数据中心信息安全管理及管控要求

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

——方案计划参考范本——数据中心信息安全管理及管控要求

______年______月______日

____________________部门

随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准

ISO27000:20xx已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。

ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。19xx年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。ISO27000-1与ISO27000-2经过修订于

19xx年重新予以发布,19xx版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。20xx年12月,ISO27000-1:19xx《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准

ISO/IEC17799-1:20xx《信息技术-信息安全管理实施细则》。20xx年9月5日,ISO27000-2:20xx草案经过广泛的讨论之后,终于发布成

为正式标准,同时ISO27000-2:19xx被废止。现在,ISO27000:20xx

标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理

体系标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对信息安全进行系统的

管理,数据中心(IDC)应逐步建立并完善标准化的信息安全管理体系。

一、数据中心信息安全管理总体要求

1、信息安全管理架构与人员能力要求

1.1信息安全管理架构

IDC在当前管理组织架构基础上,建立信息安全管理委员会,涵

盖信息安全管理、应急响应、审计、技术实施等不同职责,并保证职

责清晰与分离,并形成文件。

1.2人员能力

具备标准化信息安全管理体系内部审核员、CISP (CertifiedInformationSecurityProfessional,国家注册信息安全

专家)等相关资质人员。5星级IDC至少应具备一名合格的标准化信息安全管理内部审核员、一名标准化主任审核员。4星级IDC至少应至少具备一名合格的标准化信息安全管理内部审核员

2、信息安全管理体系文件要求,根据IDC业务目标与当前实际情况,建立完善而分层次的IDC信息安全管理体系及相应的文档,包含

但不限于如下方面:

2.1信息安全管理体系方针文件

包括IDC信息安全管理体系的范围,信息安全的目标框架、信息

安全工作的总方向和原则,并考虑IDC业务需求、国家法律法规的要求、客户以及合同要求。

2.2风险评估

内容包括如下流程:识别IDC业务范围内的信息资产及其责任人;识别资产所面临的威胁;识别可能被威胁利用的脆弱点;识别资产保

密性、完整性和可用性的丧失对IDC业务造成的影响;评估由主要威

胁和脆弱点导致的IDC业务安全破坏的现实可能性、对资产的影响和

当前所实施的控制措施;对风险进行评级。

2.3风险处理

内容包括:与IDC管理层确定接受风险的准则,确定可接受的风

险级别等;建立可续的风险处理策略:采用适当的控制措施、接受风险、避免风险或转移风险;控制目标和控制措施的选择和实施,需满

足风险评估和风险处理过程中所识别的安全要求,并在满足法律法规、客户和合同要求的基础上达到最佳成本效益。

2.4文件与记录控制

明确文件制定、发布、批准、评审、更新的流程;确保文件的更

改和现行修订状态的标识、版本控制、识别、访问控制有完善的流程;并对文件资料的传输、贮存和最终销毁明确做出规范。

记录控制内容包括:保留信息安全管理体系运行过程执行的记录

和所有发生的与信息安全有关的重大安全事件的记录;记录的标识、

贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。

2.5内部审核

IDC按照计划的时间间隔进行内部ISMS审核,以确定IDC的信息

安全管理的控制目标、控制措施、过程和程序符标准化标准和相关法

律法规的要求并得到有效地实施和保持。五星级IDC应至少每年1次

对信息安全管理进行内部审核。四星级IDC应至少每年1次对信息安

全管理进行内部审核。

2.6纠正与预防措施

IDC建立流程,以消除与信息安全管理要求不符合的原因及潜在

原因,以防止其发生,并形成文件的纠正措施与预防措施程序无

2.7控制措施有效性的测量

定义如何测量所选控制措施的有效性;规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估)。

2.8管理评审

IDC管理层按计划的时间间隔评审内部信息安全管理体系,以确

保其持续的适宜性、充分性和有效性,最终符合IDC业务要求。

五星级IDC管理层应至少每年1次对IDC的信息安全管理体系进

行评审四星级IDC管理层应至少每年1次对IDC的信息安全管理体系

进行评审。

2.9适用性声明

适用性声明必须至少包括以下3项内容:IDC所选择的控制目标

和控制措施,及其选择的理由;当前IDC实施的控制目标和控制措施;标准化附录A中任何控制目标和控制措施的删减,以及删减的正当性

理由。

2.10业务连续性

过业务影响分析,确定IDC业务中哪些是关键的业务进程,分出

紧急先后次序;确定可以导致业务中断的主要灾难和安全失效、确定

它们的影响程度和恢复时间;进行业务影响分析,确定恢复业务所需

相关文档
最新文档