数据中心信息安全管理及管控要求.doc

数据中心信息安全管理及管控要求 随着在世界范围内，信息化水平的不断发展，数据中心的信息安全逐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何确保信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织〔ISO〕也公布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前，在信息安全管理方面，英国标准ISO27000：2021已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。         ISO27001标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最正确惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数状况所必需控制范围的唯一参照基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的依据。ISO27000-1与ISO27000-2经过修订于1999年重新予以公布，1999版合计了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月，ISO27000-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准ISO/IEC17799-1：2000《信息技术-信息安全管理实施细则》。2021年9月5日，ISO27000-2：2021草案经过广泛的讨论之后，终于公布成为正式标准，同时ISO27000-2：1999被废止。现在，ISO27000：2021标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采纳了此标准对信息安全进行系统的管理，数据中心〔IDC〕应逐步建立并完善标准化的信息安全管理体系。         一、 数据中心信息安全管理总体要求         1、信息安全管理架构与人员能力要求                 IDC在当前管理组织架构基础上，建立信息安全管理委员会，涵盖信息安全管理、应急响应、审计、技术实施等不同使命，并确保使命清楚与分开，并形成文件。                 具备标准化 信息安全管理体系内部审核员、CISP〔Certified Information Security Professional，国家注册信息安全专家〕等相关资质人员。5星级IDC至少应具备一名合格的标准化信息安全管理内部审核员、一名标准化 主任审核员。4星级IDC至少应至少具备一名合格的标准化信息安全管理内部审核员         2、信息安全管理体系文件要求，依据IDC业务目标与当前实际状况，建立完善而分层次的IDC信息安全管理体系及相应的文档，包涵但不限于如下方面：                 包括IDC信息安全管理体系的范围，信息安全的目标框架、信息安全工作的总方向和原则，并合计IDC业务必需求、国家法律法规的要求、客户以及合同要求。                 内容包括如下流程：识别IDC业务范围内的信息资产及其责任人；识别资产所面临的威胁；识别可能被威胁利用的脆弱点；识别资产保密性、完整性和可用性的丧失对IDC业务造成的影响；评估由主要威胁和脆弱点导致的IDC业务安全破坏的现实可能性、对资产的影响和当前所实施的控制措施；对风险进行评级。                 内容包括：与IDC管理层确定接受风险的准则，确定可接受的风险级别等；建立可续的风险处理策略：采纳适当的控制措施、接受风险、避免风险或转移风险；控制目标和控制措施的选择和实施，必需满足风险评估和风险处理过程中所识别的安全要求，并在满足法律法规、客户和合同要求的基础上达到最正确成本效益。                 明确文件制定、公布、批准、评审、更新的流程；确保文件的更改和现行修订状态的标识、版本控制、识别、访问控制有完善的流程；并对文件资料的传输、贮存和最终销毁明确做出规范。         记录控制内容包括：保留信息安全管理体系运行过程执行的记录和所有发生的与信息安全有关的重大安全事件的记录；记录的标识、贮存、保护、检索、储存期限和处置所必需的控制措施应形成文件并实施。                 IDC按照计划的时间间隔进行内部ISMS审核，以确定IDC的信息安全管理的控制目标、控制措施、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持。五星级IDC应至少每年1次对信息安全管理进行内部审核。四星级IDC应至少每年1次对信息安全管理进行内部审核。                 IDC建立流程，以消除与信息安全管理要求不符合的原因及潜在原因，以防止其发生，并形成文件的改正措施与预防措施程序无                 定义如何测量所选控制措施的有效性；规定如何使用这些测量措施，对控制措施的有效性进行测量〔或评估〕。                 IDC管理层按计划的时间间隔评审内部信息安全管理体系，以确保其持续的适宜性、充分性和有效性，最终符合IDC业务要求。         五星级IDC管理层应至少每年1次对IDC的信息安全管理体系进行评审四星级IDC管理层应至少每年1次对IDC的信息安全管理体系进行评审。                 适用性声明必必需至少包括以下3项内容： IDC所选择的控制目标和控制措施，及其选择的理由；当前IDC实施的控制目标和控制措施；标准化附录A中任何控制目标和控制措施的删减，以及删减的正当性理由。                 过业务影响分析，确定IDC业务中哪些是关键的业务进程，分出紧急先后次序； 确定可以导致业务中断的主要灾难和安全失效、确定它们的影响程度和恢复时间； 进行业务影响分析，确定恢复业务所必需要的资源和成本，决定对哪些项目制作业务连续性计划〔BCP〕/灾难恢复计划〔DRP〕。                 另外，还应建立包括物理与环境安全、信息设备管理、新设施管理、业务连续性管理、灾难恢复、人员管理、第三方和外包管理、信息资产管理、工作环境安全管理、介质处理与安全、系统开发与维护、法律符合性管理、文件及材料控制、安全事件处理等相关流程与制度。         二、信息安全管控要求         1、安全方针         信息安全方针文件与评审建立IDC信息安全方针文件必需得到管理层批准、公布并传达给所有员工和外部相关方。         至少每年一次或当重大变化发生时进行信息安全方针评审。         2、信息安全组织         2.1 内部组织         2.1.1信息安全协调、使命与授权         信息安全管理委员会包涵IDC相关的不同部门的代表；所有的信息安全使命有明确成文的规定；对新信息处理设施，要有管理授权过程。                 IDC所有员工须签署保密协议，保密内容涵盖IDC内部敏感信息；保密协议条款每年至少评审一次。                 与相关权威部门〔包括，公安部门、消防部门和监管部门〕建立沟通管道；与安全专家组、专业协会等相关团体进行沟通。                 参照“信息安全管理体系要求〞第5和第8条关于管理评审、内部审核的要求，进行独立的评审。         审核员不能审核评审自己的工作；评审结果交管理层审阅。         2.2 外方管理                 将外部第三方〔设备维护商、服务商、顾问、外包方临时人员、实习同学等〕对IDC信息处理设施或信息纳进风险评估过程，合计内容应包括：必需要访问的信息处理设施、访问类型〔物理、逻辑、网络〕、涉及信息的价值和敏感性，及对业务运行的关键程度、访问控制等相关因素。         建立外部第三方信息安全管理相关管理制度与流程。                 针对客户信息资产的保护，依据合同以及相关法律、法规要求，进行恰当的保护。                 涉及访问、处理、交流〔或管理〕IDC及IDC客户的信息或信息处理设施的第三方协议，必需涵盖所有相关的安全要求。