房面积较大的有能力单位应将机房按系统和设备的重要程度划分不同的单独区域进行物理隔离,采用双向电子门禁系统控制,联通各区域间的通道空间便形成机房的过渡缓冲区。
三、常见问题
很多单位的机房仅采用了单向门禁系统,并且对人员进出缺少完整和严格的记录要求;规模较小的机房通常没有安装监控设施。
四、实施难点
增加机房物理访问控制的措施需要较大的资金投入,加之领导对机房安全的重视程度不够,对于众多小企业,对有限的机房空间实施完整的安全访问控制较难实现。
五、测评方法 形式
访谈,检查。
对象
物理安全负责人,机房值守人员,机房,机房设施(电子门禁系统),机房安全管理制度,值守记录,进入机房的登记记录,来访人员进入机房的审批记录,电子门禁系统记录,电子门禁验收文档或安全资质,电子门禁运行维护记录。实施 a) 应访谈物理安全负责人,了解具有哪些控制机房进出的能力; b) 应访谈物理安全负责人,如果业务或安全管理需要,是否对机房进行了划分区域管理,是否对各个区域都有专门的管理要求;是否严格控制来访人员进入或一般不允许来访人员进入; c) 应访谈机房值守人员,询问是否认真执行有关机房出入的管理制度,是否对进入机房的来访人员记录在案; d) 应检查机房安全管理制度,查看是否有关于机房出入方面的规定; e) 应检查机房出入口是否有专人值守,是否有值守记录,以及进出机房的来访人员登记记录;检查机房是否存在电子门禁系统控制之外的出入口; f) 应检查机房,是否有进入机房的人员身份鉴别措施,如戴有可见的身份辨识标识; g) 应检查是否有来访人员进入机房的审批记录,进出机房的有关记录是否保存足够的时间; h) 应检查机房区域划分是否合理,是否在机房重要区域前设置交付或安装等过渡区域;是否对不同区域设置不同机房或者同一机房的不同区域之间设置有效的物理隔离装置(如隔墙等); i) 应检查机房和重要区域配置的电子门禁系统是否有验收文档或产品安全认证资质; j) 应检查每道电子门禁系统是否都能正常工作;查看每道电子门禁系统运行、维护记录;查看监控进入机房的电子门禁系统记录,是否能够鉴别和记录进入的人员身份。
[物理安全]物理位置的选择
物理位置项要求包括:
a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 实施建议
一般建筑物在防震、防风、防雨基本满足要求
主要是重点机房要满足要求,避免在顶层或地下,一般选择在建筑物2-3层 对于重要行业单位极其重要的主机房和灾备机房,一般要选择自然灾害较少的地区,目标主要集中在北京、上海、深圳、西安、成都等地区
常见问题
项目中经常看到有些客户的机房设置在顶层或地下,也曾发现机房防水做的较差,有空调漏水的现象。还有一些与单位食堂等邻近,也应尽量避免。 实施难点
一般单位由于场地与环境的限制,机房选择不由IT部门决定。领导层由于不了解机房位置方面的隐患,需要技术人员及时告诉领导机房物理安全威胁。测评方法 访谈,检查。
物理安全负责人,机房维护人员,机房,办公场地,机房场地设计/验收文档。 a)应访谈物理安全负责人,询问现有机房和办公场地(放置终端计算机设备)的环境条件是否能够满足信息系统业务需求和安全管理需求,是否具有基本的防震、防风和防雨等能力;询问机房场地是否符合选址要求;机房与办公场地是否尽量安排在一起或物理位置较近; b)应访谈机房维护人员,询问是否存在因机房和办公场地环境条件引发的安全事件或安全隐患;如果某些环境条件不能满足,是否及时采取了补救措施; c)应检查机房和办公场地的设计/验收文档,是否有机房和办公场地所在建筑能够具有防震、防风和防雨等能力的说明;是否有机房场地的选址说明;是否与机房和办公场地实际情况相符合;
d)应检查机房和办公场地是否在具有防震、防风和防雨等能力的建筑内;
e)应检查机房场地是否不在建筑物的高层或地下室,以及用水设备的下层或隔壁。
[物理安全]防雷击
一、要求内容
a) 机房建筑应设置避雷装置;
b) 应设置防雷保安器,防止感应雷;
c) 机房应设置交流电源地线。
二、实施建议
对于有条件和要求较高的机房应当安装避雷装置,并做好相应的接地设施。实施计划应在机房建设初期进行规划。
三、常见问题
多数小企业的机房没有足够的资金投入建立足够的防雷措施。
四、实施难点
由于建立一整套防雷设施需要较高的资金投入,同时需要在机房建设初期就做好规划,后期改建将增加成本的投入。
五、测评方法 形式
访谈,检查,测试。
对象
物理安全负责人,机房维护人员,机房设施,建筑防雷设计/验收文档。 实施 a) 应访谈物理安全负责人,询问为防止雷击事件导致重要设备被破坏采取了哪些防护措施,机房建筑是否设置了避雷装置,是否通过验收或国家有关部门的技术检测;询问机房计算机系统接地是否设置了专用地线;是否在电源和信号线增加有资质的避雷装置,以避免感应雷击;b) 应访谈机房维护人员,询问机房建筑避雷装置是否有人定期进行检查和维护;询问机房计算机系统接地(交流工作接地、安全保护接地、防雷接地)是否符合GB50174-93《电子计算机机房设计规范》的要求;
c) 应检查机房是否有建筑防雷设计/验收文档,查看是否有地线连接要求的描述,与实际情况是否一致; d) 应检查机房是否在电源和信号线增加有资质的避雷装置,以避免感应雷击; e) 应测试机房安全保护地、防雷保护地、交流工作地的接地电阻,是否达到了GB50174-93《电子计算机机房设计规范》的接地电阻要求。
[物理安全]温度和湿度控制
一、要求内容
机房应设置温湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
二、实施建议
机房内应使用可调节温湿度的空调,尽量保证相对湿度控制在45%-65%,夏季温度控制在23 ±2 ℃,冬季温度控制在20±2℃,温度变化率不超过5℃/h, 并且不得结露。空调系统应连接到机房环境控制系统中统一管理。
三、常见问题
多数单位的机房没有使用能够控制湿度的空调系统。
四、实施难点
带湿度控制的空调价格比较昂贵,且需要对水管的布置进行考虑。可以使用其他方法增加机房内的湿度,使用湿度表进行监控。
五、测评方法 形式
访谈,检查。
对象
物理安全负责人,机房维护人员,机房设施,温湿度控制设计/验收文档,温湿度记录、运行记录和维护记录。
实施 a) 应访谈物理安全负责人,询问机房是否配备了温湿度自动调节设施,保证温湿度能够满足计算机设备运行的要求,是否在机房管理制度中规定了温湿度控制的要求,是否有人负责此项工作; b) 应访谈机房维护人员,询问是否定期检查和维护机房的温湿度自动调节设施,询问是否没有出现过温湿度影响系统运行的事件;应检查机房是否有温湿度控制设计/验收文档,是否能够满足系统运行需要,是否与当前实际情况相符合; d) 应检查温湿度自动调节设施是否能够正常运行,查看温湿度记录、运行记录和维护记录;查看机房温、湿度是否满足GB 2887-89《计算站场地技术条件》的要求。
[物理安全]防火
一、要求内容 a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
二、实施建议
在机房内安装温感或烟感探测器,连接到机房环境检测系统中;采用的灭火方式尽量选择气体灭火系统,如CO
2、FM-200、气溶胶和烟烙尽等。对于重要的核心设备区域应建立防火隔离区域。
三、常见问题
多数小企业没有足够能力在机房中安装气体灭火系统,通常机房都是在写字楼房间的基础上改建的,火警检测装置也大都是写字楼原来的,无法实现自行监控;机房建筑材料上也不能使用耐火材料。
四、实施难点
由于气体灭火系统、火警检测系统和耐火建筑材料的使用需要大量的资金投入,对于能力有限的企业难以实现,应尽量采取其他替代方法。
五、测评方法 形式
访谈,检查。
对象
物理安全负责人,机房维护人员,机房值守人员,机房设施,机房安全管理制度,机房防火设计/验收文档,自动消防系统运行维护记录,自动消防系统设计/验收文档。
实施 a) 应访谈物理安全负责人,询问机房是否设置了灭火设备,是否设置了自动检测火情、自动报警、自动灭火的自动消防系统,是否有专人负责维护该系统的运行,是否制订了有关机房消防的管理制度和消防预案,是否进行了消防培训; b) 应访谈机房维护人员,询问是否对火灾自动消防系统定期进行检查和维护; c) 应访谈机房值守人员,询问对机房出现的消防安全隐患是否能够及时报告并得到排除;是否参加过机房灭火设备的使用培训,是否能够正确使用灭火设备和自动消防系统(喷水不适用于机房);是否能够做到随时注意防止和消灭火灾隐患; d) 应检查机房是否设置了自动检测火情(如使用温感、烟感探测器)、自动报警、自动灭火的自动消防系统,摆放位置是否合理,有效期是否合格;应检查自动消防系统是否正常工作,查看运行记录、报警记录、定期检查和维修记录; e) 应检查是否有机房消防方面的管理制度文档;检查是否有机房防火设计/验收文档;检查是否有机房自动消防系统的设计/验收文档,文档是否与现有消防配置状况一致;检查是否有机房及相关房间的建筑材料、区域隔离防火措施的验收文档或消防检查验收文档; f) 应检查机房是否采取区域隔离防火措施,将重要设备与其他设备隔离开。
[物理安全]防水和防潮
一、要求内容
a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
二、实施建议
在设计机房前应当规定水管安装,不得穿过机房屋顶和活动地板下;机房顶棚、地面和四周应做好防水处理,并加装防水检测和报警设施连接到机房环境监控系统中;有能力的机房可在机房顶部安装防漏水设施,在机房地面修建地漏、泄水槽和配置排水设备;机房内应使用可调节湿度的空调,空调应依据机房面积和设备数量安装,尽量保证设备工作在湿度45-60%之间。
三、常见问题
多数企业没有机房建设要求;只使用了普通的温度控制空调;没有安装防水检测系统
四、实施难点
完整的防水系统需要的资金投入较大,因此在建设机房初期就应当尽可能选择没有水管经过的房间和尽量不靠近建筑物外侧墙壁的地方。
五、测评方法 形式
访谈,检查。
对象
物理安全负责人,机房维护人员,机房设施,建筑防水和防潮设计/验收文档,机房湿度记录,防水防潮处理记录,除湿装置运行记录。
实施
a) 应访谈物理安全负责人,询问机房建设是否有防水防潮措施;如果机房内有上下水管安装,是否避免穿过屋顶和活动地板下,穿过墙壁和楼板的水管是否采取了的保护措施,如设置套管;在湿度较高地区或季节是否有人负责机房防水防潮事宜,配备除湿装置;
b) 应访谈机房维护人员,询问机房是否没有出现过漏水和返潮事件;如果机房内有上下水管安装,是否经常检查是否有漏水情况;如果出现机房水蒸气结露和地下积水的转移与渗透现象是否采取防范措施;
c) 应检查机房是否有建筑防水和防潮设计/验收文档,是否与机房防水防潮的实际情况一致;
d) 如果有管道穿过主机房墙壁和楼板处,应检查是否有必要的保护措施,如设置套管等;
e) 应检查机房是否不存在窗户、屋顶和墙壁等出现过漏水、渗透和返潮现象,机房及其环境是否不存在明显的漏水和返潮的威胁;如果出现漏水、渗透和返潮现象是否能够及时修复解决;
f) 如果在湿度较高地区或季节,应检查机房是否有湿度记录,是否有除湿装置并能够正常运行,是否有防止出现机房地下积水的转移与渗透的措施,是否有防水防潮处理记录和除湿装置运行记录,与机房湿度记录情况是否一致;
g) 如果机房受到漏水威胁很高,应检查是否设置水敏感的检测仪表或元件,对机房进行防水检测和报警,查看该仪表或元件是否正常运行以及运行记录,是否有人负责此项工作。
[物理安全]电磁防护
一、要求内容
a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
b) 电源线和通信线缆应隔离铺设,避免互相干扰;
c) 应对关键区域实施电磁屏蔽。
二、实施建议
通过将机架外壳接地的方式可以降低外界的电子干扰,对于要求较高的机房,如CA机房需要建立屏蔽室;机房布线要严格按照规定,强、弱电线路尽量原理,使用交叉走线,避免平行轴线;使用铁质线槽可以抵御电磁干扰并有效保护线缆安全。
三、常见问题
普通机房一般没有建立电磁防护设施;主要问题是机房内的走线比较混乱,尤其是在后期的使用过程中,某些公司的机房内有随意扯线的现象。
四、实施难点
建立完全电磁屏蔽的机房需要巨大的资金投入。
五、测评方法 形式
访谈,检查。对象
物理安全负责人,机房维护人员,机房设施,电磁防护设计/验收文档,电子屏蔽装置或屏蔽机房设计/验收文档,电磁泄露测试报告。
实施 a) 应访谈物理安全负责人,询问是否有防止外界电磁干扰和设备寄生耦合干扰的措施(包括设备外壳有良好的接地;电源线和通信线缆隔离等);是否对处理秘密级信息的设备和磁介质采取了防止电磁泄露的措施;是否在必要时对机房采用了电子屏蔽或安装屏蔽机房; b) 应访谈机房维护人员,询问是否对设备外壳做了良好的接地;是否做到电源线和通信线缆隔离;是否出现过因电磁防护问题引发的故障;处理秘密级信息的设备是否为低辐射设备;重要设备和磁介质是否存放在具有电磁屏蔽功能的容器中; c) 应检查机房是否有电磁防护设计/验收文档,与实际情况是否一致;是否有电子屏蔽或屏蔽机房设计/验收文档;是否有电子屏蔽或屏蔽机房的管理制度文档;d) 应检查机房是设备外壳是否有安全接地; e) 应检查机房布线,查看是否做到电源线和通信线缆隔离; f) 应检查磁介质是否存放在具有电磁屏蔽功能的容器中; g) 如果对机房采用了电子屏蔽,应检查在机房有设备运行时是否开启了电子屏蔽装置;如果安装了屏蔽机房,应检查进入机房的电源线和非光纤通信线是否经过滤波器,光纤通信线是否经过波导管,机房门是否及时关闭,屏蔽机房是否定期测试电磁泄露,应查看电磁泄露测试报告; h) 如果对机房采用了电子屏蔽或安装了屏蔽机房,应测试屏蔽机房的电磁泄露状况(参考标准GB12190-90 高性能屏蔽效能的测量方法)。
[物理安全]电力供应
一、要求内容 a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求; c) 应设置冗余或并行的电力电缆线路为计算机系统供电; d) 应建立备用供电系统。
二、实施建议
在电线路上配置稳压器和过电压防护设备以保证在电压突然变化时不影响到设备的正常运行;需要配备足够的UPS保证在段时间内断电的运行或至少保证服务器有足够的关机时间;机房电源应采取冗余形式,一般至少有2家不同的供电公司供电;有条件的企业可以配备发电机保证较长时间的应急供电。
三、常见问题
有些公司机房虽然配备了UPS设备,但对UPS没有定期进行可用性测试;多数公司由于受国家供电系统或楼宇供电的限制,只有一路供电。对于供电系统承载的负荷缺少明确要求。
四、测评方法 形式
访谈,检查。
对象
物理安全负责人,机房维护人员,机房设施,电力供应安全设计/验收文档,检查和维护记录。
实施 a) 应访谈物理安全负责人,询问计算机系统供电线路上是否设置了稳压器和过电压防护设备;是否设置了短期备用电源设备(如UPS),供电时间是否满足系统最低电力供应需求;是否安装了冗余或并行的电力电缆线路(如双路供电方式);是否建立备用供电系统(如备用发电机); b) 应访谈机房维护人员,询问是对在计算机系统供电线路上的稳压器、过电压防护设备、短期备用电源设备、电力电缆线路以及备用供电系统等进行定期检查和维护;是否能够控制电源稳压范围满足计算机系统正常运行; c) 应访谈机房维护人员,询问冗余或并行的电力电缆线路(如双路供电方式)在双路供电切换时是否能够对计算机系统正常供电;备用供电系统(如备用发电机)是否能够在规定时间内正常启动和正常供电; d) 应检查机房是否有电力供应安全设计/验收文档,查看文档中是否标明配备稳压器、过电压防护设备、备用电源设备、冗余或并行的电力电缆线路以及备用供电系统等要求;查看与机房电力供应实际情况是否一致; e) 应检查机房,查看计算机系统供电线路上的稳压器、过电压防护设备和短期备用电源设备是否正常运行,查看供电电压是否正常; f) 应检查是否有稳压器、过电压防护设备、短期备用电源设备以及备用供电系统等电源设备的检查和维护记录,以及冗余或并行的电力电缆线路切换记录,备用供电系统运行记录;以及上述计算机系统供电的运行记录,是否能够符合系统正常运行的要求; g) 应测试安装的冗余或并行的电力电缆线路(如双路供电方式),是否能够进行双路供电切换; h) 应测试备用供电系统(如备用发电机)是否能够在规定时间内正常启动和正常供电。 [物理安全]防静电
一、要求内容
a) 设备应采用必要的接地防静电措施;
b) 机房应采用防静电地板;
c) 应采用静电消除器等装置,减少静电的产生。
二、实施建议
机房设备应尽量做防静电处理,使用防静电地板,有能力的企业可使用静电消除设备,减少机房内静电发生的可能。
三、常见问题
一般机房缺少对静电控制方面的要求,也没有严格的实施。
四、实施难点
增加防静电手段会增加机房建设的成本。
五、测评方法 形式
访谈,检查。
对象
物理安全负责人,机房维护人员,设备,机房设施,防静电设计/验收文档,除湿操作记录。
实施 a) 应访谈物理安全负责人,询问机房是否采用必要的接地防静电措施;在静电较强地区的机房是否采取了有效的防静电措施; b) 应访谈机房维护人员,询问机房是否存在静电问题或因静电引起的故障事件;如果存在静电时是否及时采取消除静电的措施; c) 应检查机房是否有防静电设计/验收文档,与实际情况是否一致; d) 应检查机房是否有安全接地,查看机房是否不存在明显的静电现象; e) 应检查机房是否采用了防静电地板; f) 如果在静电较强的地区,应检查机房是否采用了如防静电工作台、以及静电消除剂和静电消除器等措施;应查看使用静电消除剂或静电消除器等的除湿操作记录。