在 ISO27001 審核時(shí)，通常會(huì)去機(jī)房進(jìn)行審查,。 機(jī)房是企業(yè)信息系統(tǒng)的重要物理設(shè)施場(chǎng)所,，涉及到信息安全的多個(gè)方面,，以下是審查機(jī)房的主要原因： **一,、物理安全方面** 1. 門禁控制   - 審核員會(huì)檢查機(jī)房是否有嚴(yán)格的門禁系統(tǒng),，以確保只有授權(quán)人員能夠進(jìn)入。這包括門禁卡,、密碼,、生物識(shí)別等控制措施的有效性,。   - 例如,，查看門禁記錄，確認(rèn)是否有異常的進(jìn)入記錄,；檢查門禁設(shè)備是否正常運(yùn)行,，是否容易被破解或繞過。 2. 監(jiān)控設(shè)施   - 機(jī)房通常應(yīng)安裝監(jiān)控?cái)z像頭,，審核員會(huì)檢查監(jiān)控系統(tǒng)的覆蓋范圍,、圖像質(zhì)量和存儲(chǔ)時(shí)間是否符合要求,。   - 例如，確認(rèn)監(jiān)控是否能夠覆蓋機(jī)房的關(guān)鍵區(qū)域,，如入口,、設(shè)備區(qū)等；檢查監(jiān)控錄像的保存期限是否足夠長(zhǎng),，以便在發(fā)生安全事件時(shí)進(jìn)行調(diào)查,。 3. 環(huán)境控制   - 審核機(jī)房的溫度、濕度,、電力供應(yīng)等環(huán)境條件是否符合設(shè)備運(yùn)行要求,，以及是否有相應(yīng)的監(jiān)控和報(bào)警系統(tǒng)。   - 例如,，檢查溫濕度傳感器的讀數(shù)是否在規(guī)定范圍內(nèi),；確認(rèn)備用電源系統(tǒng)是否能夠在主電源故障時(shí)及時(shí)啟動(dòng)，保證設(shè)備的持續(xù)運(yùn)行,。 **二,、設(shè)備安全方面** 1. 服務(wù)器和網(wǎng)絡(luò)設(shè)備   - 審核員會(huì)檢查服務(wù)器和網(wǎng)絡(luò)設(shè)備的配置和安全設(shè)置，包括訪問控制,、加密,、漏洞管理等,。   - 例如，查看服務(wù)器的用戶權(quán)限設(shè)置是否合理,，是否存在不必要的用戶或過高的權(quán)限,；檢查網(wǎng)絡(luò)設(shè)備的防火墻規(guī)則是否嚴(yán)格，是否能夠有效阻止未經(jīng)授權(quán)的訪問,。 2. 存儲(chǔ)設(shè)備   - 對(duì)于存儲(chǔ)重要數(shù)據(jù)的設(shè)備,，審核員會(huì)關(guān)注其安全性，如加密,、備份和恢復(fù)措施等,。   - 例如，檢查存儲(chǔ)設(shè)備是否采用了加密技術(shù)保護(hù)數(shù)據(jù),；確認(rèn)備份策略是否有效,，備份數(shù)據(jù)是否能夠及時(shí)恢復(fù)。 3. 安全設(shè)備   - 機(jī)房可能配備了防火墻,、入侵檢測(cè)系統(tǒng),、UPS（不間斷電源）等安全設(shè)備，審核員會(huì)檢查這些設(shè)備的運(yùn)行狀態(tài)和配置是否正確,。   - 例如,，檢查防火墻的規(guī)則是否最新，是否能夠有效阻擋外部攻擊,；確認(rèn)入侵檢測(cè)系統(tǒng)是否能夠及時(shí)發(fā)現(xiàn)異常行為并發(fā)出警報(bào),。 **三、管理措施方面** 1. 機(jī)房管理制度   - 審核員會(huì)審查機(jī)房的管理制度,，包括設(shè)備維護(hù),、人員進(jìn)出管理、應(yīng)急響應(yīng)等方面的規(guī)定是否完善并得到有效執(zhí)行,。   - 例如,，查看機(jī)房維護(hù)記錄，確認(rèn)設(shè)備是否按照規(guī)定進(jìn)行定期維護(hù),；檢查人員進(jìn)出機(jī)房的登記記錄,，是否嚴(yán)格執(zhí)行審批制度。 2. 標(biāo)識(shí)和文檔   - 機(jī)房?jī)?nèi)應(yīng)有清晰的標(biāo)識(shí)和文檔,，如設(shè)備標(biāo)識(shí),、線路標(biāo)識(shí)、操作指南等,，審核員會(huì)檢查這些標(biāo)識(shí)和文檔是否準(zhǔn)確,、完整。   - 例如,，確認(rèn)設(shè)備上的標(biāo)識(shí)是否與實(shí)際情況相符,，便于維護(hù)和管理；檢查操作指南是否易于理解,，是否能夠指導(dǎo)操作人員正確處理各種情況,。