等保测评高风险判定——第一章 物理环境篇

等保测评高风险判定——第一章 物理环境篇

安全物理环境

二级及以上系统高风险判定

1.1机房出入口访问控制措施缺失

要求项:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。

解读:机房出入口 无任何 访问控制措施；

举例:
1.例如未安装电子或机械门锁(包括机房大门处于未上锁状态);
2.机房出入口无专人值守等。

补偿措施:机房所在位置处于受控区域,非授权人员无法随意进出机房,可根据实际措施效果，酌情判定风险等级。

1.2机房防火措施缺失

要求项:机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。

解读:
1.机房无任何有效消防措施；
2.机房所采取的灭火系统或设备不符合国家的相关规定。

任意一条满足即可判定高风险。

举例:
1.例如无感应、检测火情等报警设施，灭火器等灭火设施；
2.消防设备未进行年检、已失效无法正常使用等情况;

补偿措施:
1.机房安排专人值守或设置了专人值守的视频监控系统,并且机房附近有符合国家消防标准的灭火设备，一旦发生火灾，能及时进行灭火。

1.3机房短期备用电力供应措施缺失

要求项:应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。

解读:
1.机房无短期备用电力供应设备；
2.机房现有备用电力供应无法满足定级对象短期正常运行。

任意一条满足即可判定高风险。

举例:
1.短期备用电力供应设备：UPS、柴油发电机、应急供电车等

补偿措施:
机房配备多路供电,可从供电方同时断电发生概率等角度进行调整风险。

1.4 云计算基础设施物理位置不当

要求项:应保证云计算基础设施位于中国境内。

解读:
1.云计算基础设施运行业务和承载数据的软硬件等不在中国境内。

举例:
1.云计算基础设施：云计算服务器.存储设备、网络设备、云管理平台、信息系统等。
补偿措施:
无。

三级及以上系统高风险判定

2.1机房防盗措施缺失

要求项:应设置机房防盗报警系统或设置有专人值守的视频监控系统。

解读:
1.机房或机房所在区域无防盗报警系统,无法对盗窃事件进行告警、追溯；
2.未设置有专人值守的视频监控系统。

所有条件满足才可判定高风险。

补偿措施:
1.机房出人口或机房所在区域有其他控制措施（如机房出入口设有专人值守,机房所在位置处于受控区域等）非授权人员无法进入该区域。

四级及以上系统高风险判定

3.1机房应急供电措施缺失

要求项:应提供应急供电设施。

解读:
1.机房未配备应急供电设施；
2.应急供电措施不可用或无法满足定级对象正常运行需求。

任意一条满足即可判定高风险。

举例:
1.应急供电设施：柴油发电机、应急供电车等。

补偿措施:
1.多路供电，设置双路市电。
2.采用多数据中心方式部署，且通过技术手段实现应用级灾备。

                                                    FROM：MZR