14.4　物理環境訪問授權

14.4.1　一般要求

14.4.1.1　評估內容

詳見GB/T31168－2014中14.4.1的a）、b）、c）和d）。

14.4.1.2　評估方法

14.4.1.2.1 對a）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否有制定和維護具有機房訪問權限的人員名單的要求；

——檢查人員名單，查看其是否按要求制定。

14.4.1.2.2 對b）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否有發布授權憑證的要求；

——檢查授權憑證發布記錄，查看其是否按要求發布；

——訪談系統安全負責人或物理安全負責人等相關人員，詢問其發布授權憑證的情況。

14.4.1.2.3 對c）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否定義了對授權人員名單和憑證進行定期審查的頻率；

——檢查審查記錄，查看其是否按要求對授權人員名單和憑證進行定期審查。

14.4.1.2.4 對d）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否有及時從授權訪問名單中刪除不再需要訪問機房的人員的要求；

——訪談系統安全負責人或物理安全負責人等相關人員，詢問其從授權訪問名單刪除不再需要訪問機房的人員的情況；

——檢查授權訪問名單，查看其是否按要求刪除了不再需要訪問機房的人員。

14.4.2　增強要求

14.4.2.1　評估內容

詳見GB/T31168－2014的14.4.2。

14.4.2.2　評估方法

——檢查物理與環境安全策略與規程等相關文檔，查看其是否有根據職位、角色以及訪問的必要性對機房進行細粒度物理訪問授權的要求；

——訪談系統安全負責人或物理安全負責人等相關人員，詢問其根據職位、角色以及訪問的必要性對機房進行細粒度物理訪問授權的情況；

——檢查物理訪問授權策略，查看其是否根據職位、角色以及訪問的必要性不同而設置了不同等級的物理訪問授權。