14.2　物理設施與設備選址

14.2.1　一般要求

14.2.1.1　評估內容

詳見GB/T31168－2014中14.2.1的a）、b）、c）、d）和e）。

14.2.1.2　評估方法

14.2.1.2.1 對a）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否有在機房選址時，滿足GB 50174-2008相關規定的要求；

——訪談物理安全負責人等相關人員，詢問其機房選址是否依據《電子信息系統機房設計規范》進行；

——檢查機房環境、系統設計說明書等，查看機房的選址是否滿足《電子信息系統機房設計規范》的相關規定。

14.2.1.2.2 對b）的評估方法為：

——檢查物理與環境安全策略與規程、風險評估與持續監控策略與規程等相關文檔，查看其是否有對機房面臨的潛在物理和環境危險進行評估，并在風險管理策略中防范此類風險的要求；

——檢查安全評估報告等相關文檔，查看其是否對機房面臨的潛在物理和環境危險進行了評估；

——訪談物理安全負責人等相關人員，詢問其在對機房面臨的潛在物理和環境危險的評估情況以及防范風險的情況。

14.2.1.2.3 對c）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否有控制機房位置信息知悉范圍的要求；

——訪談系統安全負責人或維護人員等相關人員，詢問其機房位置信息。

14.2.1.2.4 對d）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否有確保機房位于中國境內的要求；

——檢查機房環境、系統設計說明書等，查看其是否位于中國境內；

——訪談系統安全負責人或維護人員等相關人員，詢問其機房位置情況。

14.2.1.2.5 對e）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否有確保云計算服務器及運行關鍵業務和數據的物理設備位于中國境內的要求；

——訪談系統安全負責人或物理安全負責人等相關人員，詢問其承載關鍵業務和數據的物理設備的部署情況；

——檢查信息系統組件清單、關鍵性分析報告、機房環境等，查看承載關鍵業務和數據的物理設備是否部署于中國境內。

14.2.2　增強要求

無。