iT邦幫忙

DAY 17
6

IT上櫃心法系列 第 17

[IT上櫃心法]-16.機房進出管制記錄

  • 分享至 

  • xImage
  •  

機房如同軍事重地一樣,必須有森嚴的防衛與安全措施。機房進出管制記錄,主要記錄進出機房的人員其目的與事由。

查核重點:進出電腦機房等敏感地區是否加以管制,另是否安裝自動穩壓及不斷電系統,並定期維護。

提供資料:機房門禁權限清單、機房進出管制記錄登記表
電腦機房應考量火災、水災、地震等災害的實體安全防護措施,並考量鄰近空間的可能安全威脅。危險性及易燃性的物品,應存放在遠離電腦機房的安全地點。人員進入電腦機房應予適當的管制,人員只有在特定的目的或是被授權情形下,才能進入電腦機房。

通常我們對於機房都會設置門禁管制的機制,進出機房都必須要刷卡,以能稽核相關事件的處理人員的進出其目的與處理事件一致。除了有權限進出機房的人員,其刷卡記錄會由刷卡機記錄外,當有外單位人員(如廠商系統維護或修繕等)需要進出機房時,如果沒有妥善的紀錄,將會造成資安管理上的漏洞。如果再周延一點,機房也應該架設監視系統,以實際掌握機房中的狀態。

所以我們可以擬定一份「機房進出管制表」,記錄進出日期、姓名、單位、陪同人員、工作內容、備註等資訊,並提供主管審核欄位,供稽核與記錄。

我們公司門禁的設定由人事掌管,所以每次查核時,都會請人事提供機房進出的人員權限清單,審計人員會依據名單人員的職務詢問其進出機房的目的,並搭配機房配置的項目來檢討人員進出權限是否適當。以我們公司為例,機房與電話管線在同一區域,所以除了資訊人員之外,總務也可以進出機房。當初審計查核時,對這樣的設置是有疑慮的,因為進出人員相對複雜,他們建議將電話管線區域與機房機櫃空間隔離並設置進出管控。不過,因實際執行的困難,這點與之溝通後,他們只列為建議事項,並不作為書面審查中的建議項目。

另外在上櫃審查時,也會檢查機房內是否有不斷電系統、消防滅火設備等(如:乾式粉末滅火器、排煙偵測等),以及相關的維護紀錄。

全系列文章列表


上一篇
[IT上櫃心法]-15.資訊資產清冊
下一篇
[IT上櫃心法]-17.活動日誌覆核記錄
系列文
IT上櫃心法31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 則留言

0
海綿寶寶
iT邦大神 1 級 ‧ 2010-10-17 00:20:26

曾經遇過這種情形:
租用ThirdParty的機房(中華電信還是誰忘了)
機房管制頗為嚴格
各租用公司的人員名單必須於年初交付
效用持續一年
一年當中名單以外的人禁止進入
一年當中若要修改名單必須有特殊正當理由並由公司負責人提出申請

我還記得機房裡面租用的房間門禁
不是刷卡
而是使用OTP的Token

因為規定太麻煩
所以我沒機會進這個機房玩
只能聽同事講
也不知道是不是唬我的
沙發

0
SunAllen
iT邦研究生 1 級 ‧ 2010-10-17 13:35:38

機房永遠是讓人又恨又愛的地方...

走出去拿隻筆,都要「打電話找人開門」->「寫進出登記」-> 「拿筆」-> 「打電話找人開門」->「寫進出登記」

進去後,站在Console前,發現...筆是斷水的,要再來一次~~毆飛

我要留言

立即登入留言