在 ISO27001 審核時，通常會去機房進行審查。 機房是企業(yè)信息系統(tǒng)的重要物理設施場所,，涉及到信息安全的多個方面，以下是審查機房的主要原因： **一,、物理安全方面** 1. 門禁控制   - 審核員會檢查機房是否有嚴格的門禁系統(tǒng),，以確保只有授權人員能夠進入。這包括門禁卡,、密碼,、生物識別等控制措施的有效性。   - 例如,，查看門禁記錄,，確認是否有異常的進入記錄；檢查門禁設備是否正常運行,，是否容易被破解或繞過,。 2. 監(jiān)控設施   - 機房通常應安裝監(jiān)控攝像頭，審核員會檢查監(jiān)控系統(tǒng)的覆蓋范圍,、圖像質量和存儲時間是否符合要求,。   - 例如，確認監(jiān)控是否能夠覆蓋機房的關鍵區(qū)域,，如入口,、設備區(qū)等；檢查監(jiān)控錄像的保存期限是否足夠長,，以便在發(fā)生安全事件時進行調查,。 3. 環(huán)境控制   - 審核機房的溫度、濕度,、電力供應等環(huán)境條件是否符合設備運行要求,，以及是否有相應的監(jiān)控和報警系統(tǒng)。   - 例如,，檢查溫濕度傳感器的讀數是否在規(guī)定范圍內,；確認備用電源系統(tǒng)是否能夠在主電源故障時及時啟動，保證設備的持續(xù)運行,。 **二,、設備安全方面** 1. 服務器和網絡設備   - 審核員會檢查服務器和網絡設備的配置和安全設置，包括訪問控制,、加密,、漏洞管理等。   - 例如,，查看服務器的用戶權限設置是否合理,，是否存在不必要的用戶或過高的權限；檢查網絡設備的防火墻規(guī)則是否嚴格，是否能夠有效阻止未經授權的訪問,。 2. 存儲設備   - 對于存儲重要數據的設備,，審核員會關注其安全性，如加密,、備份和恢復措施等,。   - 例如，檢查存儲設備是否采用了加密技術保護數據,；確認備份策略是否有效,，備份數據是否能夠及時恢復。 3. 安全設備   - 機房可能配備了防火墻,、入侵檢測系統(tǒng),、UPS（不間斷電源）等安全設備，審核員會檢查這些設備的運行狀態(tài)和配置是否正確,。   - 例如,，檢查防火墻的規(guī)則是否最新，是否能夠有效阻擋外部攻擊,；確認入侵檢測系統(tǒng)是否能夠及時發(fā)現異常行為并發(fā)出警報,。 **三、管理措施方面** 1. 機房管理制度   - 審核員會審查機房的管理制度,，包括設備維護,、人員進出管理、應急響應等方面的規(guī)定是否完善并得到有效執(zhí)行,。   - 例如,，查看機房維護記錄，確認設備是否按照規(guī)定進行定期維護,；檢查人員進出機房的登記記錄,，是否嚴格執(zhí)行審批制度。 2. 標識和文檔   - 機房內應有清晰的標識和文檔,，如設備標識,、線路標識、操作指南等,，審核員會檢查這些標識和文檔是否準確,、完整。   - 例如,，確認設備上的標識是否與實際情況相符,，便于維護和管理；檢查操作指南是否易于理解,，是否能夠指導操作人員正確處理各種情況,。