GB∕T22081-2024《网络安全技术-信息安全控制》之56：“7物理控制-7.11支持性设施”专业深度解读和应用指导材料（2025A0）

GB/T22081-2024《网络安全技术——信息安全控制》之56:

“7物理控制-7.11支持性设施”专业深度解读和应用指导材料(编制-2025A0)

GB/T22081-2024《网络安全技术——信息安全控制》

7物理控制

7.11支持性设施

7.11.1属性表

7.11.1属性表

支持性设施属性表见表57.

表57:支持性设施属性表

控制类型信息安全属性网络空间安全概念运行能力安全领域

#预防#完整性#防护

#物理安全#防护

#检测#可用性#发现

7物理控制

7.11支持性设施

7.11.1属性表

支持性设施见表57.

“表57:支持性设施”属性表解析

属性维度属性值属性涵义解读属性应用说明与实施要点

(1)通用涵义：实施要点：

1)预防：旨在通过事前控制措施降低事件发生的可能性，避免安1)预防性控制：

#预防

控制类型全事件的发生；系统设计冗余(如双路供电、N+1空调系统、冗余网络链路

#检测

2)检测：通过技术或管理手段识别已发生或正在发生的事件，确);

保能够及时响应与处理。-物理区域访问控制(如门禁系统、生物识别验证);

加油努力你行的

属性维度属性值属性涵义解读属性应用说明与实施要点

一定期设备状态检测与维护(如UPS放电测试、空调滤网清洗

(2)特定涵义(支持性设施场景););

1)预防：在支持性设施中，预防控制主要体现在物理冗余设计、一环境控制(如温湿度、静电、防水措施).

访问控制、设备维护、环境控制等，旨在防止设施因物理故障，2)检测性控制：

人为破坏或自然灾害导致服务中断；部署环境监测系统(如温湿度传感器、电力波动监测);

2)检测：在设施运行过程中，通过传感器、监控设备、日志分析一建立设备日志审计机制，分析运行状态数据：

等方式实时监测设施状态，确保能及时发现异常或潜在威胁。-设置自动报警机制(如电力中断、温湿度超标自动通知)。

实施要点；

(1)通用涵义：

1)完整性保障：

1)完整性(#完整性):确保信息和系统未被未经授权的修改或

-建立设备配置基线并定期审计(如通过配置管理工具记录

破坏；

初始状态);

2)可用性(#可用性):确保授权用户能够访问所需的信息和系

-采用防篡改设计(如密封标签、硬件锁、固件签名验证);

信息安全属#完整性统资源。

-对关键设备实施物理隔离与访问控制，

性#可用性(2)特定涵义(支持性设施场景);

2)可用性保障：

1)完整性：不仅指数据未被慕改，还包括支持性设施的硬件配置

-采用冗余设计(如双路电力输入、多链路网络):

、固件版本、物理结构等未被未经授权的变更；

-实施高可用性架构(如集群部署、负载均衡);

2)可用性：支持性设施必须持续稳定运行，保障业务系统的正常

-制定应急预案并定期测试(如备用电源切换演练、通信中

运作，防止因基础设施故障导致服务中断。

断恢复机制)。

(1)通用涵义；实施要点；

网络空间安#防护

1)防护(#防护):通过部署安全控制措施，保护网络和信息系1)防护措施：

全概念#发现

统免受威胁；-部署防火墙、入侵检测/防御系统(IDS/IPS);

加油努力你行的

属性维度属性值属性涵义解读属性应用说明与实施要点

2)发现(#发现):通过监测、分析等手段，识别潜在的或正在-实施物理隔离(如数据中心分区管理);

进行的威胁行为。关键设施采用屏蔽与加固设计(如防电磁干扰，防火材料)

(2)特定涵义(支持性设施场景):

1)防护：在支持性设施中，防护不仅包括技术层面的防火墙、入2)发现机制：

侵检测系统(IDS)、访问控制等，还涵盖物理层的隔离、屏蔽、建立多维监测机制(如电力波动、温湿度变化、网络流量

加固等措施；异常);

2)发现：通过环境监测、日志分析、异常检测等方式，识别设施-整合日志与事件管理系统(SIEMI),实现集中监控；

运行状态的异常或潜在的安全威胁。-接入威胁情报平台，识别供应链攻击、APT攻击等新型威胁

实施要点：

(1)通用涵义；

1)环境控制能力：

指组织在物理环境中保护资产(如设备、数据、人员)的能力，

-机房环境参数应符合国家标准(如GR50174);

确保其免受物理层面的威胁和破坏。

-保持恒温恒湿、防静电、防尘、防雷、防火等措施。

运行能力#物理安全(2)特定涵义(支持性设施场景);

2)物理安全能力：

支持性设施的运行能力主要体现在其物理环境的安全性、稳定性

-设施具备抗震、防火、防爆等结构安全设计：

与合规性，确保设施在物理层面能够满足其运行需求，防止因环

-配备自动灭火系统、应急照明、疏散标志等；

境异常或物理破坏导致服务中断或数据损失。

-实施物理访问控制(如门禁、视频监控、访客登记).

(1)通用涵义：实施要点：

指信息安全防护的整体范畴，涵盖策略、制度、技术措施、人员1)体系整合；

安全领域#防护

培训等多个方面。-将支持性设施的防护策略纳入组织整体信息安全框架(如

(2)特定涵义(支持性设施场景):IS0/IEC27001);

加油努力你行的

内容维度“7.11.2(支持性设施)控制”解读和应用说明

性设施故障可能引发重大安全事件，则应视为强制性措施；“保护”强调主动防控，而非被动应对。

2)“信息处理设施”的范围：包括服务器、网络设备、存储系统、终端等直接处理或存储信息的硬件及配套系统。

3)“支持性设施”的特定指向：不仅涵盖电力系统，还包括电信链路、空调通风、供水排污、燃气等间接保障信息处理的基础设施，其故

障可能通过环境恶化(如温湿度失控)、物理损坏(如漏水)等间接影响信息处理设施。

4)“电源故障和其他中断”的外廷：“电源故障”包括断电、电压波动等；“其他中断”涵盖因通风失效导致的设备过热停机、电信链路

中断导致的网络瘫痪、排污故障导致的物理损坏等多元场景。

1)设施分级与冗余设计：

一对关键支持性设施实施Y+1或双路冗余(如双路供电、冗余网络链路、多厂商电信路由》,确保单一路径故障时自动切换：

-空调、通风系统采用冗余配置，满足机房环境控制国家标准(如GB50174).

2)监测与预警机制；

一部署环境监测系统(温湿度、电力波动、漏水传感器等),结合SIEM系统实现集中监控：

-配置自动报警机制，确保故障发生时实时通知相关责任人。

3)维护与测试要求；

本条款实施要点

-按制造商规范定期维护设备(如UPS放电测试、空调滤网清洗),并记录维护日志：

与组织应用建议

定期开展故障应急演练(如备用电源切换、链路切换》,验证冗余机制有效性。

4)隔离与访问控制：

-支持性设施设备与信息处理设施采用不同网段，降低网络层风险传导：

关键设施(如配电间、空调机房)实施物理访问控制(门禁、监控),防止人为误操作或破坏。

5)应急保障：

在紧急出口或设备室附近设置电源、供水等应急开关，配备应急照明与通信设备：

一制定支持性设施故障专项应急预案，纳入组织整体应急响应体系。

加油努力你行的

(2)“7.11.2控制”条款与GB/T22080-2025相关条款的逻辑关联关系；

“7.11.2控制”与GB/T22080相关条款的逻辑关联关系分析表

关联的GB/T22080条款逻辑关联关系分析关联性质

该控制属于组织在风险处置过程中需确定的“必要控制”(见6.1.3b),组织需将其与附录A中的控制比对以

6.1.3信息安全风险处置验证无遗漏(见6.1.3c),并在适用性声明中说明其必要性及实现情况(见6.1.3d),是风险处置计划的重要风险处置依据

组成部分。

组织需确定并提供实施该控制所需的资源(如备用电源设备、维护人员等),以确保有足够资源保护信息处理

7.1资源资源保障

设施免受支持性设施故障影响，是控制落地的资源保障。

该控制属于“运行控制”范畴，组织需通过建立保护支持性设施的准则(如电源冗余方案、故障应急规程),

8.1运行规划和控制运行实施要求

并依据准则实施控制(如定期检查支持性设施),确保信息处理设施在运行中免受中断影响。

附录A.7.11支持性设施(附录A表A.1明确将“支持性设施”列为物理控制项(7.11),其要求“应保护信息处理设施使其免于由支持性

规范性控制依据

规范性控制参考)设施的故障而引起的电源故障和其他中断”,与该控制内容完全对应，是该控制的直接规范性来源。

9.1监视、测量、分析和评组织需监视该控制的有效性(如支持性设施故障次数、信息处理设施中断时长),通过测量和分析判断其是否

绩效评价对象

价有效防范中断风险，并评价其对信息安全绩效的贡献，是验证控制效果的机制。

10.2不符合与纠正措施若该控制未有效实施导致信息处理设施因支持性设施故障中断(即出现不符合),组织需分析原因、采取纠正改进机制

措施(如升级备用电源系统),并评价措施有效性，属于控制失效后的改进机制。

(3)“7.11.2控制”与GB/T22081-2024其他条款逻辑关联关系。

“7.11.2控制”与GB/T22081-2024其他条款逻辑关联关系分析表

加油努力你行的

关联GB/T22081条款逻辑关联关系分析关联性质

5.8项目管理中的信息安5.8要求在项目全周期整合信息安全，支持性设施的安全设计(如电力布线隔离、应急开关布局)需在项目规

规划接口

全划阶段(5.8)明确，确保其与信息处理设施的安全需求匹配，是7.11.2实施的前期规划接口。

5.22供应商服务的监视、5.22要求管理供应商服务的变更，若支持性设施(如电信服务、电力供应)由外部供应商提供，其服务变更(

供应商管理

评审和变更管理如线路调整、设备升级)需纳入5.22的评审范围，避免因供应商变更影响7.11.2的防护有效性。

5.29中断期间的信息安5.29要求制定中断期间维持信息安全的计划，支持性设施的应急措施(如备用电源、应急通信)是该计划的核

应急联动

全心组成部分，确保中断时信息处理设施的基本运行，直接支撑5.29的目标实现。

5.30业务连续性的信息

5.30要求根据业务连续性目标确保ICT就绪，支持性设施(如电力、通信)的稳定运行是ICT服务可用性的基础目标协同

通信技术就绪,7.11.2对支持性设施的保护直接保障5.30中恢复时间目标(RTO)和恢复点目标(RPO)的达成。

5.37要求信息处理设施的操作规程形成文件，支持性设施的配置、检查、应急操作等规程需按5.37文件化，确

5.37文件化的操作规程规程载体

保操作的一致性和可追溯性，为7.11.2的持续有效实施提供规程依据。

6.3信息安全意识、教育6.3要求人员掌握信息安全责任和规程，支持性设施的操作(如应急电源启动、故障报警处理)需通过6.3的培

人员能力支撑

和培训训确保人员正确执行，避免因操作失误导致支持性设施故障，是7.11.2的人员能力支撑。

7.5要求防范火灾、水灾、电涌等物理和环境威胁，这些威胁可能直接破坏支持性设施(如电力系统、通信线

7.5物理和环境威胁防范风险防范基础

路)。7.11.2对支持性设施的保护需以7.5的威胁防范措施为基础，确保支持性设施自身免受环境威胁影响。

7.9组织场所外的资产安7.9要求保护组织场所外的资产(如移动设备、远程设施),这些资产的电力供应、通信连接依赖外部支持性

场景廷伸

全设施，7.11.2的保护范围可延伸至外部支持性设施，间接保障7.9中离场资产的可用性。

7.10存储媒体7.10要求按制造商规范保护存储媒体免受高温、潮湿等环境威胁，而这些环境条件的稳定依赖于支持性设施(操作依赖

加油努力你行的

关联GB/T22081条款逻辑关联关系分析关联性质

如空调、防潮系统)的正常运行。7.11.2通过保障支持性设施的稳定，为7.10的存储媒体保护提供环境支持。

7.13要求按供应商建议维护设备，支持性设施(如不问断电源、发电机、空调)作为关键设备，其定期维护是

7.13设备维护实施保障

保障7.11.2有效实施的必要条件，可预防因设备老化或故障导致的支持性设施中断。

8.14要求通过冗余设计保障信息处理设施的可用性，支持性设施的冗余(如多路供电、备用通信线路)是物理

8.14信息处理设施的冗措施互补

余层冗余的关键，与8.14形成从设施到系统的多层冗余体系，共同提升可用性。

GB/T22081-2024《网络安全技术——信息安全控制》

7.11.3日的

防止由于支持性设施的故障和中断而导致信息和其他相关资产的丢失、损坏或泄露，或组织的运营中断。

7.11.3目的

“7.11.3(支持性设施)目的”解读说明表

内容维度“7.11.3(支持性设施》目的”解读说明

总述(本条款本条款旨在通过强化对支持性设施的安全控制，防止因设施本身的故障、中断或失效，而引发信息资产的丢失、损坏、泄露，以及组织业务运行

的核心意图的中断。其本质目标是保障组织的信息处理能力、服务连续性和运营稳定性，是实现信息安全管理体系(ISMS)整体有效性的基础支撑，与物理

与定位)安全领域的防护要求直接衔接，为7.11支持性设施的控制措施提供明确的目标导向。

本条款实施1)提升组织对关键基础设施的安全可控能力；

的核心价值2)降低因设施问题导致的业务中断风险；

和预期结果3)保障信息资产的完整性、可用性和保密性；

加油努力你行的

内容维度“7.11.3(支持性设施》目的”解读说明

4)为组织的业务连续性管理(BCM)提供物理与环境层面的支撑；

5)确保信息安全管理体系的完整性与可持续运行：

6)强化物理层与信息系统层的风险隔离，阻断设施故障向信息安全事件的传导路径。

从标准编制者的角度出发，“7.11.3目的”条款并非孤立存在，而是与“7.11支持性设施”其他子条款(如属性表、控制措施、指南等)共同构

成一个完整的防护体系，其根本意图在于；

-强调信息安全并非仅限于网络或系统层面，而是贯穿于组织所有基础设施；

本条款定位

-建立“支持性设施”与“信息安全”之间的紧密逻辑关系，引导组织从基础设施层面思考安全控制：

与战略意义

一推动组织在实施信息安全管理体系时，不能忽视对物理环境和技术基础设施的投入与管理；

-为后续的风险评估、控制措施设计、应急响应和业务连续性管理提供基础依据：

与GB/T22081-2024中5.29中断期间的信息安全、5.30业务连续性的ICT就绪等条款形成协同，确保安全控制的系统性和连贯性。

"防止由于支持性设施的故障和中断而导致信息和其他相关资产的丢失、损坏或泄露，或组织的运营中断。"

1)“支持性设施”定义与范围：支持性设施包括但不限于电力供应(含LPS)、冷却系统(空调)、网络通信设备《交换机、路由器)、服务器

机房、数据中心基础设施、物理访问控制系统、消防系统、排污系统、燃气供应等。这些设施虽非信息安全控制的直接对象，但其稳定运行是信

息安全实施的前提：

本条款深度2)“敌障和中断”的潜在风险；故障可能来自设备老化、自然灾害、人为操作失误或外部攻击；中断可能表现为服务停摆、数据访问受阻、系

解读与内涵统响应延迟等。具体场景包括电力波动导致服务器宕机、空调失效引发设备过热、网络链路中断造成数据传输失败等。这些均可能引发信息处理

解祈中断，进而导致信息资产受损或泄露；

3)“信息和其他相关资产”:不仅包括数据资产，还涵盖软件、系统、设备、知识产权、客户资料、员工信息等所有与组织运营密切相关的资

产，特别包括支持性设施自身的硬件配置、固件版本、物理结构等，强调信息安全与资产管理的整体性：

4)“丢失、损坏、泄露”三种风险类型；

-丢失：指因设施故障导致数据不可恢复，如存储设备损坏、电力中断导致未保存数据丢失；

加油努力你行的

内容维度“7.11.3(支持性设施)目的”解读说明

一损坏：指数据被慕改或系统无法正常运行，包括固件被非法修改、硬件配置被篡改等；

一液露：指未经授权的信息被披露，可能因物理安全控制失效(如门禁失灵)或网络隔离失效(如通信链路被窃听)所致。

5)“组织的运营中断”:强调信息安全不仅是对数据的保护，更是对组织核心业务能力的保障。运营中断可能带来经济损失、声誉损害、合规

风险等多重影响，如金融机构因电力故障导致交易系统停摆、医疗机构因空调失效影响医疗设备运行。支持性设施的安全控制是防范此类风险的

关键防线。

GB/T220B1-2024《网络安全技术——信息安全控制》

7.11.4指南

组织依靠支持性设施(如电力、电信、供水、燃气、排污、通风和空调)未支拷其信息处理设施。因此，组织宜：

a确保用于支持设施的设备按照相关制造商的规范进行了配置、操作和维护；

b)确保对支持性设施进行定期评估，评价其能力是否满足业务增长和与其他支持性设施的相互影响：

c)确保定期检查和测试用于支持性设施的设备，以确保其运行正常：

d)如需要，发出警报以检测支持性设施故障；

e)如需要，确保支持性设施使用多种物理途径迷行多路供给；

f)如果联网，要确保用于支持性设施的设备与信息勉理设施在不同网段；

g)确保用于支持性设施的设备仅在需要时以安全的方式连接到互联网。

宜提供应急照明和应急通信。关闭电源、供水、供气或其他支持性设施的应急开关和闯门宜位于紧急出口或设备室附近。宜评细记录应急联系方式，确保在

中断时对相关人员可用。

7.11.4指南

(1)本指南条款核心涵义解析(理解要点解读);

“7.11.4(支持性设施)指南”条款核心涵义解析(理解要点解读)说明表

加油努力你行的

条款总体概述子条款原文子条款核心涵义解析(理解要点详细解读)

支持性设施设备a)确保用于支持设施的设备按该条款强调组织必须依据设备制造商提供的技术规范，对支持信息处理设施运行的关键性基础设施设备

的配置、操作与照相关制造育的规范进行了配(如电力，通信、供水等)进行科学配置、规范操作和定期维护。其目的在于保障设备的稳定运行和功

维护要求置、操作和维护；能完整性，防止因操作不当或维护缺失而导致支持性设施失效，从而影响信息安全。

b)确保对支持性设施进行定期

本条款要求组织定期评估支持性设施的承载能力是否能够满足当前及未来业务发展的雷求，同时关注不

支持性设施能力评估，评价其能力是否满足业务

同设施之间的协同与依赖关系。评估的目的是识别潜在瓶颈，确保在业务扩展或环境变化下，支持性设

评估要求增长和与其他支持性设拖的相

施能够持续支持信息系统的运行。

互影响；

c)确保定期检查和测试用于支

设备运行状态检该条款要求组织对支持性设施设备实施定期检查和功能测试，以验证其运行状态符合预期。通过周期性

持性设施的设备，以确保其运行

查与测试要求测试可提前发现设备老化、故障隐患或性能下降等问题，确保其在关键时刻能够正常运行。

正常；

设施故障预警机①如需要，发出警报以检测支持本条款指出。当支持性设施存在发生故障的风险或已出现异常时，应具备故障检测与报警机制。通过自

制要求性设施故障；动或人工方式发出警报，有助于组织及时响应，防止因设施故障引发的信息系统中断或安全事件。

多路径供给保障e)如需要，确保支持性设施使用该条款强调在关键支持性设施(如电力、通信)中，应采用多物理路径或多来源供给方式，以提升系统

要求多种物理途径进行多路供给；的冗余性和容灾能力。通过物理路径的多样性，可有效避免单一路径中断导致的全面失效。

f)如果联网，要确保用于支持性

网络隔离与安全本条款要求将支持性设施设备与信息处理设施设备分别部署在不同的网络逻辑区域(网段),以实现网

设施的设备与信息处理设施在

防护要求络隔离，防止因支持性设施设备的网络暴露而引入安全风险。这是网络纵深防御策略的重要体现，

不同网段；

互联网接入控制8)确保用于支持性设施的设备该条款强调对支持性设施设备接入互联网的控制，要求仅在必要时才允许连接，并且必须采用安全机制

加油努力你行的

条款总体概述子条款原文子条款核心涵义解析(理解要点详细解读)

要求仅在需要时以安全的方式连接(如防火墙、访问控制、加密通信等)来保护设备的安全性。防止因非必要的互联网连接引入外部攻击

到互联网；风险。

宜提供应急照明和应急通信。关

本条款提出了对应急支持性设施(如应急照明、通信系统)的配置要求，强调需保障应急状态下的基础

闭电源、供水，供气或其他支持

照明与通信能力；明确要求关闭电源、供水、供气及其他各类支持性设施的应急开关和阀门应布置在紧

应急支持设施配性设施的应急开关和阀门宜位

急出口或设备室等易接近的安全区域，以便紧急情况下快速操作；同时，要求组织详细记录并维护应急

置要求于紧急出口或设备室附近。宜详

联系方式，确保在支持性设施中断等突发事件发生时，相关负责人员能够及时获取并使用，保障响应效

加记录应急联系方式，确保在中

率，

断时对相关人员可用。

(2)实施本指南条款应开展的核心活动要求；

实施“7.11.4(支持性设施)指南”条款应开展的核心活动要求说明表

7.11.4子条款主题事项所需开展的核心活动核心活动具体实施要点及要求说明开展核心活动时需特别注意的事项

建立支持性设施设备配置标依照制造商技术手册和安全操作规范设置初始配置参-严禁擅自更改设备配置；

准流程；数：-维护记录需保存不少于设备生命周

-制定并执行设备操作与维护-操作人员需接受设备使用培训并持证上岗；期：

a.设备配置、操作与维

管理制度；-按照计划进行预防性维护，并记录维护日志；-操作与维护制度应与信息安全策略

护符合制造商规范

一定期组织设备维护与操作培-所有变更必须经过审批并形成变更记录；一致：

训；定期检查硬件配置及固件版本的完整性，确保未被未-固件更新需验证来源合法性及完整

一建立设备变更管理机制。授权变更。性。

加油努力你行的

7.11.4子条款主题事项所需开展的核心活动核心活动具体实施要点及要求说明开展核心活动时需特别注意的事项

一评估过程应覆盖所有关键支持性设

-每年至少进行一次能力评估，包括负载、冗余、扩展

施；

-制定支持性设施能力评估周能力等；

-评估方法应符合组织业务连续性管

期与标准；一使用系统性评估工具(如容量管理工具)进行量化分

b.定期评估支持性设施理要求；

-实施设施能力评估工作计划：析：

能力-应建立评估结果与改进措施之间的

-分析评估结果以支持业务增评估结果应纳入IT服务管理流程；

联动机制；

长和系统联动性。-识别与其他设施之间的依赖关系并评估其影响：

一评估报告需包含对信息资产可用性

-评估时需重点验证设施对信息资产保护的适配性。

、完整性影响的分析。

-每季度进行一次设备功能测试，重点检测冗余机制和

应急响应能力；

测试应避免影响正常业务运行；