隨著在世界范圍內(nèi)�,信息化水平的不斷發(fā)展,數(shù)據(jù)中心的信息安全逐漸成為人們關(guān)注的焦點�����,世界范圍內(nèi)的各個機構(gòu)����、組織、個人都在探尋如何保障信息安全的問題���。英國��、美國����、挪威、瑞典��、芬蘭����、澳大利亞等國均制定了有關(guān)信息安全的本國標準,國際標準化組織(ISO)也發(fā)布了ISO17799��、ISO13335���、ISO15408等與信息安全相關(guān)的國際標準及技術(shù)報告�。目前�����,在信息安全管理方面�����,英國標準ISO27000:2005已經(jīng)成為世界上應用最廣泛與典型的信息安全管理標準,它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成��。
??????? ISO27001標準于1993年由英國貿(mào)易工業(yè)部立項�����,于1995年英國首次出版BS 7799-1:1995《信息安全管理實施細則》����,它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則�,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準,并且適用于大����、中�����、小組織�。1998年英國公布標準的第二部分《信息安全管理體系規(guī)范》,它規(guī)定信息安全管理體系要求與信息安全控制要求�����,它是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ)�,它可以作為一個正式認證方案的根據(jù)��。ISO27000-1與ISO27000-2經(jīng)過修訂于1999年重新予以發(fā)布����,1999版考慮了信息處理技術(shù)�,尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應用的近期發(fā)展,同時還非常強調(diào)了商務(wù)涉及的信息安全及信息安全的責任��。2000年12月���,ISO27000-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可����,正式成為國際標準ISO/IEC17799-1:2000《信息技術(shù)-信息安全管理實施細則》�����。2002年9月5日����,ISO27000-2:2002草案經(jīng)過廣泛的討論之后,終于發(fā)布成為正式標準�����,同時ISO27000-2:1999被廢止。現(xiàn)在����,ISO27000:2005標準已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標準�����。許多國家的政府機構(gòu)�����、銀行��、證券����、保險公司�����、電信運營商��、網(wǎng)絡(luò)公司及許多跨國公司已采用了此標準對信息安全進行系統(tǒng)的管理,數(shù)據(jù)中心(IDC)應逐步建立并完善標準化的信息安全管理體系�����。
??????? 一�����、 數(shù)據(jù)中心信息安全管理總體要求
??????? 1��、信息安全管理架構(gòu)與人員能力要求
??????? 1.1信息安全管理架構(gòu)
??????? IDC在當前管理組織架構(gòu)基礎(chǔ)上���,建立信息安全管理委員會�����,涵蓋信息安全管理���、應急響應、審計�����、技術(shù)實施等不同職責����,并保證職責清晰與分離���,并形成文件。
??????? 1.2人員能力
??????? 具備標準化 信息安全管理體系內(nèi)部審核員�����、CISP(Certified Information Security Professional�,國家注冊信息安全專家)等相關(guān)資質(zhì)人員。5星級IDC至少應具備一名合格的標準化信息安全管理內(nèi)部審核員��、一名標準化 主任審核員��。4星級IDC至少應至少具備一名合格的標準化信息安全管理內(nèi)部審核員
??????? 2����、信息安全管理體系文件要求,根據(jù)IDC業(yè)務(wù)目標與當前實際情況��,建立完善而分層次的IDC信息安全管理體系及相應的文檔���,包含但不限于如下方面:
??????? 2.1信息安全管理體系方針文件
??????? 包括IDC信息安全管理體系的范圍��,信息安全的目標框架���、信息安全工作的總方向和原則,并考慮IDC業(yè)務(wù)需求�����、國家法律法規(guī)的要求�、客戶以及合同要求。
??????? 2.2風險評估
??????? 內(nèi)容包括如下流程:識別IDC業(yè)務(wù)范圍內(nèi)的信息資產(chǎn)及其責任人���;識別資產(chǎn)所面臨的威脅�����;識別可能被威脅利用的脆弱點����;識別資產(chǎn)保密性���、完整性和可用性的喪失對IDC業(yè)務(wù)造成的影響��;評估由主要威脅和脆弱點導致的IDC業(yè)務(wù)安全破壞的現(xiàn)實可能性��、對資產(chǎn)的影響和當前所實施的控制措施�����;對風險進行評級�����。
??????? 2.3風險處理
??????? 內(nèi)容包括:與IDC管理層確定接受風險的準則�����,確定可接受的風險級別等����;建立可續(xù)的風險處理策略:采用適當?shù)目刂拼胧⒔邮茱L險��、避免風險或轉(zhuǎn)移風險��;控制目標和控制措施的選擇和實施�,需滿足風險評估和風險處理過程中所識別的安全要求,并在滿足法律法規(guī)�、客戶和合同要求的基礎(chǔ)上達到最佳成本效益。
??????? 2.4文件與記錄控制
??????? 明確文件制定�����、發(fā)布、批準����、評審���、更新的流程��;確保文件的更改和現(xiàn)行修訂狀態(tài)的標識���、版本控制、識別��、訪問控制有完善的流程��;并對文件資料的傳輸���、貯存和最終銷毀明確做出規(guī)范��。
??????? 記錄控制內(nèi)容包括:保留信息安全管理體系運行過程執(zhí)行的記錄和所有發(fā)生的與信息安全有關(guān)的重大安全事件的記錄���;記錄的標識、貯存�、保護���、檢索、保存期限和處置所需的控制措施應形成文件并實施���。
??????? 2.5內(nèi)部審核
??????? IDC按照計劃的時間間隔進行內(nèi)部ISMS審核�,以確定IDC的信息安全管理的控制目標�����、控制措施����、過程和程序符標準化標準和相關(guān)法律法規(guī)的要求并得到有效地實施和保持。五星級IDC應至少每年1次對信息安全管理進行內(nèi)部審核��。四星級IDC應至少每年1次對信息安全管理進行內(nèi)部審核����。
??????? 2.6糾正與預防措施
??????? IDC建立流程,以消除與信息安全管理要求不符合的原因及潛在原因��,以防止其發(fā)生�����,并形成文件的糾正措施與預防措施程序無
??????? 2.7控制措施有效性的測量
??????? 定義如何測量所選控制措施的有效性;規(guī)定如何使用這些測量措施����,對控制措施的有效性進行測量(或評估)。
??????? 2.8管理評審
??????? IDC管理層按計劃的時間間隔評審內(nèi)部信息安全管理體系��,以確保其持續(xù)的適宜性�����、充分性和有效性���,最終符合IDC業(yè)務(wù)要求。
??????? 五星級IDC管理層應至少每年1次對IDC的信息安全管理體系進行評審四星級IDC管理層應至少每年1次對IDC的信息安全管理體系進行評審��。
??????? 2.9適用性聲明
??????? 適用性聲明必須至少包括以下3項內(nèi)容: IDC所選擇的控制目標和控制措施�����,及其選擇的理由�����;當前IDC實施的控制目標和控制措施;標準化附錄A中任何控制目標和控制措施的刪減���,以及刪減的正當性理由�����。
??????? 2.10業(yè)務(wù)連續(xù)性
??????? 過業(yè)務(wù)影響分析��,確定IDC業(yè)務(wù)中哪些是關(guān)鍵的業(yè)務(wù)進程����,分出緊急先后次序����; 確定可以導致業(yè)務(wù)中斷的主要災難和安全失效、確定它們的影響程度和恢復時間�; 進行業(yè)務(wù)影響分析,確定恢復業(yè)務(wù)所需要的資源和成本�,決定對哪些項目制作業(yè)務(wù)連續(xù)性計劃(BCP)/災難恢復計劃(DRP)。
??????? 2.11其它相關(guān)程序
??????? 另外�����,還應建立包括物理與環(huán)境安全、信息設(shè)備管理、新設(shè)施管理��、業(yè)務(wù)連續(xù)性管理�、災難恢復��、人員管理、第三方和外包管理�、信息資產(chǎn)管理����、工作環(huán)境安全管理、介質(zhì)處理與安全�、系統(tǒng)開發(fā)與維護����、法律符合性管理����、文件及材料控制、安全事件處理等相關(guān)流程與制度�。
??????? 二、信息安全管控要求
??????? 1����、安全方針
??????? 信息安全方針文件與評審建立IDC信息安全方針文件需得到管理層批準、發(fā)布并傳達給所有員工和外部相關(guān)方��。
??????? 至少每年一次或當重大變化發(fā)生時進行信息安全方針評審����。
??????? 2�、信息安全組織
??????? 2.1 內(nèi)部組織
??????? 2.1.1信息安全協(xié)調(diào)���、職責與授權(quán)
??????? 信息安全管理委員會包含IDC相關(guān)的不同部門的代表���;所有的信息安全職責有明確成文的規(guī)定;對新信息處理設(shè)施��,要有管理授權(quán)過程��。
??????? 2.1.2保密協(xié)議
??????? IDC所有員工須簽署保密協(xié)議��,保密內(nèi)容涵蓋IDC內(nèi)部敏感信息�����;保密協(xié)議條款每年至少評審一次���。
??????? 2.1.3權(quán)威部門與利益相關(guān)團體的聯(lián)系
??????? 與相關(guān)權(quán)威部門(包括��,公安部門�、消防部門和監(jiān)管部門)建立溝通管道���;與安全專家組����、專業(yè)協(xié)會等相關(guān)團體進行溝通。
??????? 2.1.4獨立評審
??????? 參考“信息安全管理體系要求”第5和第8條關(guān)于管理評審��、內(nèi)部審核的要求���,進行獨立的評審����。
??????? 審核員不能審核評審自己的工作���;評審結(jié)果交管理層審閱��。
??????? 2.2 外方管理
??????? 2.2.1外部第三方的相關(guān)風險的識別
??????? 將外部第三方(設(shè)備維護商����、服務(wù)商���、顧問��、外包方臨時人員����、實習學生等)對IDC信息處理設(shè)施或信息納入風險評估過程��,考慮內(nèi)容應包括:需要訪問的信息處理設(shè)施����、訪問類型(物理、邏輯�、網(wǎng)絡(luò))、涉及信息的價值和敏感性�,及對業(yè)務(wù)運行的關(guān)鍵程度、訪問控制等相關(guān)因素��。
??????? 建立外部第三方信息安全管理相關(guān)管理制度與流程�����。
??????? 2.2.2客戶有關(guān)的安全問題
??????? 針對客戶信息資產(chǎn)的保護���,根據(jù)合同以及相關(guān)法律��、法規(guī)要求,進行恰當?shù)谋Wo���。
??????? 2.2.3處理第三方協(xié)議中的安全問題
??????? 涉及訪問��、處理��、交流(或管理)IDC及IDC客戶的信息或信息處理設(shè)施的第三方協(xié)議,需涵蓋所有相關(guān)的安全要求��。
