機房如同軍事重地一樣，必須有森嚴的防衛與安全措施。機房進出管制記錄，主要記錄進出機房的人員其目的與事由。

查核重點：進出電腦機房等敏感地區是否加以管制，另是否安裝自動穩壓及不斷電系統，並定期維護。

提供資料：機房門禁權限清單、機房進出管制記錄登記表
電腦機房應考量火災、水災、地震等災害的實體安全防護措施，並考量鄰近空間的可能安全威脅。危險性及易燃性的物品，應存放在遠離電腦機房的安全地點。人員進入電腦機房應予適當的管制，人員只有在特定的目的或是被授權情形下，才能進入電腦機房。

通常我們對於機房都會設置門禁管制的機制，進出機房都必須要刷卡，以能稽核相關事件的處理人員的進出其目的與處理事件一致。除了有權限進出機房的人員，其刷卡記錄會由刷卡機記錄外，當有外單位人員（如廠商系統維護或修繕等）需要進出機房時，如果沒有妥善的紀錄，將會造成資安管理上的漏洞。如果再周延一點，機房也應該架設監視系統，以實際掌握機房中的狀態。

所以我們可以擬定一份「機房進出管制表」，記錄進出日期、姓名、單位、陪同人員、工作內容、備註等資訊，並提供主管審核欄位，供稽核與記錄。

我們公司門禁的設定由人事掌管，所以每次查核時，都會請人事提供機房進出的人員權限清單，審計人員會依據名單人員的職務詢問其進出機房的目的，並搭配機房配置的項目來檢討人員進出權限是否適當。以我們公司為例，機房與電話管線在同一區域，所以除了資訊人員之外，總務也可以進出機房。當初審計查核時，對這樣的設置是有疑慮的，因為進出人員相對複雜，他們建議將電話管線區域與機房機櫃空間隔離並設置進出管控。不過，因實際執行的困難，這點與之溝通後，他們只列為建議事項，並不作為書面審查中的建議項目。

另外在上櫃審查時，也會檢查機房內是否有不斷電系統、消防滅火設備等（如：乾式粉末滅火器、排煙偵測等），以及相關的維護紀錄。

全系列文章列表