14.5　物理環境訪問控制

14.5.1　一般要求

14.5.1.1　評估內容

詳見GB/T31168－2014中14.5.1的a）、b）、c）、d）、e）、f）和g）。

14.5.1.2　評估方法

14.5.1.2.1 對a）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否定義了對機房實施物理訪問授權的機房出入點；是否定義了對該點的物理訪問授權機制；

——訪談系統安全負責人或物理安全負責人等相關人員，詢問其對所有機房出入點實施物理訪問授權的情況；

——檢查機房環境，查看其是否對所有定義的機房機出入點實施了物理訪問授權措施。

14.5.1.2.2 對b）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否定義了需制定和維護物理訪問審計日志的出入點；

——檢查物理訪問審計日志，查看其是否對所定義出入點制定和維護了物理訪問審計日志；

——訪談物理安全負責人等相關人員，詢問制定和維護物理訪問審計日志的情況。

14.5.1.2.3 對c）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否為公共訪問區定義了安全措施；

——訪談系統安全負責人或物理安全負責人等相關人員，詢問其公共訪問區實施安全措施的情況；

——檢查公共訪問區現場環境，查看其是否實施了所定義的安全措施。

14.5.1.2.4 對d）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否定義了必須對訪問者的行為進行陪同和監視的環境；

——檢查在所定義的環境中的陪同與監視記錄，查看其是否按照要求進行陪同和監視；

——訪談系統安全負責人或物理安全負責人等相關人員，詢問其對訪問者的行為進行陪同和監視的情況。

14.5.1.2.5 對e）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否有采取相應措施以確保鑰匙、訪問憑證以及其他物理訪問設備安全的內容；

——訪談系統安全負責人或物理安全負責人等相關人員，詢問其安全措施落實情況。

14.5.1.2.6 對f）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否定義了需進行盤點的物理訪問設備及執行盤點的頻率；

——檢查盤點記錄，查看其是否按照定義的頻率對所定義的物理訪問設備進行盤點；

——訪談系統安全負責人或物理安全負責人等相關人員，詢問其盤點情況。

14.5.1.2.7 對g）的評估方法為：

——檢查物理與環境安全策略與規程等相關文檔，查看其是否定義了鑰匙和訪問憑證的更換策略和更換頻率；

——檢查鑰匙和訪問憑證更新記錄，查看其是否按要求更換；

——訪談物理安全負責人等相關人員，詢問其更換鑰匙和訪問憑證的情況。

14.5.2　增強要求

14.5.2.1　評估內容

詳見GB/T31168－2014的14.5.2。

14.5.2.2　評估方法

——檢查物理與環境安全策略與規程等相關文檔，查看其是否有對云計算平臺設備的物理接觸進行嚴格限制的內容，例如是否設置云計算平臺設備區域門禁，是否要求服務器機柜上鎖，是否禁止wifi無線信道對設備的訪問等等；

——訪談系統安全負責人或物理安全負責人等相關人員，詢問其對云計算平臺設備物理接觸的限制情況；

——檢查機房環境，查看其是否有防護措施嚴格限制對云計算平臺設備的物理接觸。