数据中心信息安全管理及管控要求

数据中心信息安全管理及管控要求伴着在世界范围内，信息化水平的不断发展，数据中心的信息安全渐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题英国、、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织（）也发布了、ISO ISO

17799、等与信息安全相关的国际标准及技术报告目前，在ISO13335ISO15408信息安全管理方面，英国标准已经成为世界上应用最广IS02700020XX泛与典型的信息安全管理标准，它是在的信息安全管理委BSI/DISC BDD/2员会指导下制定完成标准于年由英国贸易工业部立项，于年英国首IS02700120XX20XX次出版《信息安全管理实施细则》，它提供了一套综合BS7799-120XX的、由信息安全最正确惯例组成的实施规章，其目的是作为确定工商业信息系统在大多数情况所需掌握范围的唯一参考基准，并且适用于大、中、小组织年英国公布标准的第二部分《信息安全管理体系标准》，它20XX规定信息安全管理体系要求与信息安全掌握要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的依据与经过修订于年重新予以发布，版考虑JS027000-1IS027000-220XX20XX了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务触及的信息安全及信息安全的责任年月，20XX12IS027000-1《信息安全管理实施20XX雇佣的终止与变更

4.6应清楚规定和分配雇用终止或雇用变更的职责；雇佣协议终止于IDC变更时，按时收回相关信息资产，并调整或撤销相关访问掌握权限、物理与环境安全5安全区域

5.1边界安全与出入口掌握依据边界内资产的安全要求和风险评估的结果对物理区域进行分IDC区、分级管理，不同区域边界与出入口需建立卡掌握的入口或有人管理的接待台入侵检测与报警系统掩盖全部门窗和出入口，并定期检测入侵检测系统的有效性机房大楼应有小时的专业保安人员，出入大楼需登记或持有通行7X24卡机房安全出口不少于两个，且要保持畅通，不行放置杂物星级出入记录至少保存个月，视频监控至少保存个月5IDC61星级出入记录至少保存个月，视频监控至少保存个月4IDC61机房环境安全记录访问者进入和离开的日期和时间，全部的访问者要需要经过IDC授权建立访客掌握程序，对服务商等外部人员完成有效管控全部员工、服务商人员和第三方人员以及全部访问者进入要佩带IDC某种形式的可视标识，已完成明显的区分外部人员进入后，需全程IDC监控防范外部威逼和环境威逼对火灾、洪水、地震、爆炸、社会动乱和其他形式的自然或人为IDC灾难引起的破坏建立充足的防范掌握措施；危险或易燃材料应在远离IDC存放；备份装备和备份介质的存放地点应与超过公里的距离IDC10机房内应严格执行消防安全规定，全部门窗、地板、窗帘、饰物、桌椅、柜子等材料、设备都应采纳防火材料公共访问区和交接区为了防止未授权访问，访问点（如交接区和未授权人员可以进入的其它地点）需进行恰当的安全掌握，装备货物交接区要与信息处理设备隔开装备安全

5.2装备安全装备尽量安顿在可削减未授权访问的恰当地点；对于处理敏感数据的信息处理设备，尽量安顿在可限制观测的位置；对于需要特别爱护的装备，要进行恰当隔离；对信息处理设备的运行有负面影响的环境条件（包括温度和湿度），要进行实时进行监视支持性装备安全支持性设备（例如电、供水、排污、加热/通风和空调等）应定期检查并恰当的测试以确保他们的功能，削减由于他们的故障或失效带来的风险完成多路供电，以防止供电的单一故障点线缆安全应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏电源电缆要与通信电缆分开；各种线缆能通过标识加以区分，并对线缆的访问加以必要的访问掌握线缆标签必需采纳防水标签纸和标签打印机进行正反面打印（或者打印两张进行粘贴），标签长度应保证至少能够缠绕电缆一圈或一圈半，打印字符必需清楚可见，打印内容应简洁明了，简单理解标签的标示必需清楚、简洁、精确、统一，标签打印应当前后和上下排对齐装备维护装备需根据供应商推举的服务时间间隔和说明书，进行正确维护;装备维护由已授权人员执行，并保存维护记录年1组织场所外的装备安全应对组织场所的装备实行安全措施，要考虑工作在组织场所以外的不同风险装备的安全处置或再利用包含储存介质的装备的全部工程应进行检查，以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写资产的移动装备、信息或软件在授权之前不应带出组织场所，设置装备移动的时间限制，并在返还时执行符合性检查；对装备做出移出记录，当返回时，要做出送回记录、通信和操作管理6运行程序和职责

6.1运行操作程序文件化运行操作程序文件化并加以保持，并便利相关运用人员的访问变更管理对信息处理设备和系统的变更是否受控，并考虑重大变更的标识和记录；变更的策划和测试；对这种变更的潜在影响的评估，包括安全影响；对建议变更的正式批准程序；向全部有关人员传达变更详情；返回程序，包括从不胜利变更和未意料事态中退出和恢复的程序与职责职责别离各类责任及职责范围应加以分割，以降低未授权或无意识的修改或者不当运用组织资产的时机开发设备、测试设备和运行设备的别离开发、测试和运行设备应别离，以削减未授权访问或转变运行系统的风险第三方服务交付管理

6.2服务交付应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全掌握措施、服务定义和交付水准应确保第三方保持充足的服务力量和可运用的计划以确保商定的IDC服务在大的服务故障或灾难后连续得以保持第三方服务的监视和评审应定期监视和评审由第三方提供的服务、报告和记录，审核也应定期执行，并留下记录第三方服务的变更管理应管理服务提供的变更，包括保持和改进现有的信息安全方针策略、程序和掌握措施，要考虑业务系统和触及过程的关键程度及风险的再评估系统规划和验收

6.3容量管理各系统资源的运用应加以监视、调整，并做出对于将来容量要求IDC的预测，以确保拥有所需的系统性能系统硬件系统环境的功能、性能和容量要满意业务处理的和存贮IDC装备的平均运用率宜掌握在以内75%网络装备的处理器和内存的平均运用率应掌握在以内75%系统验收建立对新信息系统、晋级及新版本的验收准则，并且在开发中和验收前对系统进行恰当的测试防范恶意代码和移动代码

6.4对恶意代码的掌握措施实施恶意代码的监测、预防和恢复的掌握措施，以及恰当的提高用户安全意识的程序对移动代码的掌握措施当授权运用移动代码时，其配置确保授权的移动代码根据清楚定义的安全策略运行，应阻挡执行未授权的移动代码备份

6.5备份应根据客户的要求以及已设的备份策略，定期备份和测试信息和软件各个系统的备份布置应定期测试以确保他们满意业务连续性计划的要求对于重要的系统，备份布置应包括在发生灾难时恢复整个系统所必需的全部系统信息、应用和数据应确定最重要业务信息的保存周期以及对要永远保存的档案拷贝的任何要求网络安全管理

6.6网络掌握为了防止运用网络时发生的威逼和维护系统与应用程序的安全，网络要充足受控；网络的运行职责与计算机系统的运行职责完成别离;敏感信息在公用网络上传输时，考虑充足的加密和访问掌握措施网络服务的安全网络服务（包括接入服务、私有网络服务、增值网络和受控的网络安全解决方案，例如防火墙和入侵检测系统等）应依据安全需求，考虑如下安全掌握措施为网络服务应用的安全技术，例如认证、加密和网络联结掌握；根据安全和网络联结规章，网络服务的安全联结需要的技术参数；若需要，网络服务运用程序，以限制对网络服务或应用的访问介质管理

6.7可移动介质的管理建立恰当的可移动介质的管理程序，标准可移动介质的管理可移动介质包括磁带、磁盘、闪盘、可移动硬件驱动器、、和CD DVD打印的介质介质的处置不再需要的介质，应运用正式的程序牢靠并安全地处置保持审计踪迹，保存敏感信息的处置记录信息处理程序建立信息的处理及存储程序，以防止信息的未授权的泄漏或不当运用包含信息的介质在组织的物理边界以外运输时，应防止未授权的访问、不当运用或毁坏信息交换

6.8信息交换策略和程序为了爱护通过运用各种类型的通信设备进行信息交换，是否有正式的信息交换方针、程序和掌握措施外方信息交换协议在组织和外方之间进行信息/软件交换时，是否有交换协议电子邮件、应用系统的信息交换与共享建立恰当的掌握措施，爱护电子邮件的安全；为了爱护互相联结的业务信息系统的信息，开发与实施相关的方针和程序监控

6.9审计日志审计日志需记录用户活动、异样大事和信息安全大事；为了帮忙将来的调查和访问掌握监视，审计日志至少应保存年1监视系统的运用应建立必要的信息处理设备的监视运用程序，监视活动的结果应定期评审日志信息的爱护记录日志的设备和日志信息应加以爱护，以防止篡改和未授权的访问管理员和操作员日志系统管理员和系统操作员活动应记入日志系统管理员与系统操作员无权更改或删除日志故障日志与信息处理或通信系统的问题有关的用户或系统程序所报告的故障要加以记录、分析，并实行恰当的措施时钟同步一个安全域内的全部相关信息处理设备的时钟应运用已设的精确时间源进行同步星级各计算机系统的时钟与标准时间的误差不超过秒5IDC10星级各计算机系统的时钟与标准时间的误差不超过秒4IDC

25、访问掌握7用户访问管理

7.1应有正式的用户注册及注销程序，来授权和撤销对全部信息系统及服务的访问细则》通过了国际标准化组织的认可，正式成为国际标准ISO《信息技术-信息安全管理实施细则》年ISO/IEC17799-120XX20XX9月日，草案经过广泛的商量之后，终于发布成为正5IS027000-220XX式标准，同时被废止如今，标准已IS027000-220XX IS02700020XX得到了许多国家的认可，是国际上具有代表性的信息安全管理体系标准很多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及很多跨国公司已采纳了此标准对信息安全进行系统的管理,数据中心（）IDC应逐步建立并完善标准化的信息安全管理体系

一、数据中心信息安全管理总体要求、信息安全管理架构与人员力量要求1信息安全管理架构

1.1在当前管理组织架构基础上，建立信息安全管理委员会，涵盖信IDC息安全管理、应急响应、审计、技术实施等不同职责，并保证职责清楚与别离，并形成文件人员力量

1.2具备标准化信息安全管理体系内部审核员、CISP（国家注册信息安全专家）等相关CertifiedlnformationSecurityProfessional,资质人员星级至少应具备一名合格的标准化信息安全管5IDC应限制和掌握特别权限的分配及运用；应通过正式的管理过程掌握口令的分配，确保口令安全；管理层应定期运用正式过程对用户的访问权进行复查用户职责

1.3建立指导用户选择和运用口令的指南规定，运用户在选择及运用口令时，遵循良好的安全习惯用户应确保无人值守的用户装备有恰当的爱护，防止未授权的访问建立清空桌面和屏幕策略，实行清空桌面上文件、可移动存储介质的策略和清空信息处理设备屏幕的策略，并定期组织检查效果IDC网络访问掌握

1.4建立访问掌握策略，确保用户应仅能访问已获特地授权运用的服务应运用安全地鉴别方法以掌握远程用户的访问，例如口令+证书对于诊断和配置端口的物理和规律访问应加以掌握，防止未授权访问依据安全要求，应在网络中划分安全域，以隔离信息服务、用户及信息系统；对于共享的网络，特别是越过组织边界的网络，用户的联网力量应根据访问掌握策略和业务应用要求加以限制，并建立恰当的路由掌握措施操作系统访问掌握

1.5建立一个操作系统安全登录程序，防止未授权访问；全部用户应有唯一的、专供其个人运用的标识符（用户）应选择一种恰当的鉴别技术证ID,明用户所声称的身份可能超越系统和应用程序掌握的管理工具的运用应加以限制并严格掌握不活动会话应在一个设定的休止期后关闭；运用联机时间的限制,为高风险应用程序提供额外的安全应用和信息访问掌握

1.6用户和支持人员对信息和应用系统功能的访问应按照已确定的访问掌握策略加以限制敏感系统应考虑系统隔离，运用专用的（或孤立的）计算机环境移动计算和远程工作

1.7应有正式策略并且采纳恰当的安全措施，以防范运用移动计算和通信设备时所造成的风险通过网络远程访问需在通过授权的情况下对用户进行认证并对通IDC,信内容进行加密、信息系统取得、开发和维护8安全需求分析和说明

8.1在新的信息系统或增加已有信息系统的业务需求陈述中，应规定对安全掌握措施的要求信息处理掌握

8.2输入应用系统的数据应加以验证，以确保数据是正确且恰当的验证检查应整合到应用中，以检查由于处理的错误或有意的行为造成的信息的讹误通过掌握措施，确保信息在处理过程中的完好性，并对处理结果进行验证密码掌握

8.3应开发和实施运用密码掌握措施来爱护信息的策略，并保证密钥的安全运用系统文件的安全

8.4应有程序来掌握在运行系统上安装软件；试数据应认真地加以选择、爱护和掌握；应限制访问程序源代码开发过程和支持过程中的安全

8.5建立变更掌握程序掌握变更的实施；当操作系统发生变更后，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响应管理和监视外包软件的开发IDC技术脆弱性管理

8.6应按时得到现用信息系统技术脆弱性的信息，评价组织对这些脆弱性的暴露程度，并实行恰当的措施来处理相关的风险息安全大事管理

8.7报告信息安全事态和弱点

9.1建立正式的信息安全大事报告程序，并形成文件IDC建立恰当的程序，保证信息安全事态应当尽可能快地通过恰当的管理渠道进行报告，要求员工、承包方人员和第三方人员记录并报告他们观看到的或疑心的任何系统或服务的安全弱点职责和程序

9.2应建立管理职责和架构，以确保能对信息安全大事做出快速、有效和有序的响应对信息安全大事的总结和证据的搜集

9.3建立一套机制量化和监视信息安全大事的类型、数量和代价，并且当一个信息安全大事触及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应搜集、保存和呈递证据，以使证据符合相关诉讼管辖权、业务连续性管理10业务连续性计划

10.1建立和维持一个用于整个组织的业务连续性计划，通过运用预防和恢复掌握措施，将对组织的影响削减到最低，并从信息资产的损失中恢复到可接受的程度业务连续性和风险评估

10.2通过恰当的程序，辨认能引起业务过程中断的事态（例如，装备IDC故障、人为错误、盗窃、火灾、自然灾害和行为等），这种中断发生的概率和影响，以及它们对信息安全所造成的后果业务资源与过程责任人参与业务连续性风险评估制定和实施包括信息安全的连续性计划

10.3建立业务运行恢复计划，以使关键业务过程在中断或发生故障后,能在规定的水准与规定的时间范围恢复运行测试、维护和再评估业务连续性计划

10.4业务连续性计划应定期测试和更新，以确保其按时性和有效性定期测试及更新业务连续性计划（）/灾难恢复计划（）并BCP DRP,对员工进行培训；定期对的风险进行审核和管理评审，按时发现潜在IDC的灾难和安全失效星级至少每年一次测试及更新；并对员工进行培训；5IDC BCP/DRP,至少每年一次对的风险进行审核和管理评审，按时发现潜在的灾难和IDC安全失效星级至少每年一次测试及更新；并对员工进行培训；4IDC BCP/DRP,至少每年一次对的风险进行审核和管理评审，按时发现潜在的灾难和IDC安全失效、符合性11可用法律、法规的辨认

11.1全部相关的法令、法规和合同要求，以及为满意这些要求组织所IDC采纳的方法，应加以明确地定义、搜集和跟踪，并形成文件并保持更新学问产权

11.2应实施恰当的程序，以确保在运用具有学问产权的材料和具有全部权的软件产品时，符合法律、法规和合同的要求应防止重要的记录遗失、毁坏和伪造，以满意法令、法规、合同和业务的要求技术符合性检查

11.4定期地对信息系统进行安全实施标准符合检查，由具有胜任力量的已授权的人员执行，或在他们的监督下执行数据爱护和个人信息的隐私

11.5应按照相关的法律、法规和合同条款的要求，确保数据爱护和隐私理内部审核员、一名标准化主任审核员星级至少应至少具备一名4IDC合格的标准化信息安全管理内部审核员、信息安全管理体系文件要求，依据业务目标与当前实际情况，2IDC建立完善而分层次的信息安全管理体系及相应的文档，包含但不限于IDC如下方面信息安全管理体系方针文件

2.1包括信息安全管理体系的范围，信息安全的目标框架、信息安全IDC工作的总方向和原则，并考虑业务需求、国家法律法规的要求、客户IDC以及合同要求风险评估

2.2内容包括如下流程辨认业务范围内的信息资产及其责任人;辨认IDC资产所面临的威逼；辨认可能被威逼利用的脆弱点；辨认资产保密性、完好性和可用性的丧失对业务造成的影响；评估由主要威逼和脆弱点导IDC致的业务安全破坏的现实可能性、对资产的影响和当前所实施的掌握IDC措施；对风险进行评级风险处理

2.3内容包括与管理层确定接受风险的准则，确定可接受的风险级IDC别等；建立可续的风险处理策略采纳恰当的掌握措施、接受风险、防止风险或转移风险；掌握目标和掌握措施的选择和实施，需满意风险评估和风险处理过程中所辨认的安全要求，并在满意法律法规、客户和合同要求的基础上到达最正确本钱效益文件与记录掌握

2.4明确文件制定、发布、批准、评审、更新的流程；确保文件的更改和现行修订状态的标识、版本掌握、辨认、访问掌握有完善的流程；并对文件资料的传输、贮存和最终销毁明确做出标准记录掌握内容包括保存信息安全管理体系运行过程执行的记录和全部发生的与信息安全有关的重大安全大事的记录；记录的标识、贮存、爱护、检索、保存期限和处置所需的掌握措施应形成文件并实施内部审核

2.5根据计划的时间间隔进行内部审核，以确定的信息安IDC ISMSIDC全管理的掌握目标、掌握措施、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持五星级应至少每年次对信息安全IDC1管理进行内部审核四星级应至少每年次对信息安全管理进行内部IDC1审核订正与预防措施

2.6建立流程，以消退与信息安全管理要求不符合的原因及潜在原因，IDC以防止其发生，并形成文件的订正措施与预防措施程序无掌握措施有效性的测量

2.7定义如何测量所选掌握措施的有效性；规定如何运用这些测量措施，对掌握措施的有效性进行测量（或评估）管理评审

2.8管理层按计划的时间间隔评审内部信息安全管理体系，以确保其IDC持续的适合性、充足性和有效性，最终符合业务要求IDC五星级管理层应至少每年次对的信息安全管理体系进行评IDC1IDC审四星级管理层应至少每年次对的信息安全管理体系进行评审IDC1IDC适用性声明

2.9适用性声明必需至少包括以下项内容所选择的掌握目标和掌3IDC握措施，及其选择的理由；当前实施的掌握目标和掌握措施；标准化IDC附录中任何掌握目标和掌握措施的删减，以及删减的正值性理由A业务连续性

2.10过业务影响分析，确定业务中哪些是关键的业务进程，分出紧急IDC先后次序；确定可以导致业务中断的主要灾难和安全失效、确定它们的影响程度和恢复时间；进行业务影响分析，确定恢复业务所需要的资源和本钱，确定对哪些工程制作业务连续性计划（）/灾难恢复计戈（）BCP UDRPo其它相关程序

2.11另外，还应建立包括物理与环境安全、信息装备管理、新设备管理、业务连续性管理、灾难恢复、人员管理、第三方和外包管理、信息资产管理、工作环境安全管理、介质处理与安全、系统开发与维护、法律符合性管理、文件及材料掌握、安全大事处理等相关流程与制度

二、信息安全管控要求方针

2.12信息安全方针文件与评审建立信息安全方针文件需得到管理层批IDC准、发布并传达给全部员工和外部相关方至少每年一次或当重大改变发生时进行信息安全方针评审安全组织

2.13内部组织

2.1信息安全协调、职责与授权信息安全管理委员会包含相关的不同部门的代表；全部的信息安IDC全职责有明确成文的规定；对新信息处理设备，要有管理授权过程保密协议全部员工须签署保密协议，保密内容涵盖内部敏感信息；保IDC IDC密协议条款每年至少评审一次权威部门与利益相关团体的联系与相关权威部门（包括，公安部门、消防部门和监管部门）建立沟通管道；与安全专家组、专业协会等相关团体进行沟通独立评审参考“信息安全管理体系要求”第和第条关于管理评审、内部审58核的要求，进行独立的评审审核员不能审核评审自己的工作；评审结果交管理层批阅外方管理

2.2外部第三方的相关风险的辨认将外部第三方（装备维护商、服务商、参谋、外包方临时人员、实习同学等）对信息处理设备或信息纳入风险评估过程，考虑内容应包括IDC需要访问的信息处理设备、访问类型（物理、规律、网络）触及信息的价值和敏感性，及对业务运行的关键程度、访问掌握等相关因素建立外部第三方信息安全管理相关管理制度与流程客户有关的安全问题针对客户信息资产的爱护，依据合同以及相关法律、法规要求，进行恰当的爱护处理第三方协议中的安全问题触及访问、处理、沟通（或管理）及客户的信息或信息处理IDC IDC设备的第三方协议，需涵盖全部相关的安全要求、信息资产管理3资产管理职责

3.1资产清单与责任人对全部信息资产度进行辨认，将全部重要资产都进行登记、建立IDC清单文件并加以维护中全部信息和信息处理设备相关重要资产需指定责任人IDC资产运用指定信息与信息处理设备运用相关规章，形成了文件并加以实施信息资产分类

3.2资产分类管理依据信息资产对业务的价值、法律要求、敏感性和关键性进行分IDC类，建立一个信息分类指南信息分类指南应涵盖外来的信息资产，尤其是来自客户的信息资产信息的标记和处理根据所接受的分类指南建立和实施一搭配适的信息标记和处理程IDC序、人力资源安全4这里的人员包括雇员、承包方人员和第三方等相关人员IDC信息安全角色与职责

4.1人员职责说明表达信息安全相关角色和要求背景调查

4.2人员任职前依据职责要求和岗位对信息安全的要求，实行必要的背景验证雇用的条款和条件

4.3人员雇佣后，应签署必要的合同，明确雇佣的条件和条款，并包含信息安全相关要求信息安全意识、教育和培训

4.4入职新员工培训应包含信息安全相关内容IDC至少每年一次对人员进行信息安全意识培训安全违纪处理

4.5针对安全违规的人员，建立正式的纪律处理程序。