在 ISO27001 審核時(shí)，通常會(huì )去機房進(jìn)行審查。 機房是企業(yè)信息系統的重要物理設施場(chǎng)所，涉及到信息安全的多個(gè)方面，以下是審查機房的主要原因： **一、物理安全方面** 1. 門(mén)禁控制   - 審核員會(huì )檢查機房是否有嚴格的門(mén)禁系統，以確保只有授權人員能夠進(jìn)入。這包括門(mén)禁卡、密碼、生物識別等控制措施的有效性。   - 例如，查看門(mén)禁記錄，確認是否有異常的進(jìn)入記錄；檢查門(mén)禁設備是否正常運行，是否容易被破解或繞過(guò)。 2. 監控設施   - 機房通常應安裝監控攝像頭，審核員會(huì )檢查監控系統的覆蓋范圍、圖像質(zhì)量和存儲時(shí)間是否符合要求。   - 例如，確認監控是否能夠覆蓋機房的關(guān)鍵區域，如入口、設備區等；檢查監控錄像的保存期限是否足夠長(cháng)，以便在發(fā)生安全事件時(shí)進(jìn)行調查。 3. 環(huán)境控制   - 審核機房的溫度、濕度、電力供應等環(huán)境條件是否符合設備運行要求，以及是否有相應的監控和報警系統。   - 例如，檢查溫濕度傳感器的讀數是否在規定范圍內；確認備用電源系統是否能夠在主電源故障時(shí)及時(shí)啟動(dòng)，保證設備的持續運行。 **二、設備安全方面** 1. 服務(wù)器和網(wǎng)絡(luò )設備   - 審核員會(huì )檢查服務(wù)器和網(wǎng)絡(luò )設備的配置和安全設置，包括訪(fǎng)問(wèn)控制、加密、漏洞管理等。   - 例如，查看服務(wù)器的用戶(hù)權限設置是否合理，是否存在不必要的用戶(hù)或過(guò)高的權限；檢查網(wǎng)絡(luò )設備的防火墻規則是否嚴格，是否能夠有效阻止未經(jīng)授權的訪(fǎng)問(wèn)。 2. 存儲設備   - 對于存儲重要數據的設備，審核員會(huì )關(guān)注其安全性，如加密、備份和恢復措施等。   - 例如，檢查存儲設備是否采用了加密技術(shù)保護數據；確認備份策略是否有效，備份數據是否能夠及時(shí)恢復。 3. 安全設備   - 機房可能配備了防火墻、入侵檢測系統、UPS（不間斷電源）等安全設備，審核員會(huì )檢查這些設備的運行狀態(tài)和配置是否正確。   - 例如，檢查防火墻的規則是否最新，是否能夠有效阻擋外部攻擊；確認入侵檢測系統是否能夠及時(shí)發(fā)現異常行為并發(fā)出警報。 **三、管理措施方面** 1. 機房管理制度   - 審核員會(huì )審查機房的管理制度，包括設備維護、人員進(jìn)出管理、應急響應等方面的規定是否完善并得到有效執行。   - 例如，查看機房維護記錄，確認設備是否按照規定進(jìn)行定期維護；檢查人員進(jìn)出機房的登記記錄，是否嚴格執行審批制度。 2. 標識和文檔   - 機房?jì)葢星逦臉俗R和文檔，如設備標識、線(xiàn)路標識、操作指南等，審核員會(huì )檢查這些標識和文檔是否準確、完整。   - 例如，確認設備上的標識是否與實(shí)際情況相符，便于維護和管理；檢查操作指南是否易于理解，是否能夠指導操作人員正確處理各種情況。