在 ISO27001 審核時(shí)，通常會(huì)去機(jī)房進(jìn)行審查。 機(jī)房是企業(yè)信息系統(tǒng)的重要物理設(shè)施場(chǎng)所，涉及到信息安全的多個(gè)方面，以下是審查機(jī)房的主要原因： **一、物理安全方面** 1. 門禁控制   - 審核員會(huì)檢查機(jī)房是否有嚴(yán)格的門禁系統(tǒng)，以確保只有授權(quán)人員能夠進(jìn)入。這包括門禁卡、密碼、生物識(shí)別等控制措施的有效性。   - 例如，查看門禁記錄，確認(rèn)是否有異常的進(jìn)入記錄；檢查門禁設(shè)備是否正常運(yùn)行，是否容易被破解或繞過。 2. 監(jiān)控設(shè)施   - 機(jī)房通常應(yīng)安裝監(jiān)控?cái)z像頭，審核員會(huì)檢查監(jiān)控系統(tǒng)的覆蓋范圍、圖像質(zhì)量和存儲(chǔ)時(shí)間是否符合要求。   - 例如，確認(rèn)監(jiān)控是否能夠覆蓋機(jī)房的關(guān)鍵區(qū)域，如入口、設(shè)備區(qū)等；檢查監(jiān)控錄像的保存期限是否足夠長(zhǎng)，以便在發(fā)生安全事件時(shí)進(jìn)行調(diào)查。 3. 環(huán)境控制   - 審核機(jī)房的溫度、濕度、電力供應(yīng)等環(huán)境條件是否符合設(shè)備運(yùn)行要求，以及是否有相應(yīng)的監(jiān)控和報(bào)警系統(tǒng)。   - 例如，檢查溫濕度傳感器的讀數(shù)是否在規(guī)定范圍內(nèi)；確認(rèn)備用電源系統(tǒng)是否能夠在主電源故障時(shí)及時(shí)啟動(dòng)，保證設(shè)備的持續(xù)運(yùn)行。 **二、設(shè)備安全方面** 1. 服務(wù)器和網(wǎng)絡(luò)設(shè)備   - 審核員會(huì)檢查服務(wù)器和網(wǎng)絡(luò)設(shè)備的配置和安全設(shè)置，包括訪問控制、加密、漏洞管理等。   - 例如，查看服務(wù)器的用戶權(quán)限設(shè)置是否合理，是否存在不必要的用戶或過高的權(quán)限；檢查網(wǎng)絡(luò)設(shè)備的防火墻規(guī)則是否嚴(yán)格，是否能夠有效阻止未經(jīng)授權(quán)的訪問。 2. 存儲(chǔ)設(shè)備   - 對(duì)于存儲(chǔ)重要數(shù)據(jù)的設(shè)備，審核員會(huì)關(guān)注其安全性，如加密、備份和恢復(fù)措施等。   - 例如，檢查存儲(chǔ)設(shè)備是否采用了加密技術(shù)保護(hù)數(shù)據(jù)；確認(rèn)備份策略是否有效，備份數(shù)據(jù)是否能夠及時(shí)恢復(fù)。 3. 安全設(shè)備   - 機(jī)房可能配備了防火墻、入侵檢測(cè)系統(tǒng)、UPS（不間斷電源）等安全設(shè)備，審核員會(huì)檢查這些設(shè)備的運(yùn)行狀態(tài)和配置是否正確。   - 例如，檢查防火墻的規(guī)則是否最新，是否能夠有效阻擋外部攻擊；確認(rèn)入侵檢測(cè)系統(tǒng)是否能夠及時(shí)發(fā)現(xiàn)異常行為并發(fā)出警報(bào)。 **三、管理措施方面** 1. 機(jī)房管理制度   - 審核員會(huì)審查機(jī)房的管理制度，包括設(shè)備維護(hù)、人員進(jìn)出管理、應(yīng)急響應(yīng)等方面的規(guī)定是否完善并得到有效執(zhí)行。   - 例如，查看機(jī)房維護(hù)記錄，確認(rèn)設(shè)備是否按照規(guī)定進(jìn)行定期維護(hù)；檢查人員進(jìn)出機(jī)房的登記記錄，是否嚴(yán)格執(zhí)行審批制度。 2. 標(biāo)識(shí)和文檔   - 機(jī)房?jī)?nèi)應(yīng)有清晰的標(biāo)識(shí)和文檔，如設(shè)備標(biāo)識(shí)、線路標(biāo)識(shí)、操作指南等，審核員會(huì)檢查這些標(biāo)識(shí)和文檔是否準(zhǔn)確、完整。   - 例如，確認(rèn)設(shè)備上的標(biāo)識(shí)是否與實(shí)際情況相符，便于維護(hù)和管理；檢查操作指南是否易于理解，是否能夠指導(dǎo)操作人員正確處理各種情況。