數(shù)據(jù)中心信息安全管理及管控要求
評(píng)論: 更新日期:2014年12月29日
隨著在世界范圍內(nèi),信息化水平的不斷發(fā)展����,數(shù)據(jù)中心的信息安全逐漸成為人們關(guān)注的焦點(diǎn),世界范圍內(nèi)的各個(gè)機(jī)構(gòu)���、組織�����、個(gè)人都在探尋如何保障信息安全的問(wèn)題���。英國(guó)、美國(guó)����、挪威、瑞典�����、芬蘭��、澳大利亞等國(guó)均制定了有關(guān)信息安全的本國(guó)標(biāo)準(zhǔn),國(guó)際標(biāo)準(zhǔn)化組織(ISO)也發(fā)布了ISO17799�����、ISO13335��、ISO15408等與信息安全相關(guān)的國(guó)際標(biāo)準(zhǔn)及技術(shù)報(bào)告��。目前�,在信息安全管理方面��,英國(guó)標(biāo)準(zhǔn)ISO27000:2005已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)�,它是在BSI/DISC的BDD/2信息安全管理委員會(huì)指導(dǎo)下制定完成。
??????? ISO27001標(biāo)準(zhǔn)于1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng)�,于1995年英國(guó)首次出版BS 7799-1:1995《信息安全管理實(shí)施細(xì)則》,它提供了一套綜合的����、由信息安全最佳慣例組成的實(shí)施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)����,并且適用于大、中����、小組織��。1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》�����,它規(guī)定信息安全管理體系要求與信息安全控制要求�����,它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ)�����,它可以作為一個(gè)正式認(rèn)證方案的根據(jù)�。ISO27000-1與ISO27000-2經(jīng)過(guò)修訂于1999年重新予以發(fā)布��,1999版考慮了信息處理技術(shù)�����,尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展��,同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任��。2000年12月,ISO27000-1:1999《信息安全管理實(shí)施細(xì)則》通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可�����,正式成為國(guó)際標(biāo)準(zhǔn)ISO/IEC17799-1:2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》�。2002年9月5日,ISO27000-2:2002草案經(jīng)過(guò)廣泛的討論之后�,終于發(fā)布成為正式標(biāo)準(zhǔn),同時(shí)ISO27000-2:1999被廢止?,F(xiàn)在���,ISO27000:2005標(biāo)準(zhǔn)已得到了很多國(guó)家的認(rèn)可����,是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)��。許多國(guó)家的政府機(jī)構(gòu)�����、銀行���、證券���、保險(xiǎn)公司����、電信運(yùn)營(yíng)商���、網(wǎng)絡(luò)公司及許多跨國(guó)公司已采用了此標(biāo)準(zhǔn)對(duì)信息安全進(jìn)行系統(tǒng)的管理���,數(shù)據(jù)中心(IDC)應(yīng)逐步建立并完善標(biāo)準(zhǔn)化的信息安全管理體系。
??????? 一����、 數(shù)據(jù)中心信息安全管理總體要求
??????? 1、信息安全管理架構(gòu)與人員能力要求
??????? 1.1信息安全管理架構(gòu)
??????? IDC在當(dāng)前管理組織架構(gòu)基礎(chǔ)上�����,建立信息安全管理委員會(huì)����,涵蓋信息安全管理、應(yīng)急響應(yīng)�����、審計(jì)、技術(shù)實(shí)施等不同職責(zé)���,并保證職責(zé)清晰與分離�����,并形成文件��。
??????? 1.2人員能力
??????? 具備標(biāo)準(zhǔn)化 信息安全管理體系內(nèi)部審核員��、CISP(Certified Information Security Professional�����,國(guó)家注冊(cè)信息安全專家)等相關(guān)資質(zhì)人員。5星級(jí)IDC至少應(yīng)具備一名合格的標(biāo)準(zhǔn)化信息安全管理內(nèi)部審核員����、一名標(biāo)準(zhǔn)化 主任審核員。4星級(jí)IDC至少應(yīng)至少具備一名合格的標(biāo)準(zhǔn)化信息安全管理內(nèi)部審核員
??????? 2���、信息安全管理體系文件要求�,根據(jù)IDC業(yè)務(wù)目標(biāo)與當(dāng)前實(shí)際情況�����,建立完善而分層次的IDC信息安全管理體系及相應(yīng)的文檔,包含但不限于如下方面:
??????? 2.1信息安全管理體系方針文件
??????? 包括IDC信息安全管理體系的范圍���,信息安全的目標(biāo)框架�����、信息安全工作的總方向和原則�����,并考慮IDC業(yè)務(wù)需求�����、國(guó)家法律法規(guī)的要求�、客戶以及合同要求���。
??????? 2.2風(fēng)險(xiǎn)評(píng)估
??????? 內(nèi)容包括如下流程:識(shí)別IDC業(yè)務(wù)范圍內(nèi)的信息資產(chǎn)及其責(zé)任人����;識(shí)別資產(chǎn)所面臨的威脅;識(shí)別可能被威脅利用的脆弱點(diǎn)��;識(shí)別資產(chǎn)保密性���、完整性和可用性的喪失對(duì)IDC業(yè)務(wù)造成的影響��;評(píng)估由主要威脅和脆弱點(diǎn)導(dǎo)致的IDC業(yè)務(wù)安全破壞的現(xiàn)實(shí)可能性��、對(duì)資產(chǎn)的影響和當(dāng)前所實(shí)施的控制措施�����;對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)級(jí)�����。
??????? 2.3風(fēng)險(xiǎn)處理
??????? 內(nèi)容包括:與IDC管理層確定接受風(fēng)險(xiǎn)的準(zhǔn)則�,確定可接受的風(fēng)險(xiǎn)級(jí)別等��;建立可續(xù)的風(fēng)險(xiǎn)處理策略:采用適當(dāng)?shù)目刂拼胧?����、接受風(fēng)險(xiǎn)�、避免風(fēng)險(xiǎn)或轉(zhuǎn)移風(fēng)險(xiǎn);控制目標(biāo)和控制措施的選擇和實(shí)施��,需滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程中所識(shí)別的安全要求����,并在滿足法律法規(guī)、客戶和合同要求的基礎(chǔ)上達(dá)到最佳成本效益�����。
??????? 2.4文件與記錄控制
??????? 明確文件制定���、發(fā)布��、批準(zhǔn)��、評(píng)審����、更新的流程����;確保文件的更改和現(xiàn)行修訂狀態(tài)的標(biāo)識(shí)、版本控制�����、識(shí)別、訪問(wèn)控制有完善的流程����;并對(duì)文件資料的傳輸、貯存和最終銷毀明確做出規(guī)范��。
??????? 記錄控制內(nèi)容包括:保留信息安全管理體系運(yùn)行過(guò)程執(zhí)行的記錄和所有發(fā)生的與信息安全有關(guān)的重大安全事件的記錄��;記錄的標(biāo)識(shí)��、貯存����、保護(hù)、檢索��、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施�。
??????? 2.5內(nèi)部審核
??????? IDC按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部ISMS審核,以確定IDC的信息安全管理的控制目標(biāo)��、控制措施���、過(guò)程和程序符標(biāo)準(zhǔn)化標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求并得到有效地實(shí)施和保持。五星級(jí)IDC應(yīng)至少每年1次對(duì)信息安全管理進(jìn)行內(nèi)部審核。四星級(jí)IDC應(yīng)至少每年1次對(duì)信息安全管理進(jìn)行內(nèi)部審核�����。
??????? 2.6糾正與預(yù)防措施
??????? IDC建立流程����,以消除與信息安全管理要求不符合的原因及潛在原因,以防止其發(fā)生�,并形成文件的糾正措施與預(yù)防措施程序無(wú)
??????? 2.7控制措施有效性的測(cè)量
??????? 定義如何測(cè)量所選控制措施的有效性;規(guī)定如何使用這些測(cè)量措施��,對(duì)控制措施的有效性進(jìn)行測(cè)量(或評(píng)估)�����。
??????? 2.8管理評(píng)審
??????? IDC管理層按計(jì)劃的時(shí)間間隔評(píng)審內(nèi)部信息安全管理體系����,以確保其持續(xù)的適宜性、充分性和有效性�,最終符合IDC業(yè)務(wù)要求。
??????? 五星級(jí)IDC管理層應(yīng)至少每年1次對(duì)IDC的信息安全管理體系進(jìn)行評(píng)審四星級(jí)IDC管理層應(yīng)至少每年1次對(duì)IDC的信息安全管理體系進(jìn)行評(píng)審���。
??????? 2.9適用性聲明
??????? 適用性聲明必須至少包括以下3項(xiàng)內(nèi)容: IDC所選擇的控制目標(biāo)和控制措施���,及其選擇的理由�;當(dāng)前IDC實(shí)施的控制目標(biāo)和控制措施��;標(biāo)準(zhǔn)化附錄A中任何控制目標(biāo)和控制措施的刪減���,以及刪減的正當(dāng)性理由�。
??????? 2.10業(yè)務(wù)連續(xù)性
??????? 過(guò)業(yè)務(wù)影響分析��,確定IDC業(yè)務(wù)中哪些是關(guān)鍵的業(yè)務(wù)進(jìn)程��,分出緊急先后次序�; 確定可以導(dǎo)致業(yè)務(wù)中斷的主要災(zāi)難和安全失效、確定它們的影響程度和恢復(fù)時(shí)間��; 進(jìn)行業(yè)務(wù)影響分析����,確定恢復(fù)業(yè)務(wù)所需要的資源和成本,決定對(duì)哪些項(xiàng)目制作業(yè)務(wù)連續(xù)性計(jì)劃(BCP)/災(zāi)難恢復(fù)計(jì)劃(DRP)���。
??????? 2.11其它相關(guān)程序
??????? 另外����,還應(yīng)建立包括物理與環(huán)境安全、信息設(shè)備管理����、新設(shè)施管理�����、業(yè)務(wù)連續(xù)性管理��、災(zāi)難恢復(fù)�、人員管理、第三方和外包管理��、信息資產(chǎn)管理�����、工作環(huán)境安全管理���、介質(zhì)處理與安全����、系統(tǒng)開(kāi)發(fā)與維護(hù)�、法律符合性管理�����、文件及材料控制��、安全事件處理等相關(guān)流程與制度����。
??????? 二����、信息安全管控要求
??????? 1、安全方針
??????? 信息安全方針文件與評(píng)審建立IDC信息安全方針文件需得到管理層批準(zhǔn)�、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方。
??????? 至少每年一次或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針評(píng)審�。
??????? 2、信息安全組織
??????? 2.1 內(nèi)部組織
??????? 2.1.1信息安全協(xié)調(diào)����、職責(zé)與授權(quán)
??????? 信息安全管理委員會(huì)包含IDC相關(guān)的不同部門(mén)的代表;所有的信息安全職責(zé)有明確成文的規(guī)定����;對(duì)新信息處理設(shè)施,要有管理授權(quán)過(guò)程。
??????? 2.1.2保密協(xié)議
??????? IDC所有員工須簽署保密協(xié)議����,保密內(nèi)容涵蓋IDC內(nèi)部敏感信息;保密協(xié)議條款每年至少評(píng)審一次���。
??????? 2.1.3權(quán)威部門(mén)與利益相關(guān)團(tuán)體的聯(lián)系
??????? 與相關(guān)權(quán)威部門(mén)(包括���,公安部門(mén)��、消防部門(mén)和監(jiān)管部門(mén))建立溝通管道����;與安全專家組、專業(yè)協(xié)會(huì)等相關(guān)團(tuán)體進(jìn)行溝通�����。
??????? 2.1.4獨(dú)立評(píng)審
??????? 參考“信息安全管理體系要求”第5和第8條關(guān)于管理評(píng)審���、內(nèi)部審核的要求�����,進(jìn)行獨(dú)立的評(píng)審��。
??????? 審核員不能審核評(píng)審自己的工作���;評(píng)審結(jié)果交管理層審閱���。
??????? 2.2 外方管理
??????? 2.2.1外部第三方的相關(guān)風(fēng)險(xiǎn)的識(shí)別
??????? 將外部第三方(設(shè)備維護(hù)商、服務(wù)商�、顧問(wèn)、外包方臨時(shí)人員�����、實(shí)習(xí)學(xué)生等)對(duì)IDC信息處理設(shè)施或信息納入風(fēng)險(xiǎn)評(píng)估過(guò)程��,考慮內(nèi)容應(yīng)包括:需要訪問(wèn)的信息處理設(shè)施���、訪問(wèn)類型(物理�����、邏輯�����、網(wǎng)絡(luò))�、涉及信息的價(jià)值和敏感性,及對(duì)業(yè)務(wù)運(yùn)行的關(guān)鍵程度����、訪問(wèn)控制等相關(guān)因素。
??????? 建立外部第三方信息安全管理相關(guān)管理制度與流程��。
??????? 2.2.2客戶有關(guān)的安全問(wèn)題
??????? 針對(duì)客戶信息資產(chǎn)的保護(hù)�,根據(jù)合同以及相關(guān)法律、法規(guī)要求��,進(jìn)行恰當(dāng)?shù)谋Wo(hù)��。
??????? 2.2.3處理第三方協(xié)議中的安全問(wèn)題
??????? 涉及訪問(wèn)�、處理�、交流(或管理)IDC及IDC客戶的信息或信息處理設(shè)施的第三方協(xié)議,需涵蓋所有相關(guān)的安全要求�。
