数据中心信息安全管理及管控要求

数据中心信息安全管理及管控要求随着在世界范围内，信息化水平的不断进展，数据中心的信息平安渐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信息平安的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息平安的本国标准，国际标准化组织（ISO）也发布了ISO17799、ISO13335、ISO15408等与信息平安相关的国际标准及技术报告。目前，在信息平安管理方面，英国标准ISO27000：2005已经成为世界上应用最广泛与典型的信息平安管理标准，它是在BSI/DISC的BDD/2信息平安管理委员会指导下制定完成。

ISO27001标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995《信息平安管理实施细则》，它供应了一套综合的、由信息平安最佳惯例组成的实施规章，其目的是作为确定工商业信息系统在大多数状况所需掌握范围的唯一参考基准，并且适用于大、中、小组织。1998年英国公布标准的其次部分《信息平安管理体系规范》，它规定信息平安管理体系要求与信息平安掌握要求，它是一个组织的全面或部分信息平安管理体系评估的基础，它可以作为一个正式认证方案的依据。ISO27000-1与ISO27000-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期进展，同时还特别强调了商务涉及的信息平安及信息平安的责任。2000年12月，ISO27000-1：1999《信息平安管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准ISO/IEC17799-1：2000《信息技术-信息平安管理实施细则》。2002年9月5日，ISO27000-2：2002草案经过广泛的争论之后，最终发布成为正式标准，同时ISO27000-2：1999被废止。现在，ISO27000：2005标准已得到了许多国家的认可，是国际上具有代表性的信息平安管理体系标准。很多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及很多跨国公司已采纳了此标准对信息平安进行系统的管理，数据中心（IDC）应逐步建立并完善标准化的信息平安管理体系。

一、数据中心信息平安管理总体要求

1、信息平安管理架构与人员力量要求

1.1信息平安管理架构

IDC在当前管理组织架构基础上，建立信息平安管理委员会，涵盖信息平安管理、应急响应、审计、技术实施等不同职责，并保证职责清楚与分别，并形成文件。

1.2人员力量

具备标准化信息平安管理体系内部审核员、CISP（CertifiedInformationSecurityProfessional，国家注册信息平安专家）等相关资质人员。5星级IDC至少应具备一名合格的标准化信息平安管理内部审核员、一名标准化主任审核员。4星级IDC至少应至少具备一名合格的标准化信息平安管理内部审核员

2、信息平安管理体系文件要求，依据IDC业务目标与当前实际状况，建立完善而分层次的IDC信息平安管理体系及相应的文档，包含但不限于如下方面：

2.1信息平安管理体系方针文件

包括IDC信息平安管理体系的范围，信息平安的目标框架、信息平安工作的总方向和原则，并考虑IDC业务需求、国家法律法规的要求、客户以及合同要求。

2.2风险评估

内容包括如下流程：识别IDC业务范围内的信息资产及其责任人；识别资产所面临的威逼；识别可能被威逼利用的脆弱点；识别资产保密性、完整性和可用性的丢失对IDC业务造成的影响；评估由主要威逼和脆弱点导致的IDC业务平安破坏的现实可能性、对资产的影响和当前所实施的掌握措施；对风险进行评级。

2.3风险处理

内容包括：与IDC管理层确定接受风险的准则，确定可接受的风险级别等；建立可续的风险处理策略：采纳适当的掌握措施、接受风险、避开风险或转移风险；掌握目标和掌握措施的选择和实施，需满意风险评估和风险处理过程中所识别的平安要求，并在满意法律法规、客户和合同要求的基础上达到最佳成本效益。

2.4文件与记录掌握

明确文件制定、发布、批准、评审、更新的流程；确保文件的更改和现行修订状态的标识、版本掌握、识别、访问掌握有完善的流程；并对文件资料的传输、贮存和最终销毁明确做出规范。

记录掌握内容包括：保留信息平安管理体系运行过程执行的记录和全部发生的与信息平安有关的重大平安大事的记录；记录的标识、贮存、爱护、检索、保存期限和处置所需的掌握措施应形成文件并实施。

2.5内部审核

IDC根据方案的时间间隔进行内部ISMS审核，以确定IDC的信息平安管理的掌握目标、掌握措施、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持。五星级IDC应至少每年1次对信息平安管理进行内部审核。四星级IDC应至少每年1次对信息平安管理进行内部审核。

2.6订正与预防措施

IDC建立流程，以消退与信息平安管理要求不符合的缘由及潜在缘由，以防止其发生，并形成文件的订正措施与预防措施程序无

2.7掌握措施有效性的测量

定义如何测量所选掌握措施的有效性；规定如何使用这些测量措施，对掌握措施的有效性进行测量（或评估）。

2.8管理评审

IDC管理层按方案的时间间隔评审内部信息平安管理体系，以确保其持续的相宜性、充分性和有效性，最终符合IDC业务要求。

五星级IDC管理层应至少每年1次对IDC的信息平安管理体系进行评审四星级IDC管理层应至少每年1次对IDC的信息平安管理体系进行评审。

2.9适用性声明

适用性声明必需至少包括以下3项内容：IDC所选择的掌握目标和掌握措施，及其选择的理由；当前IDC实施的掌握目标和掌握措施；标准化附录A中任何掌握目标和掌握措施的删减，以及删减的正值性理由。

2.10业务连续性

过业务影响分析，确定IDC业务中哪些是关键的业务进程，分出紧急先后次序；确定可以导致业务中断的主要灾难和平安失效、确定它们的影响程度和恢复时间；进行业务影响分析，确定恢复业务所需要的资源和成本，打算对哪些项目制作业务连续性方案（BCP）/灾难恢复方案（DRP）。

2.11其它相关程序

另外，还应建立包括物理与环境平安、信息设备管理、新设施管理、业务连续性管理、灾难恢复、人员管理、第三方和外包管理、信息资产管理、工作环境平安管理、介质处理与平安、系统开发与维护、法律符合性管理、文件及材料掌握、平安大事处理等相关流程与制度。

二、信息平安管控要求

1、平安方针

信息平安方针文件与评审建立IDC信息平安方针文件需得到管理层批准、发布并传达给全部员工和外部相关方。

至少每年一次或当重大变化发生时进行信息平安方针评审。

2、信息平安组织

2.1内部组织

2.1.1信息平安协调、职责与授权

信息平安管理委员会包含IDC相关的不同部门的代表；全部的信息平安职责有明确成文的规定；对新信息处理设施，要有管理授权过程。

2.1.2保密协议

IDC全部员工须签署保密协议，保密内容涵盖IDC内部敏感信息；保密协议条款每年至少评审一次。

2.1.3权威部门与利益相关团体的联系

与相关权威部门（包括，公安部门、消防部门和监管部门）建立沟通管道；与平安专家组、专业协会等相关团体进行沟通。

2.1.4独立评审

参考“信息平安管理体系要求”第5和第8条关于管理评审、内部审核的要求，进行独立的评审。

审核员不能审核评审自己的工作；评审结果交管理层批阅。

2.2外方管理

2.2.1外部第三方的相关风险的识别

将外部第三方（设备维护商、服务商、顾问、外包方临时人员、实习同学等）对IDC信息处理设施或信息纳入风险评估过程，考虑内容应包括：需要访问的信息处理设施、访问类型（物理、规律、网络）、涉及信息的价值和敏感性，及对业务运行的关键程度、访问掌握等相关