一、要求内容 

a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理； 

b)应指定部门负责机房安全，并配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理； 

c)应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定； 

d)应加强对办公环境的保密性管理，规范办公环境人员行为，包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等； 

e)应对机房和办公环境实行统一策略的安全管理，对出入人员进行相应级别的授权，对进入重要安全区域的活动行为实时监视和记录。 

二、实施建议 

完善物理环境安全控制的规定，做好运行区域和办公区域的访问控制和监控，对人员进行标记，方便进出的控制，应由专门的人员负责管理，如保安或、后勤或行政部门负责；加强对人员本身环境安全要求的教育，对于访客接待，桌面清空等基本的安全要求。 

三、常见问题 

大多公司对于外来人员访问办公区域没有进行控制；员工的桌面清空和锁屏也做的不到位。 

四、实施难点 

对办公区的访问控制较难实现，控制的过严会影响内部员工的日常办公，过松可能引入外来人员的安全隐患。 

五、测评方法 

形式 访谈，检查。 对象 物理安全负责人，机房值守人员，工作人员，机房安全管理制度，办公环境管理文档，设备维护记录，摄像监控系统。 

实施 

a)应访谈物理安全负责人，询问是否指定专人或部门对机房基本设施（如空调、供配电设备等）进行定期维护，由何部门/何人负责，维护周期多长； 

b)应访谈物理安全负责人，询问是否指定部门和人员负责机房安全管理工作，由何部门负责，对机房进出管理是否要求制度化和文档化； 

c)应访谈物理安全负责人，询问办公环境是否和机房实行统一安全管理，出入是否要经过相应级别的授权控制，机房是否有摄像监控系统； 

d)应访谈工作人员，询问对办公环境的保密性要求事项，其出入授权级别如何； 

e)应检查机房安全管理制度，查看其内容是否覆盖机房物理访问、物品带进、带出机房和机房环境安全等方面； 

f)应检查办公环境管理文档，查看其是否对不在办公区域接待来访人员、工作人员离开座位后的保密行为（如清理桌面文件和屏幕锁定等）和人员调离办公室后的行为等方面作出规定；  

g)应检查机房基础设施维护记录，查看是否记录维护日期、维护人、维护设备、故障原因和维护结果等方面内容。 

六、参考资料 

《信息安全等级保护信息系统安全管理要求》中对环境安全管理的要求： 

5.4.1.1 环境安全管理要求 对环境安全管理，不同安全等级应有选择地满足以下要求的一项： 

a）环境安全的基本要求：应配置物理环境安全的责任部门和管理人员；建立有关物理环境安全方面的规章制度； 

b）较完整的制度化管理：在a）的基础上，应对物理环境划分不同保护等级的安全区域进行管理；应制定对物理安全设施进行检验、配置、安装、运行的有关制度和保障措施；实行关键物理设施的登记制度； 

c）安全区域标记管理：在b）的基础上，应对物理环境中所有安全区域进行标记管理，包括不同安全保护等级的办公区域、机房、介质库房等；介质库房的管理可以参照同等级的机房的要求； 

d）安全区域隔离和监视：在c）的基础上，应实施不同保护等级安全区域的隔离管理；出入人员应经过相应级别的授权并有监控措施；对重要安全区域的活动应实时监视和记录； 

e）安全保障的持续改善：在d）的基础上，应对物理安全保障定期进行监督、检查和不断改进，实现持续改善。