环境管理包括对各机房和办公环境的管理。一般来说,等级保护对象所使用的硬件设备,如网络设备、安全设备、服务器设备存储设备和存储介质,以及供电和通信用线缆等,都放置在机房,因此要确保机房运行环境的良好和安全。同时,工作人员办公时可能涉及到一些敏感信息或关键数据,所以还应对办公环境安全进行严格管理利控制。
| 10.1.1 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。 |
| 机房是存放等级保护对象基础设施的重要场所,要落实机房环境的管理责任人,因此要确保机房的运行环境良好、安全,应对机房环境进行严格管理和控制。 【测评方法】 1)访谈物理安全负责人是否指定部门和人员负责机房安全管理工作,如对机房的出入进行管理、对基础设施(如空调、供配电设备、灭火设备等)进行定期维护。 2)核查来访人员登记记录。 3)来访人员记录内容是否包括了来访人员、来访时间、离开时间、携带物品等。 4)核查设施维护记录。 5)设施维护记录内容是否包括了维护日期、维护人、维护设备、故障原因、维护结果等。 【预期结果】 1)指定部门和人员负责机房安全管理工作,如对机房的出入进行管理、对基础设施(如空调、供配电设备、灭火设备等)进行定期维护。 2)具有来访人员登记记录。 3)来访人员记录内容包括了来访人员、来访时间、离开时间、携带物品等。 4)具有设施维护记录。 5)设施维护记录内容包括了维护日期、维护人、维护设备、故障原因、维护结果等。 【权重】0.7 |
| 10.1.2 应建立机房安全管理制度,对有关物理访问、物品进出和环境安全等方面的管理作出规定。 |
| 【要求解读】 为保证系统有个良好、安全的运行环境,应针对机房制定相应的管理规定或要求。 【测评方法】 1)核查机房安全管理制度 2)制度内容是否包括了机房物理访问、物品带进带出机房和机房环境安全等。 3)核查机房物理访问、物品带进带出机房和机房环境安全等相关记录。 【预期结果】 1)具有机房安全管理制度。 2)制度内容包括了机房物理访问、物品带进带出机房和机房环境安全等。 3)具有机房物理访问、物品带进带出机房和机房环境安全等相关记录 【权重】0.7 |
| 10.1.3 应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。 |
| 加强内部办公环境的管理是控制网络安全风险的措施之一,为保证内部办公环境的独立性、敏感性,应降低外部人员无意或有意访问内部区域的可能性,同时杜绝内部员工因无意行为而泄露敏感文档而导致网络安全事件的发生。 【测评方法】 1)核查办公环境的安全管理制度。 2)制度内容是否明确了来访人员的接待区域。 3)核查员工的办公桌面上是否含有敏感信息的纸档文件和移动介质等。 【预期结果或主要证据】 1)具有办公环境的安全管理制度。 2)制度内容明确了来访人员的接待区域。 3)员工的办公桌面上不含有敏感信息的纸档文件和移动介质等 【权重】0.7 |
