數(shù)據(jù)中心信息安全管理及管控要求
評(píng)論: 更新日期:2014年12月29日
??????? 3�����、信息資產(chǎn)管理
??????? 3.1 資產(chǎn)管理職責(zé)
??????? 3.1.1資產(chǎn)清單與責(zé)任人
??????? IDC對(duì)所有信息資產(chǎn)度進(jìn)行識(shí)別�,將所有重要資產(chǎn)都進(jìn)行登記、建立清單文件并加以維護(hù)�����。
??????? IDC中所有信息和信息處理設(shè)施相關(guān)重要資產(chǎn)需指定責(zé)任人��。
??????? 3.1.2資產(chǎn)使用
??????? 指定信息與信息處理設(shè)施使用相關(guān)規(guī)則��,形成了文件并加以實(shí)施�����。
??????? 3.2 信息資產(chǎn)分類
??????? 3.2.1資產(chǎn)分類管理
??????? 根據(jù)信息資產(chǎn)對(duì)IDC業(yè)務(wù)的價(jià)值�����、法律要求���、敏感性和關(guān)鍵性進(jìn)行分類�,建立一個(gè)信息分類指南。
??????? 信息分類指南應(yīng)涵蓋外來的信息資產(chǎn)�,尤其是來自客戶的信息資產(chǎn)。
??????? 3.2.2信息的標(biāo)記和處理
??????? 按照IDC所采納的分類指南建立和實(shí)施一組合適的信息標(biāo)記和處理程序���。
??????? 4�����、人力資源安全
??????? 這里的人員包括IDC雇員��、承包方人員和第三方等相關(guān)人員���。
??????? 4.1信息安全角色與職責(zé)
??????? 人員職責(zé)說明體現(xiàn)信息安全相關(guān)角色和要求��。
??????? 4.2背景調(diào)查
??????? 人員任職前根據(jù)職責(zé)要求和崗位對(duì)信息安全的要求��,采取必要的背景驗(yàn)證�����。
??????? 4.3雇用的條款和條件
??????? 人員雇傭后�����,應(yīng)簽署必要的合同,明確雇傭的條件和條款��,并包含信息安全相關(guān)要求���。
??????? 4.4信息安全意識(shí)���、教育和培訓(xùn)
??????? 入職新員工培訓(xùn)應(yīng)包含IDC信息安全相關(guān)內(nèi)容。
??????? 至少每年一次對(duì)人員進(jìn)行信息安全意識(shí)培訓(xùn)��。
??????? 4.5安全違紀(jì)處理
??????? 針對(duì)安全違規(guī)的人員���,建立正式的紀(jì)律處理程序�。
??????? 4.6雇傭的終止與變更
??????? IDC應(yīng)清晰規(guī)定和分配雇用終止或雇用變更的職責(zé)�;雇傭協(xié)議終止于變更時(shí),及時(shí)收回相關(guān)信息資產(chǎn)��,并調(diào)整或撤銷相關(guān)訪問控制權(quán)限�。
??????? 5、物理與環(huán)境安全
??????? 5.1 安全區(qū)域
??????? 5.1.1邊界安全與出入口控制
??????? 根據(jù)邊界內(nèi)資產(chǎn)的安全要求和風(fēng)險(xiǎn)評(píng)估的結(jié)果對(duì)IDC物理區(qū)域進(jìn)行分區(qū)�、分級(jí)管理,不同區(qū)域邊界與出入口需建立卡控制的入口或有人管理的接待臺(tái)��。
??????? 入侵檢測(cè)與報(bào)警系統(tǒng)覆蓋所有門窗和出入口��,并定期檢測(cè)入侵檢測(cè)系統(tǒng)的有效性。
??????? 機(jī)房大樓應(yīng)有7×24小時(shí)的專業(yè)保安人員�,出入大樓需登記或持有通行卡。
??????? 機(jī)房安全出口不少于兩個(gè)��,且要保持暢通��,不可放置雜物��。
??????? 5星級(jí)IDC:出入記錄至少保存6個(gè)月���,視頻監(jiān)控至少保存1個(gè)月���。
??????? 4星級(jí)IDC:出入記錄至少保存6個(gè)月,視頻監(jiān)控至少保存1個(gè)月���。
??????? 5.1.2 IDC機(jī)房環(huán)境安全
??????? 記錄訪問者進(jìn)入和離開IDC的日期和時(shí)間��,所有的訪問者要需要經(jīng)過授權(quán)。
??????? 建立訪客控制程序�����,對(duì)服務(wù)商等外部人員實(shí)現(xiàn)有效管控��。
??????? 所有員工、服務(wù)商人員和第三方人員以及所有訪問者進(jìn)入IDC要佩帶某種形式的可視標(biāo)識(shí)�,已實(shí)現(xiàn)明顯的區(qū)分。外部人員進(jìn)入IDC后��,需全程監(jiān)控��。
??????? 5.1.3防范外部威脅和環(huán)境威脅
??????? IDC對(duì)火災(zāi)�����、洪水��、地震�����、爆炸���、社會(huì)動(dòng)蕩和其他形式的自然或人為災(zāi)難引起的破壞建立足夠的防范控制措施��;危險(xiǎn)或易燃材料應(yīng)在遠(yuǎn)離IDC存放�����;備份設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與IDC超過10公里的距離�。
??????? 機(jī)房內(nèi)應(yīng)嚴(yán)格執(zhí)行消防安全規(guī)定,所有門窗�����、地板��、窗簾�����、飾物�、桌椅、柜子等材料�����、設(shè)施都應(yīng)采用防火材料�����。
??????? 5.1.4公共訪問區(qū)和交接區(qū)
??????? 為了避免未授權(quán)訪問�,訪問點(diǎn)(如交接區(qū)和未授權(quán)人員可以進(jìn)入的其它地點(diǎn))需進(jìn)行適當(dāng)?shù)陌踩刂疲O(shè)備貨物交接區(qū)要與信息處理設(shè)施隔開���。
??????? 5.2 設(shè)備安全
??????? 5.2.1設(shè)備安全
??????? 設(shè)備盡量安置在可減少未授權(quán)訪問的適當(dāng)?shù)攸c(diǎn)�����;對(duì)于處理敏感數(shù)據(jù)的信息處理設(shè)施�,盡量安置在可限制觀測(cè)的位置�;對(duì)于需要特殊保護(hù)的設(shè)備,要進(jìn)行適當(dāng)隔離�;對(duì)信息處理設(shè)施的運(yùn)行有負(fù)面影響的環(huán)境條件(包括溫度和濕度),要進(jìn)行實(shí)時(shí)進(jìn)行監(jiān)視�����。
??????? 5.2.2支持性設(shè)備安全
??????? 支持性設(shè)施(例如電�、供水、排污���、加熱/通風(fēng)和空調(diào)等)應(yīng)定期檢查并適當(dāng)?shù)臏y(cè)試以確保他們的功能�����,減少由于他們的故障或失效帶來的風(fēng)險(xiǎn)�����。
??????? 實(shí)現(xiàn)多路供電�,以避免供電的單一故障點(diǎn)。
??????? 5.2.3線纜安全
??????? 應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞���。
??????? 電源電纜要與通信電纜分開��;各種線纜能通過標(biāo)識(shí)加以區(qū)分��,并對(duì)線纜的訪問加以必要的訪問控制��。
??????? 線纜標(biāo)簽必須采用防水標(biāo)簽紙和標(biāo)簽打印機(jī)進(jìn)行正反面打?��。ɑ蛘叽蛴蓮堖M(jìn)行粘貼),標(biāo)簽長度應(yīng)保證至少能夠纏繞電纜一圈或一圈半�,打印字符必須清晰可見,打印內(nèi)容應(yīng)簡潔明了��,容易理解�。標(biāo)簽的標(biāo)示必須清晰、簡潔��、準(zhǔn)確���、統(tǒng)一��,標(biāo)簽打印應(yīng)當(dāng)前后和上下排對(duì)齊���。
??????? 5.2.4設(shè)備維護(hù)
??????? 設(shè)備需按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和說明書,進(jìn)行正確維護(hù)��;設(shè)備維護(hù)由已授權(quán)人員執(zhí)行��,并保存維護(hù)記錄1年�����。
??????? 5.2.5組織場(chǎng)所外的設(shè)備安全
??????? 應(yīng)對(duì)組織場(chǎng)所的設(shè)備采取安全措施�����,要考慮工作在組織場(chǎng)所以外的不同風(fēng)險(xiǎn)�。
??????? 5.2.6設(shè)備的安全處置或再利用
??????? 包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查,以確保在銷毀之前��,任何敏感信息和注冊(cè)軟件已被刪除或安全重寫���。
??????? 5.2.7資產(chǎn)的移動(dòng)
??????? 設(shè)備���、信息或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所,設(shè)置設(shè)備移動(dòng)的時(shí)間限制,并在返還時(shí)執(zhí)行符合性檢查�����;對(duì)設(shè)備做出移出記錄�,當(dāng)返回時(shí),要做出送回記錄��。
??????? 6���、通信和操作管理
??????? 6.1 運(yùn)行程序和職責(zé)
??????? 6.1.1運(yùn)行操作程序文件化
??????? 運(yùn)行操作程序文件化并加以保持�����,并方便相關(guān)使用人員的訪問�����。
??????? 6.1.2變更管理
??????? 對(duì)信息處理設(shè)施和系統(tǒng)的變更是否受控��,并考慮:重大變更的標(biāo)識(shí)和記錄�;變更的策劃和測(cè)試�����;對(duì)這種變更的潛在影響的評(píng)估,包括安全影響�����;對(duì)建議變更的正式批準(zhǔn)程序�����;向所有有關(guān)人員傳達(dá)變更細(xì)節(jié)�;返回程序�����,包括從不成功變更和未預(yù)料事態(tài)中退出和恢復(fù)的程序與職責(zé)���。
??????? 6.1.3職責(zé)分離
??????? 各類責(zé)任及職責(zé)范圍應(yīng)加以分割�����,以降低未授權(quán)或無意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)���。
??????? 6.1.4開發(fā)設(shè)施、測(cè)試設(shè)施和運(yùn)行設(shè)施的分離
??????? 開發(fā)��、測(cè)試和運(yùn)行設(shè)施應(yīng)分離,以減少未授權(quán)訪問或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)�����。
??????? 6.2 第三方服務(wù)交付管理
??????? 6.2.1服務(wù)交付
??????? 應(yīng)確保第三方實(shí)施�、運(yùn)行和保持包含在第三方服務(wù)交付協(xié)議中的安全控制措施、服務(wù)定義和交付水準(zhǔn)�����。
??????? IDC應(yīng)確保第三方保持足夠的服務(wù)能力和可使用的計(jì)劃以確保商定的服務(wù)在大的服務(wù)故障或?yàn)?zāi)難后繼續(xù)得以保持��。
??????? 6.2.2第三方服務(wù)的監(jiān)視和評(píng)審
??????? 應(yīng)定期監(jiān)視和評(píng)審由第三方提供的服務(wù)��、報(bào)告和記錄�����,審核也應(yīng)定期執(zhí)行�����,并留下記錄��。
??????? 6.2.3第三方服務(wù)的變更管理
??????? 應(yīng)管理服務(wù)提供的變更���,包括保持和改進(jìn)現(xiàn)有的信息安全方針策略��、程序和控制措施�,要考慮業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估
??????? 6.3系統(tǒng)規(guī)劃和驗(yàn)收
??????? 6.3.1容量管理
??????? IDC各系統(tǒng)資源的使用應(yīng)加以監(jiān)視、調(diào)整�,并做出對(duì)于未來容量要求的預(yù)測(cè),以確保擁有所需的系統(tǒng)性能��。
??????? 系統(tǒng)硬件系統(tǒng)環(huán)境的功能�、性能和容量要滿足IDC業(yè)務(wù)處理的和存貯設(shè)備的平均使用率宜控制在75%以內(nèi)。
??????? 網(wǎng)絡(luò)設(shè)備的處理器和內(nèi)存的平均使用率應(yīng)控制在75%以內(nèi)��。
??????? 6.3.2系統(tǒng)驗(yàn)收
??????? 建立對(duì)新信息系統(tǒng)��、升級(jí)及新版本的驗(yàn)收準(zhǔn)則�,并且在開發(fā)中和驗(yàn)收前對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)臏y(cè)試�。
??????? 6.4防范惡意代碼和移動(dòng)代碼
??????? 6.4.1對(duì)惡意代碼的控制措施
??????? 實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)的控制措施��,以及適當(dāng)?shù)奶岣哂脩舭踩庾R(shí)的程序
??????? 6.4.2對(duì)移動(dòng)代碼的控制措施
??????? 當(dāng)授權(quán)使用移動(dòng)代碼時(shí)�����,其配置確保授權(quán)的移動(dòng)代碼按照清晰定義的安全策略運(yùn)行�����,應(yīng)阻止執(zhí)行未授權(quán)的移動(dòng)代碼。
??????? 6.5 備份
??????? 6.5.1備份
??????? 應(yīng)按照客戶的要求以及已設(shè)的備份策略��,定期備份和測(cè)試信息和軟件�。各個(gè)系統(tǒng)的備份安排應(yīng)定期測(cè)試以確保他們滿足業(yè)務(wù)連續(xù)性計(jì)劃的要求。對(duì)于重要的系統(tǒng)�����,備份安排應(yīng)包括在發(fā)生災(zāi)難時(shí)恢復(fù)整個(gè)系統(tǒng)所必需的所有系統(tǒng)信息�����、應(yīng)用和數(shù)據(jù)�����。
??????? 應(yīng)確定最重要業(yè)務(wù)信息的保存周期以及對(duì)要永久保存的檔案拷貝的任何要求�。
??????? 6.6 網(wǎng)絡(luò)安全管理
??????? 6.6.1網(wǎng)絡(luò)控制
??????? 為了防止使用網(wǎng)絡(luò)時(shí)發(fā)生的威脅和維護(hù)系統(tǒng)與應(yīng)用程序的安全,網(wǎng)絡(luò)要充分受控�����;網(wǎng)絡(luò)的運(yùn)行職責(zé)與計(jì)算機(jī)系統(tǒng)的運(yùn)行職責(zé)實(shí)現(xiàn)分離���;敏感信息在公用網(wǎng)絡(luò)上傳輸時(shí)���,考慮足夠的加密和訪問控制措施��。
??????? 6.6.2網(wǎng)絡(luò)服務(wù)的安全
??????? 網(wǎng)絡(luò)服務(wù)(包括接入服務(wù)�、私有網(wǎng)絡(luò)服務(wù)�、增值網(wǎng)絡(luò)和受控的網(wǎng)絡(luò)安全解決方案,例如防火墻和入侵檢測(cè)系統(tǒng)等)應(yīng)根據(jù)安全需求��,考慮如下安全控制措施:為網(wǎng)絡(luò)服務(wù)應(yīng)用的安全技術(shù)��,例如認(rèn)證��、加密和網(wǎng)絡(luò)連接控制�����;按照安全和網(wǎng)絡(luò)連接規(guī)則���,網(wǎng)絡(luò)服務(wù)的安全連接需要的技術(shù)參數(shù);若需要��,網(wǎng)絡(luò)服務(wù)使用程序�,以限制對(duì)網(wǎng)絡(luò)服務(wù)或應(yīng)用的訪問�。
??????? 6.7 介質(zhì)管理
??????? 6.7 .1可移動(dòng)介質(zhì)的管理
??????? 建立適當(dāng)?shù)目梢苿?dòng)介質(zhì)的管理程序���,規(guī)范可移動(dòng)介質(zhì)的管理�����。
??????? 可移動(dòng)介質(zhì)包括磁帶��、磁盤��、閃盤�����、可移動(dòng)硬件驅(qū)動(dòng)器�����、CD��、DVD和打印的介質(zhì)
??????? 6.7 .2介質(zhì)的處置
??????? 不再需要的介質(zhì)��,應(yīng)使用正式的程序可靠并安全地處置�。保持審計(jì)蹤跡�,保留敏感信息的處置記錄���。
??????? 6.7 .3信息處理程序
??????? 建立信息的處理及存儲(chǔ)程序,以防止信息的未授權(quán)的泄漏或不當(dāng)使用���。
??????? 包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)�,應(yīng)防止未授權(quán)的訪問���、不當(dāng)使用或毀壞�����。
??????? 6.8 信息交換
??????? 6.8.1信息交換策略和程序
??????? 為了保護(hù)通過使用各種類型的通信設(shè)施進(jìn)行信息交換�����,是否有正式的信息交換方針��、程序和控制措施。
??????? 6.8.2外方信息交換協(xié)議
??????? 在組織和外方之間進(jìn)行信息/軟件交換時(shí)��,是否有交換協(xié)議���。
??????? 6.8.3電子郵件���、應(yīng)用系統(tǒng)的信息交換與共享
??????? 建立適當(dāng)?shù)目刂拼胧?����,保護(hù)電子郵件的安全�;為了保護(hù)相互連接的業(yè)務(wù)信息系統(tǒng)的信息��,開發(fā)與實(shí)施相關(guān)的方針和程序���。
