الأمان المادي هو مجموعة من الإجراءات الأمنية التي يتم تبنيها لضمان عدم وصول غير المصرح لهم إلى المواد والمعدات الخاصة بمركز البيانات، إذ يمكن أن تتألف إجراءات الأمان المادي من طيف واسع من الطرق لردع وإحباط الدخلاء بما في ذلك اللجوء لطرق تعتمد على التقنية، وسياسة الأمان المادي المطبقة بشكل جيد يمكنها حماية موارد ومعدات مركز البيانات من السرقة والعبث والكوارث الطبيعية والتخريب والهجمات السيبرانية وغيرها من الأفعال المؤذية، على كل الأشخاص أن يكونوا على وعي كامل بمحتويات هذه السياسة الأمنية وأن يتقيدوا بالأجزاء التي تشمل مجال عملهم.
يُعد تعيين وفرض الضوابط المادية والبيئية المطلوبة لحماية الأصول والأنظمة المعلوماتية من الدخول الغير مصرح به وصونها من المخاطر البيئية أمراً لا غنى عنه، وهذه السياسة تحدد متطلبات حماية مراكز البيانات من التهديدات المادية والبيئية لضمان سرية وتكامل وتوافر البيانات التي تحويها هذه المراكز.
تصف هذه السياسة متطلبات الأمان المادي لمراكز البيانات التابع لـ(جهة العمل)، بما في ذلك مكاتب مركز عمليات الشبكة (Network Operations Center, NOC) وكل ما يتواجد بها، والسياسة تغطي العديد من المتطلبات الخاصة بالأشخاص والممتلكات، فهي تشمل كل العاملين والمتعاقدين ومهندسي الخدمات وكل من يمثل (جهة العمل) والذين بدورهم يتوقع أن يمتثلوا ويتقيدوا بهذه المتطلبات.
يجب أن يتم اختيار موقع مركز البيانات بحيث تكون احتمالية حدوث الكوارث الطبيعية عند مستويات مقبولة، الكوارث الطبيعية تشمل على سبيل المثال لا الحصر، العواصف الرعدية والأمطار الغزيرة والعواصف الرملية والفيضانات.
يجب أن يعتمد مركز البيانات على المنشآت المزودة للطاقة الكهربائية بنسبة لا تقل عن 99.9%، ولا بد أن يتم تزويد الكهرباء للموقع من محطتين (أو أكثر) فرعيتين منفصلتين ويفضل أن تتصل كل منهما بمحطات توليد منفصلة، ويجب أن يتوفر بالموقع مصدرين للمياه، كما لا بد من توفير أكثر من مزود خدمة واحد للاتصال بالشبكة.
يجب ألا يتشارك مركز البيانات نفس المساحة مع المكاتب الأخرى وخاصة تلك المملوكة لمؤسسة أخرى، وفي حال الاضطرار إلى ذلك فيجب ألا يكون لهذه المكاتب جدران ملاصقة لمركز البيانات.
يجب أن تتواجد حراسة عند كل نقطة دخول لمركز البيانات، وهو المكان الذي يجب أن يتم ضبط دخول العاملين بمركز البيانات عبره باستخدام طريقة موثوقة للمصادقة الآلية، كما يجب ألا يتواجد أي شيء يمكن أن يعيق الرؤية من خلال كاميرات المراقبة أو من قبل حراس الدوريات في المساحات المحيطة بالمبنى والتي بدورها يجب أن تكون مضاءة بشكل جيد، ويجب ألا يكون هناك أي لوحات أو علامات إرشادية تبين أن المكان يخص مركز البيانات أو هوية (جهة العمل) المالكة.
يجب أن يعمل أفراد النظافة في مجموعات لا تقل عن شخصين، ويجب حصر عمل طاقم النظافة على المكاتب ومركز عمليات الشبكة، في حال استدعى الأمر تواجدهم داخل غرفة الخوادم يتوجب أن يصحبهم أحد موظفي الـ(NOC).
يجب توثيق زمن دخول وخروج مهندسي الصيانة للمنشأة عند مدخل المبنى، كما يجب على موظفي مركز عمليات الشبكة توثيق عملية تبادل شارات الدخول لمهندسي الصيانة عندما يدخلون غرفة الخوادم.
يجب أن يرافق الزوار الشخص الذي يزورونه طول المدة التي يقضونها بالمركز، كما يجب عدم السماح بدخول الزوار لغرفة الخوادم بدون موافقة كتابية من إدارة مركز البيانات، كما يجب على كل الزوار توقيع اتفاقية عدم افصاح قبل دخول غرف الخوادم.
يجب أن اعتماد هيكل تنظيمي مكتوب يبين مهام كل وظيفة ومسؤولياتها، ويحتوي على معلومات عن المهام الأخرى التي تم تدريب الموظف على أدائها غير تلك التي ضمن مهام وظيفته الحالية.
يجب عدم الاقتصار على توثيق ما يعرفه الموظفين حالياً على الأنظمة الموجودة، كل الأعمال الجديدة والتغييرات التي تطرأ على الأنظمة يجب أن توثق أيضاً.
يجب تدريب موظفي مركز البيانات على عدد من مهام زملائهم، وهو الأمر الذي يساهم في تنفيذ بعض المهام الضرورية والحرجة عند حدوث أزمة ما، كما يضمن إنجاز العمل عند حدوث ظرف طارئ لأحد الموظفين مما يسهل عملية إحلال موظف مكان الآخر.
يجب حفظ وتحديث بيانات التواصل الخاصة بكل موظفي مركز البيانات.
يجب على موظفي مركز البيانات التدرب على العمل عن بعد بشكل دوري، إذ أن ذلك سيسهل إمكانية استمرار تشغيل المركز في حالة استعصى الوصول والتواجد بالمركز لسبب ما.