机房安全控制

很多时候我都在想一些对手头上要完成的工作没有意义的事情。

比如今天下午花了很久时间想了关于机房安全控制问题。
Risk：未授权的机房访问，机房遭受物理破坏。

控制点：

Access to server room is restricted to authorized personnel.

Server room is equiped with control of environmental and physical exposure.(水灾火灾的)

Preventive control：

1.机房门一定要锁着，锁最好可以多用几个，还有不同人来hold住各把钥匙。

2.还要用门卡，门卡系统里最好加个人脸识别，或者指纹识别的。门卡系统里要保留详细信息，比如姓名，工号，啥时间进，啥时间出等，门卡。
Detective control：

1.review visitor log（electronic & paper），摄像头监控器什么的，定时人工巡视机房门是否锁着有没有异常

2.fire/water/smoke detector

Corrective control:

1.发现门没锁就锁好喽。

2.灭火器之类。

Evaluation of control:

P1,D1,C1,C2都有了

P2有，但是经常坏---有等于没有

D1有，但是难保证log完整

这个control overall到底是有效还是无效呢？

答案控制无效。

好问题解决。

但是如果出于某种主观原因希望这个control的结论是控制有效呢

于是

P2---mitigating factor：P1

D1---mitigating factor：无，但是log我说是完整的就是完整，你怎么说他不完整，好吧就是完整的。

看似有道理也看似没道理，于是就自己转圈了。

其实很多control，人是关键的。

就是这样。

[@more@]

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/514180/viewspace-1002294/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/514180/viewspace-1002294/