国产精品麻豆久久99,韩日在线播放,午夜体验,鲁鲁狠色综合色综合网站,亚洲视频区,高清2019av手机版,精品中文字幕不卡在线视频

安全管理網(wǎng)

數(shù)據(jù)中心信息安全管理及管控要求

  
評(píng)論: 更新日期:2014年12月29日

隨著在世界范圍內(nèi),信息化水平的不斷發(fā)展,數(shù)據(jù)中心的信息安全逐漸成為人們關(guān)注的焦點(diǎn),世界范圍內(nèi)的各個(gè)機(jī)構(gòu)、組織、個(gè)人都在探尋如何保障信息安全的問(wèn)題。英國(guó)、美國(guó)、挪威、瑞典、芬蘭、澳大利亞等國(guó)均制定了有關(guān)信息安全的本國(guó)標(biāo)準(zhǔn),國(guó)際標(biāo)準(zhǔn)化組織(ISO)也發(fā)布了ISO17799、ISO13335、ISO15408等與信息安全相關(guān)的國(guó)際標(biāo)準(zhǔn)及技術(shù)報(bào)告。目前,在信息安全管理方面,英國(guó)標(biāo)準(zhǔn)ISO27000:2005已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn),它是在BSI/DISC的BDD/2信息安全管理委員會(huì)指導(dǎo)下制定完成。
??????? ISO27001標(biāo)準(zhǔn)于1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng),于1995年英國(guó)首次出版BS 7799-1:1995《信息安全管理實(shí)施細(xì)則》,它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn),并且適用于大、中、小組織。1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》,它規(guī)定信息安全管理體系要求與信息安全控制要求,它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ),它可以作為一個(gè)正式認(rèn)證方案的根據(jù)。ISO27000-1與ISO27000-2經(jīng)過(guò)修訂于1999年重新予以發(fā)布,1999版考慮了信息處理技術(shù),尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展,同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任。2000年12月,ISO27000-1:1999《信息安全管理實(shí)施細(xì)則》通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可,正式成為國(guó)際標(biāo)準(zhǔn)ISO/IEC17799-1:2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》。2002年9月5日,ISO27000-2:2002草案經(jīng)過(guò)廣泛的討論之后,終于發(fā)布成為正式標(biāo)準(zhǔn),同時(shí)ISO27000-2:1999被廢止。現(xiàn)在,ISO27000:2005標(biāo)準(zhǔn)已得到了很多國(guó)家的認(rèn)可,是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。許多國(guó)家的政府機(jī)構(gòu)、銀行、證券、保險(xiǎn)公司、電信運(yùn)營(yíng)商、網(wǎng)絡(luò)公司及許多跨國(guó)公司已采用了此標(biāo)準(zhǔn)對(duì)信息安全進(jìn)行系統(tǒng)的管理,數(shù)據(jù)中心(IDC)應(yīng)逐步建立并完善標(biāo)準(zhǔn)化的信息安全管理體系。
??????? 一、 數(shù)據(jù)中心信息安全管理總體要求
??????? 1、信息安全管理架構(gòu)與人員能力要求
??????? 1.1信息安全管理架構(gòu)
??????? IDC在當(dāng)前管理組織架構(gòu)基礎(chǔ)上,建立信息安全管理委員會(huì),涵蓋信息安全管理、應(yīng)急響應(yīng)、審計(jì)、技術(shù)實(shí)施等不同職責(zé),并保證職責(zé)清晰與分離,并形成文件。
??????? 1.2人員能力
??????? 具備標(biāo)準(zhǔn)化 信息安全管理體系內(nèi)部審核員、CISP(Certified Information Security Professional,國(guó)家注冊(cè)信息安全專(zhuān)家)等相關(guān)資質(zhì)人員。5星級(jí)IDC至少應(yīng)具備一名合格的標(biāo)準(zhǔn)化信息安全管理內(nèi)部審核員、一名標(biāo)準(zhǔn)化 主任審核員。4星級(jí)IDC至少應(yīng)至少具備一名合格的標(biāo)準(zhǔn)化信息安全管理內(nèi)部審核員
??????? 2、信息安全管理體系文件要求,根據(jù)IDC業(yè)務(wù)目標(biāo)與當(dāng)前實(shí)際情況,建立完善而分層次的IDC信息安全管理體系及相應(yīng)的文檔,包含但不限于如下方面:
??????? 2.1信息安全管理體系方針文件
??????? 包括IDC信息安全管理體系的范圍,信息安全的目標(biāo)框架、信息安全工作的總方向和原則,并考慮IDC業(yè)務(wù)需求、國(guó)家法律法規(guī)的要求、客戶(hù)以及合同要求。
??????? 2.2風(fēng)險(xiǎn)評(píng)估
??????? 內(nèi)容包括如下流程:識(shí)別IDC業(yè)務(wù)范圍內(nèi)的信息資產(chǎn)及其責(zé)任人;識(shí)別資產(chǎn)所面臨的威脅;識(shí)別可能被威脅利用的脆弱點(diǎn);識(shí)別資產(chǎn)保密性、完整性和可用性的喪失對(duì)IDC業(yè)務(wù)造成的影響;評(píng)估由主要威脅和脆弱點(diǎn)導(dǎo)致的IDC業(yè)務(wù)安全破壞的現(xiàn)實(shí)可能性、對(duì)資產(chǎn)的影響和當(dāng)前所實(shí)施的控制措施;對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)級(jí)。
??????? 2.3風(fēng)險(xiǎn)處理
??????? 內(nèi)容包括:與IDC管理層確定接受風(fēng)險(xiǎn)的準(zhǔn)則,確定可接受的風(fēng)險(xiǎn)級(jí)別等;建立可續(xù)的風(fēng)險(xiǎn)處理策略:采用適當(dāng)?shù)目刂拼胧?、接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)或轉(zhuǎn)移風(fēng)險(xiǎn);控制目標(biāo)和控制措施的選擇和實(shí)施,需滿(mǎn)足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程中所識(shí)別的安全要求,并在滿(mǎn)足法律法規(guī)、客戶(hù)和合同要求的基礎(chǔ)上達(dá)到最佳成本效益。
??????? 2.4文件與記錄控制
??????? 明確文件制定、發(fā)布、批準(zhǔn)、評(píng)審、更新的流程;確保文件的更改和現(xiàn)行修訂狀態(tài)的標(biāo)識(shí)、版本控制、識(shí)別、訪(fǎng)問(wèn)控制有完善的流程;并對(duì)文件資料的傳輸、貯存和最終銷(xiāo)毀明確做出規(guī)范。
??????? 記錄控制內(nèi)容包括:保留信息安全管理體系運(yùn)行過(guò)程執(zhí)行的記錄和所有發(fā)生的與信息安全有關(guān)的重大安全事件的記錄;記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施。
??????? 2.5內(nèi)部審核
??????? IDC按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部ISMS審核,以確定IDC的信息安全管理的控制目標(biāo)、控制措施、過(guò)程和程序符標(biāo)準(zhǔn)化標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求并得到有效地實(shí)施和保持。五星級(jí)IDC應(yīng)至少每年1次對(duì)信息安全管理進(jìn)行內(nèi)部審核。四星級(jí)IDC應(yīng)至少每年1次對(duì)信息安全管理進(jìn)行內(nèi)部審核。
??????? 2.6糾正與預(yù)防措施
??????? IDC建立流程,以消除與信息安全管理要求不符合的原因及潛在原因,以防止其發(fā)生,并形成文件的糾正措施與預(yù)防措施程序無(wú)
??????? 2.7控制措施有效性的測(cè)量
??????? 定義如何測(cè)量所選控制措施的有效性;規(guī)定如何使用這些測(cè)量措施,對(duì)控制措施的有效性進(jìn)行測(cè)量(或評(píng)估)。
??????? 2.8管理評(píng)審
??????? IDC管理層按計(jì)劃的時(shí)間間隔評(píng)審內(nèi)部信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性,最終符合IDC業(yè)務(wù)要求。
??????? 五星級(jí)IDC管理層應(yīng)至少每年1次對(duì)IDC的信息安全管理體系進(jìn)行評(píng)審四星級(jí)IDC管理層應(yīng)至少每年1次對(duì)IDC的信息安全管理體系進(jìn)行評(píng)審。
??????? 2.9適用性聲明
??????? 適用性聲明必須至少包括以下3項(xiàng)內(nèi)容: IDC所選擇的控制目標(biāo)和控制措施,及其選擇的理由;當(dāng)前IDC實(shí)施的控制目標(biāo)和控制措施;標(biāo)準(zhǔn)化附錄A中任何控制目標(biāo)和控制措施的刪減,以及刪減的正當(dāng)性理由。
??????? 2.10業(yè)務(wù)連續(xù)性
??????? 過(guò)業(yè)務(wù)影響分析,確定IDC業(yè)務(wù)中哪些是關(guān)鍵的業(yè)務(wù)進(jìn)程,分出緊急先后次序; 確定可以導(dǎo)致業(yè)務(wù)中斷的主要災(zāi)難和安全失效、確定它們的影響程度和恢復(fù)時(shí)間; 進(jìn)行業(yè)務(wù)影響分析,確定恢復(fù)業(yè)務(wù)所需要的資源和成本,決定對(duì)哪些項(xiàng)目制作業(yè)務(wù)連續(xù)性計(jì)劃(BCP)/災(zāi)難恢復(fù)計(jì)劃(DRP)。
??????? 2.11其它相關(guān)程序
??????? 另外,還應(yīng)建立包括物理與環(huán)境安全、信息設(shè)備管理、新設(shè)施管理、業(yè)務(wù)連續(xù)性管理、災(zāi)難恢復(fù)、人員管理、第三方和外包管理、信息資產(chǎn)管理、工作環(huán)境安全管理、介質(zhì)處理與安全、系統(tǒng)開(kāi)發(fā)與維護(hù)、法律符合性管理、文件及材料控制、安全事件處理等相關(guān)流程與制度。
??????? 二、信息安全管控要求
??????? 1、安全方針
??????? 信息安全方針文件與評(píng)審建立IDC信息安全方針文件需得到管理層批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方。
??????? 至少每年一次或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針評(píng)審。
??????? 2、信息安全組織
??????? 2.1 內(nèi)部組織
??????? 2.1.1信息安全協(xié)調(diào)、職責(zé)與授權(quán)
??????? 信息安全管理委員會(huì)包含IDC相關(guān)的不同部門(mén)的代表;所有的信息安全職責(zé)有明確成文的規(guī)定;對(duì)新信息處理設(shè)施,要有管理授權(quán)過(guò)程。
??????? 2.1.2保密協(xié)議
??????? IDC所有員工須簽署保密協(xié)議,保密內(nèi)容涵蓋IDC內(nèi)部敏感信息;保密協(xié)議條款每年至少評(píng)審一次。
??????? 2.1.3權(quán)威部門(mén)與利益相關(guān)團(tuán)體的聯(lián)系
??????? 與相關(guān)權(quán)威部門(mén)(包括,公安部門(mén)、消防部門(mén)和監(jiān)管部門(mén))建立溝通管道;與安全專(zhuān)家組、專(zhuān)業(yè)協(xié)會(huì)等相關(guān)團(tuán)體進(jìn)行溝通。
??????? 2.1.4獨(dú)立評(píng)審
??????? 參考“信息安全管理體系要求”第5和第8條關(guān)于管理評(píng)審、內(nèi)部審核的要求,進(jìn)行獨(dú)立的評(píng)審。
??????? 審核員不能審核評(píng)審自己的工作;評(píng)審結(jié)果交管理層審閱。
??????? 2.2 外方管理
??????? 2.2.1外部第三方的相關(guān)風(fēng)險(xiǎn)的識(shí)別
??????? 將外部第三方(設(shè)備維護(hù)商、服務(wù)商、顧問(wèn)、外包方臨時(shí)人員、實(shí)習(xí)學(xué)生等)對(duì)IDC信息處理設(shè)施或信息納入風(fēng)險(xiǎn)評(píng)估過(guò)程,考慮內(nèi)容應(yīng)包括:需要訪(fǎng)問(wèn)的信息處理設(shè)施、訪(fǎng)問(wèn)類(lèi)型(物理、邏輯、網(wǎng)絡(luò))、涉及信息的價(jià)值和敏感性,及對(duì)業(yè)務(wù)運(yùn)行的關(guān)鍵程度、訪(fǎng)問(wèn)控制等相關(guān)因素。
??????? 建立外部第三方信息安全管理相關(guān)管理制度與流程。
??????? 2.2.2客戶(hù)有關(guān)的安全問(wèn)題
??????? 針對(duì)客戶(hù)信息資產(chǎn)的保護(hù),根據(jù)合同以及相關(guān)法律、法規(guī)要求,進(jìn)行恰當(dāng)?shù)谋Wo(hù)。
??????? 2.2.3處理第三方協(xié)議中的安全問(wèn)題
??????? 涉及訪(fǎng)問(wèn)、處理、交流(或管理)IDC及IDC客戶(hù)的信息或信息處理設(shè)施的第三方協(xié)議,需涵蓋所有相關(guān)的安全要求。

網(wǎng)友評(píng)論 more
創(chuàng)想安科網(wǎng)站簡(jiǎn)介會(huì)員服務(wù)廣告服務(wù)業(yè)務(wù)合作提交需求會(huì)員中心在線(xiàn)投稿版權(quán)聲明友情鏈接聯(lián)系我們