DB54∕T 0420-2024 大数据中心 安全管理规范

ICS35.240

CCSL78

54

西藏自治区地方标准

DB54/T0420—2024

大数据中心安全管理规范

2024-11-18发布2024-12-18实施

西藏自治区市场监督管理局  发布

DB54/T0420—2024

目次

前言...................................................................................II

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语、定义和缩略语...................................................................1

4总体要求.............................................................................2

4.1目标...........................................................................2

4.2原则...........................................................................2

4.3职责...........................................................................2

5物理安全.............................................................................2

5.1物理安全管理...................................................................2

5.2物理区域安全...................................................................3

5.3物理设备安全...................................................................3

6信息安全.............................................................................4

6.1信息系统安全...................................................................4

6.2网络安全.......................................................................4

7消防安全.............................................................................4

8安全风险与应急.......................................................................4

9监督与改进...........................................................................5

9.1安全工作监督...................................................................5

9.2安全工作改进...................................................................5

参考文献................................................................................6

I

DB54/T0420—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由西藏自治区经济和信息化厅（自治区数据管理局）提出并归口。

本文件起草单位：西藏自治区经济和信息化厅（自治区数据管理局）、西藏高驰信息技术服务有限

责任公司、国家工业信息安全发展研究中心。

本文件主要起草人：郭翔、旺堆、扎西尼玛、刘勇、宋雪述、兰劭晖、罗宇舟、周文华、曹亮、赵

青、贺赟、李云志、蔡长亮、杜洪涛、栾燕、陶炜。

II

DB54/T0420—2024

大数据中心安全管理规范

1范围

本文件规定了西藏自治区大数据中心稳定运行所需的综合安全管理要求，包括总体要求、物理安全、

信息安全、消防安全、安全风险与应急等重点领域安全管控要求，以及安全工作监督评估与改进要求，

形成系统性的大数据中心安全运行管理机制。

本文件适用于西藏自治区大数据中心的日常安全管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22080信息技术安全技术信息安全管理体系要求

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25058信息安全技术网络安全等级保护实施指南

GB/T25069信息安全技术术语

GB/T31496信息技术安全技术信息安全管理体系实施指南

YD_T_2949电信互联网数据中心（IDC）安全生产管理要求

3术语、定义和缩略语

3.1术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

安全security

对于某一系统，据以获得保密性、可用性、可核查性、真实性以及可靠性的性质。

[来源：GB/T25069-2022,3.1]

安全机制securitymechanism

实现安全功能，提供安全服务的基本方法。

[来源：GB/T25069-2022,3.11]

3.2缩略语

3

DB54/T0420—2024

下列缩略语适用于本文件。

UPS：不间断电源（UninterruptedPowerSupply）

4总体要求

4.1目标

通过建立安全机制，制定安全管理制度，实施技防、人防等措施，确保公共数据中心稳定、有序、

安全运行，保障大数据中心在数据采集、存储、处理、传输、服务过程中的安全。

4.2原则

在开展大数据中心安全管理工作中，应遵循以下原则：

a)职责明确

安全管理制度中应明确安全管理活动中的有关责任主体及其职责。

b)合法合规

安全管理制度中要求采取的安全防护策略，应符合国家、西藏自治区信息安全法规。同时，满足计

算机信息系统安全等级保护要求。

c)确保安全

管理制度要求采取的措施应能够有效保障数据中心的物理安全、数据安全、网络安全。

d)可追溯可审计

应记录安全管理活动中各项操作的相关信息，并保证记录不可篡改、可追溯。

4.3职责

大数据中心在建立安全机制、制定安全管理制度时，可参考GB/T31496-2015和GB/T22080-2016

相关规定要求，明确以下活动的责任主体并明确应采取的措施：

a)物理安全防护

保护数据中心设备设施防火、防盗、防损毁、防电磁干扰等。

b)数据安全防护

保护数据中心拥有的数据防丢失、防泄密、防篡改、防非授权访问等。

c)网络安全防护

保护数据中心在数据传输中防窃取、防篡改，以及信息系统防入侵等。

d)安全机制运行

统筹安全管理活动，制定安全管理制度，实施相关防护措施。

e)更新优化

定期组织大数据中心安全机制和管理制度实施成效评价，识别存在的风险，有针对性地完善改进，

4

DB54/T0420—2024

不断提升安全管理水平。

5物理安全

5.1物理安全管理

为保障大数据中心运行安全可靠，面向物理设施和环境安全，应制定和完善以下物理防护及安全保

卫管理制度，并监督实施：

a)功能区域安全等级划分、边界划分；

b)人员出入授权审批和门禁管理；

c)外来人员访问陪同策略；

d)防火防盗设施管理；

e)易燃易爆品防控管理；

f)周边社会环境信息收集与安全防控制度；

g)周边自然环境灾害信息收集与安全防控制度等。

5.2物理区域安全

应防止对环境区域的非授权物理访问、损坏和干扰，采取包括但不限于以下措施：

a)物理安全边界

定义和使用安全边界来保护关键、敏感设施。

b)物理入口控制

通过保卫管理和门禁管理保障人员出入权限受控。

c)办公及机房设施

办公及机房设施的安全保护措施。

d)外界和环境威胁的安全防护措施

应设计和应用物理保护以防自然灾害、恶意攻击和意外。

e)机房区域工作规程

宜建立机房区域工作规程。

f)交接区域的控制措施

交接区域的控制措施以防止物理设备设施和安全区域的未授权物理访问、损坏和干扰。

5.3物理设备安全

应防止大数据中心资产（包括设备、设施、布缆、存储介质等）的丢失、损坏、失窃或危及资产安

全及业务的中断，采取包括但不限于以下措施：

a)设备安置和保护

5

DB54/T0420—2024

控制应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。

b)支持性设施

应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。

c)布缆安全

应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听、干扰或损坏。

d)设备维护

应予以正确地维护，以确保其持续的可用性和完整性。

e)资产的移动

设备、信息或软件在授权之前不应带出中心区域。

f)组织场所外的设备与资产安全

应对组织场所外的资产采取安全措施，要考虑工作在组织场所外的不同风险。

g)设备的安全处置或再利用

包含储存存储介质的设备的所有部分应进行核查，以确保在处置或再利用之前，任何敏感信息和注

册软件已被删除或安全地重写。

h)无人值守的用户设备

用户应确保无人值守的用户设备有适当的保护。

i)清理桌面和屏幕策略

应针对纸质和可移动存储介质，采取清理桌面策略；应针对信息处理设施，采用清理屏幕策略。

6信息安全

6.1信息系统安全

大数据中心的业务系统、门禁系统、设施监控系统、环控系统、访客系统等各类弱电系统，应制定

并采取必要的信息安全控制措施，包括但不限于以下措施：

a)时钟同步控制措施；

b)恶意软件控制措施（计算机病毒防护）；

c)各类各层次系统的用户访问控制措施；

d)口令管理控制措施；

e)网络访问控制措施；

f)网络隔离控制措施；

g)信息备份与恢复策略；

h)日志保护控制措施；

i)运行软件控制措施。

6

DB54/T0420—2024

重点针对大数据中心管辖的IT设备、机房、重要主机系统、网络、重要供应链等，建立安全管理策

略和维护流程制度，按要求实施并定期记录、定期检查。

6.2网络安全

应根据网络安全防护需求，防范网络攻击，并依据GB/T22239-2019和GB/T25058-2019相应等级有

关要求和GB/T39786-2021、GB/T43207-2023等密码应用要求，采取相关措施，确保大数据中心网络安

全。

7消防安全

应参考YD/T2949-2015规定，制定消防等安全生产制度规范并实施，确保大数据中心场地符合国家

的消防法规和安全生产法规要求：

a)机房环境和设施设备安全管理

围绕基础动力设施设备、发电机组、UPS设备、蓄电池、空调设备、防雷接地系统、动力及环境监

控系统，制定安全作业细则并实施。

b)消防系统安全管理

围绕消防系统安全和用电安全，制定安全管理规范和安全作业细则并实施。

c)安全管理制度及流程齐套

围绕机房安全管理、值班和交接班、维护作业计划、设备巡检、技术档案和原始记录资料管理，以

及备品备件、仪器仪表及工器具管理，制定制度清单和管理流程规范，并监督实施。

8安全风险与应急

面向大数据中心日常运行，应制定安全风险管理与应急措施，并按要求实施：

a)风险管理

宜充分识别数据中心运行中的风险，以及对中心运营的影响，并制定预案，以便采取有效措施，消

除或控制风险的影响。

b)温度热点管理

宜关注各类设施的发热情况，了解发热特征，制定持续观测、记录、分析和预警的制度。

c)建立应急预案

——应建立、实施和保持有效的业务影响分析与风险评估流程；

——对场地、设施及服务存在的可能影响运维目标和持续提供服务能力的风险，进行识别、分析和

评价；

——进行业务影响分析，对评估发现的风险进行处置，并按照风险发生的可能性以及发生后果的严

重性，制定应急预案和快速恢复机制。

7

DB54/T0420—2024

d)应急演练

应定期进行应急演练。当运营环境出现重大变化时，演练和测试其应急预案和恢复程序，并形成演

练报告，内容包括输出结果、建议和实施改进的措施。

9监督与改进

9.1安全工作监督

应对大数据中心的物理安全、网络安全、消防安全措施的实施情况、实施成效进行定期评估，评价

相关措施的有效性，并识别可能存在的安全风险。评估内容包括但不限于以下：

a)根据中心内外部环境变化，识别存在的安全风险；

b)对安全防护相关的日志进行审计，评估相关防护措施的有效性；

c)对上一次评估以来安全机制运行情况进行评估，评价运行有效性；