数据中心信息安全管理及管控要求标准范本

操作规程编号：LX-FS-A79042

数据中心信息安全管理及管控要求

标准范本

In The Daily Work Environment, The Operation Standards Are Restricted, And Relevant Personnel Are Required To Abide By The Corresponding Procedures And Codes Of Conduct, So That The Overall Behavior

Can Reach The Specified Standards

编写：_________________________

审批：_________________________

时间：________年_____月_____日

A4打印/ 新修订/ 完整/ 内容可编辑

数据中心信息安全管理及管控要求

标准范本

使用说明：本操作规程资料适用于日常工作环境中对既定操作标准、规范进行约束，并要求相关人员共同遵守对应的办事规程与行动准则，使整体行为或活动达到或超越规定的标准。资料内容可按真实状况进行条款调整，套用时请仔细阅读。

随着在世界范围内，信息化水平的不断发展，数据中心的信息安全逐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织（ISO）也发布了ISO17799、

ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前，在信息安全管理方面，英国标准ISO27000：2005已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的

BDD/2信息安全管理委员会指导下制定完成。

ISO27001标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。ISO27000-1与ISO27000-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。20xx年

12月，ISO27000-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准ISO/IEC17799-1：2000《信息技术-信息安全管理实施细则》。20xx年9月5日，

ISO27000-2：2002草案经过广泛的讨论之后，终于发布成为正式标准，同时ISO27000-2：1999被废止。现在，ISO27000：2005标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对信息安全进行系统的管理，数据中心（IDC）应逐步建立并完善标准化的信息安全管理体系。

一、数据中心信息安全管理总体要求

1、信息安全管理架构与人员能力要求

1.1信息安全管理架构

IDC在当前管理组织架构基础上，建立信息安全管理委员会，涵盖信息安全管理、应急响应、审计、技术实施等不同职责，并保证职责清晰与分离，并形成文件。

1.2人员能力

具备标准化信息安全管理体系内部审核员、CISP（Certified Information Security Professional，国家注册信息安全专家）等相关资质人员。5星级IDC至少应具备一名合格的标准化信息安全管理内部审核员、一名标准化主任审核员。4星级IDC至少应至少具备一名合格的标准化信息安全管理内部审核员

2、信息安全管理体系文件要求，根据IDC业务目标与当前实际情况，建立完善而分层次的IDC信

息安全管理体系及相应的文档，包含但不限于如下方面：

2.1信息安全管理体系方针文件

包括IDC信息安全管理体系的范围，信息安全的目标框架、信息安全工作的总方向和原则，并考虑IDC业务需求、国家法律法规的要求、客户以及合同要求。

2.2风险评估

内容包括如下流程：识别IDC业务范围内的信息资产及其责任人；识别资产所面临的威胁；识别可能被威胁利用的脆弱点；识别资产保密性、完整性和可用性的丧失对IDC业务造成的影响；评估由主要威胁和脆弱点导致的IDC业务安全破坏的现实可能性、对资产的影响和当前所实施的控制措施；对风险进行评级。

2.3风险处理

内容包括：与IDC管理层确定接受风险的准则，确定可接受的风险级别等；建立可续的风险处理策略：采用适当的控制措施、接受风险、避免风险或转移风险；控制目标和控制措施的选择和实施，需满足风险评估和风险处理过程中所识别的安全要求，并在满足法律法规、客户和合同要求的基础上达到最佳成本效益。

2.4文件与记录控制

明确文件制定、发布、批准、评审、更新的流程；确保文件的更改和现行修订状态的标识、版本控制、识别、访问控制有完善的流程；并对文件资料的传输、贮存和最终销毁明确做出规范。

记录控制内容包括：保留信息安全管理体系运行过程执行的记录和所有发生的与信息安全有关的重大

安全事件的记录；记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。

2.5内部审核

IDC按照计划的时间间隔进行内部ISMS审核，以确定IDC的信息安全管理的控制目标、控制措施、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持。五星级IDC应至少每年1次对信息安全管理进行内部审核。四星级IDC应至少每年1次对信息安全管理进行内部审核。

2.6纠正与预防措施

IDC建立流程，以消除与信息安全管理要求不符合的原因及潜在原因，以防止其发生，并形成文件的纠正措施与预防措施程序无

2.7控制措施有效性的测量

定义如何测量所选控制措施的有效性；规定如何