数据中心信息安全管理及管控要求详细版
文件编号:GD/FS-9367
(操作规程范本系列)
数据中心信息安全管理及管控要求详细版
The Daily Operation Mode, It Includes All The Implementation Items, And Acts To Regulate Individual Actions, Regulate Or Limit All Their Behaviors, And Finally Simplify Management
Process.
编辑:_________________
单位:_________________
日期:_________________
数据中心信息安全管理及管控要求
详细版
提示语:本操作规程文件适合使用于日常的规则或运作模式中,包含所有的执行事项,并作用于规范个体行动,规范或限制其所有行为,最终实现简化管理过程,提高管理效率。,文档所展示内容即为所得,可在下载完成后直接进行编辑。
随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、
ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的
BDD/2信息安全管理委员会指导下制定完成。
ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。ISO27000-1与ISO27000-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。20xx年
12月,ISO27000-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。20xx年9月5日,
ISO27000-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时ISO27000-2:1999被废止。现在,ISO27000:2005标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对信息安全进行系统的管理,数据中心(IDC)应逐步建立并完善标准化的信息安全管理体系。
一、数据中心信息安全管理总体要求
1、信息安全管理架构与人员能力要求
1.1信息安全管理架构
IDC在当前管理组织架构基础上,建立信息安全管理委员会,涵盖信息安全管理、应急响应、审计、技术实施等不同职责,并保证职责清晰与分离,并形成文件。
1.2人员能力
具备标准化信息安全管理体系内部审核员、CISP(Certified Information Security Professional,国家注册信息安全专家)等相关资质人员。5星级IDC至少应具备一名合格的标准化信息安全管理内部审核员、一名标准化主任审核员。4星级IDC至少应至少具备一名合格的标准化信息安全管理内部审核员
2、信息安全管理体系文件要求,根据IDC业务目标与当前实际情况,建立完善而分层次的IDC信
息安全管理体系及相应的文档,包含但不限于如下方面:
2.1信息安全管理体系方针文件
包括IDC信息安全管理体系的范围,信息安全的目标框架、信息安全工作的总方向和原则,并考虑IDC业务需求、国家法律法规的要求、客户以及合同要求。
2.2风险评估
内容包括如下流程:识别IDC业务范围内的信息资产及其责任人;识别资产所面临的威胁;识别可能被威胁利用的脆弱点;识别资产保密性、完整性和可用性的丧失对IDC业务造成的影响;评估由主要威胁和脆弱点导致的IDC业务安全破坏的现实可能性、对资产的影响和当前所实施的控制措施;对风险进行评级。
2.3风险处理
内容包括:与IDC管理层确定接受风险的准则,确定可接受的风险级别等;建立可续的风险处理策略:采用适当的控制措施、接受风险、避免风险或转移风险;控制目标和控制措施的选择和实施,需满足风险评估和风险处理过程中所识别的安全要求,并在满足法律法规、客户和合同要求的基础上达到最佳成本效益。
2.4文件与记录控制
明确文件制定、发布、批准、评审、更新的流程;确保文件的更改和现行修订状态的标识、版本控制、识别、访问控制有完善的流程;并对文件资料的传输、贮存和最终销毁明确做出规范。
记录控制内容包括:保留信息安全管理体系运行过程执行的记录和所有发生的与信息安全有关的重大
安全事件的记录;记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。
2.5内部审核
IDC按照计划的时间间隔进行内部ISMS审核,以确定IDC的信息安全管理的控制目标、控制措施、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持。五星级IDC应至少每年1次对信息安全管理进行内部审核。四星级IDC应至少每年1次对信息安全管理进行内部审核。
2.6纠正与预防措施
IDC建立流程,以消除与信息安全管理要求不符合的原因及潜在原因,以防止其发生,并形成文件的纠正措施与预防措施程序无
2.7控制措施有效性的测量
定义如何测量所选控制措施的有效性;规定如何
使用这些测量措施,对控制措施的有效性进行测量(或评估)。
2.8管理评审
IDC管理层按计划的时间间隔评审内部信息安全管理体系,以确保其持续的适宜性、充分性和有效性,最终符合IDC业务要求。
五星级IDC管理层应至少每年1次对IDC的信息安全管理体系进行评审四星级IDC管理层应至少每年1次对IDC的信息安全管理体系进行评审。
2.9适用性声明
适用性声明必须至少包括以下3项内容:IDC 所选择的控制目标和控制措施,及其选择的理由;当前IDC实施的控制目标和控制措施;标准化附录A 中任何控制目标和控制措施的删减,以及删减的正当性理由。
2.10业务连续性
过业务影响分析,确定IDC业务中哪些是关键的业务进程,分出紧急先后次序;确定可以导致业务中断的主要灾难和安全失效、确定它们的影响程度和恢复时间;进行业务影响分析,确定恢复业务所需要的资源和成本,决定对哪些项目制作业务连续性计划(BCP)/灾难恢复计划(DRP)。
2.11其它相关程序
另外,还应建立包括物理与环境安全、信息设备管理、新设施管理、业务连续性管理、灾难恢复、人员管理、第三方和外包管理、信息资产管理、工作环境安全管理、介质处理与安全、系统开发与维护、法律符合性管理、文件及材料控制、安全事件处理等相关流程与制度。
二、信息安全管控要求
1、安全方针
信息安全方针文件与评审建立IDC信息安全方针文件需得到管理层批准、发布并传达给所有员工和外部相关方。
至少每年一次或当重大变化发生时进行信息安全方针评审。
2、信息安全组织
2.1 内部组织
2.1.1信息安全协调、职责与授权
信息安全管理委员会包含IDC相关的不同部门的代表;所有的信息安全职责有明确成文的规定;对新信息处理设施,要有管理授权过程。
2.1.2保密协议
IDC所有员工须签署保密协议,保密内容涵盖IDC内部敏感信息;保密协议条款每年至少评审一
次。
2.1.3权威部门与利益相关团体的联系
与相关权威部门(包括,公安部门、消防部门和监管部门)建立沟通管道;与安全专家组、专业协会等相关团体进行沟通。
2.1.4独立评审
参考“信息安全管理体系要求”第5和第8条关于管理评审、内部审核的要求,进行独立的评审。
审核员不能审核评审自己的工作;评审结果交管理层审阅。
2.2 外方管理
2.2.1外部第三方的相关风险的识别
将外部第三方(设备维护商、服务商、顾问、外包方临时人员、实习学生等)对IDC信息处理设施或信息纳入风险评估过程,考虑内容应包括:需要访
问的信息处理设施、访问类型(物理、逻辑、网络)、涉及信息的价值和敏感性,及对业务运行的关键程度、访问控制等相关因素。
建立外部第三方信息安全管理相关管理制度与流程。
2.2.2客户有关的安全问题
针对客户信息资产的保护,根据合同以及相关法律、法规要求,进行恰当的保护。
2.2.3处理第三方协议中的安全问题
涉及访问、处理、交流(或管理)IDC及IDC 客户的信息或信息处理设施的第三方协议,需涵盖所有相关的安全要求。3、信息资产管理
3.1 资产管理职责
3.1.1资产清单与责任人
IDC对所有信息资产度进行识别,将所有重要资
产都进行登记、建立清单文件并加以维护。
IDC中所有信息和信息处理设施相关重要资产需指定责任人。
3.1.2资产使用
指定信息与信息处理设施使用相关规则,形成了文件并加以实施。
3.2 信息资产分类
3.2.1资产分类管理
根据信息资产对IDC业务的价值、法律要求、敏感性和关键性进行分类,建立一个信息分类指南。
信息分类指南应涵盖外来的信息资产,尤其是来自客户的信息资产。
3.2.2信息的标记和处理
按照IDC所采纳的分类指南建立和实施一组合适的信息标记和处理程序。
4、人力资源安全
这里的人员包括IDC雇员、承包方人员和第三方等相关人员。
4.1信息安全角色与职责
人员职责说明体现信息安全相关角色和要求。
4.2背景调查
人员任职前根据职责要求和岗位对信息安全的要求,采取必要的背景验证。
4.3雇用的条款和条件
人员雇佣后,应签署必要的合同,明确雇佣的条件和条款,并包含信息安全相关要求。
4.4信息安全意识、教育和培训
入职新员工培训应包含IDC信息安全相关内容。
至少每年一次对人员进行信息安全意识培训。
4.5安全违纪处理
针对安全违规的人员,建立正式的纪律处理程序。
4.6雇佣的终止与变更
IDC应清晰规定和分配雇用终止或雇用变更的职责;雇佣协议终止于变更时,及时收回相关信息资产,并调整或撤销相关访问控制权限。
5、物理与环境安全
5.1 安全区域
5.1.1边界安全与出入口控制
根据边界内资产的安全要求和风险评估的结果对IDC物理区域进行分区、分级管理,不同区域边界与出入口需建立卡控制的入口或有人管理的接待台。
入侵检测与报警系统覆盖所有门窗和出入口,并定期检测入侵检测系统的有效性。
机房大楼应有7×24小时的专业保安人员,出入大楼需登记或持有通行卡。
机房安全出口不少于两个,且要保持畅通,不可放置杂物。
5星级IDC:出入记录至少保存6个月,视频监控至少保存1个月。
4星级IDC:出入记录至少保存6个月,视频监控至少保存1个月。
5.1.2 IDC机房环境安全
记录访问者进入和离开IDC的日期和时间,所有的访问者要需要经过授权。
建立访客控制程序,对服务商等外部人员实现有效管控。
所有员工、服务商人员和第三方人员以及所有访问者进入IDC要佩带某种形式的可视标识,已实现
明显的区分。外部人员进入IDC后,需全程监控。
5.1.3防范外部威胁和环境威胁
IDC对火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏建立足够的防范控制措施;危险或易燃材料应在远离IDC存放;备份设备和备份介质的存放地点应与IDC超过10公里的距离。
机房内应严格执行消防安全规定,所有门窗、地板、窗帘、饰物、桌椅、柜子等材料、设施都应采用防火材料。
5.1.4公共访问区和交接区
为了避免未授权访问,访问点(如交接区和未授权人员可以进入的其它地点)需进行适当的安全控制,设备货物交接区要与信息处理设施隔开。
5.2 设备安全
5.2.1设备安全
设备尽量安置在可减少未授权访问的适当地点;对于处理敏感数据的信息处理设施,尽量安置在可限制观测的位置;对于需要特殊保护的设备,要进行适当隔离;对信息处理设施的运行有负面影响的环境条件(包括温度和湿度),要进行实时进行监视。
5.2.2支持性设备安全
支持性设施(例如电、供水、排污、加热/通风和空调等)应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。
实现多路供电,以避免供电的单一故障点。
5.2.3线缆安全
应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。
电源电缆要与通信电缆分开;各种线缆能通过标
识加以区分,并对线缆的访问加以必要的访问控制。
线缆标签必须采用防水标签纸和标签打印机进行正反面打印(或者打印两张进行粘贴),标签长度应保证至少能够缠绕电缆一圈或一圈半,打印字符必须清晰可见,打印内容应简洁明了,容易理解。标签的标示必须清晰、简洁、准确、统一,标签打印应当前后和上下排对齐。
5.2.4设备维护
设备需按照供应商推荐的服务时间间隔和说明书,进行正确维护;设备维护由已授权人员执行,并保存维护记录1年。
5.2.5组织场所外的设备安全
应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。
5.2.6设备的安全处置或再利用