??????? 3、信息資產(chǎn)管理
??????? 3.1 資產(chǎn)管理職責(zé)
??????? 3.1.1資產(chǎn)清單與責(zé)任人
??????? IDC對所有信息資產(chǎn)度進行識別,將所有重要資產(chǎn)都進行登記、建立清單文件并加以維護。
??????? IDC中所有信息和信息處理設(shè)施相關(guān)重要資產(chǎn)需指定責(zé)任人。
??????? 3.1.2資產(chǎn)使用
??????? 指定信息與信息處理設(shè)施使用相關(guān)規(guī)則,形成了文件并加以實施。
??????? 3.2 信息資產(chǎn)分類
??????? 3.2.1資產(chǎn)分類管理
??????? 根據(jù)信息資產(chǎn)對IDC業(yè)務(wù)的價值、法律要求、敏感性和關(guān)鍵性進行分類,建立一個信息分類指南。
??????? 信息分類指南應(yīng)涵蓋外來的信息資產(chǎn),尤其是來自客戶的信息資產(chǎn)。
??????? 3.2.2信息的標(biāo)記和處理
??????? 按照IDC所采納的分類指南建立和實施一組合適的信息標(biāo)記和處理程序。
??????? 4、人力資源安全
??????? 這里的人員包括IDC雇員、承包方人員和第三方等相關(guān)人員。
??????? 4.1信息安全角色與職責(zé)
??????? 人員職責(zé)說明體現(xiàn)信息安全相關(guān)角色和要求。
??????? 4.2背景調(diào)查
??????? 人員任職前根據(jù)職責(zé)要求和崗位對信息安全的要求,采取必要的背景驗證。
??????? 4.3雇用的條款和條件
??????? 人員雇傭后,應(yīng)簽署必要的合同,明確雇傭的條件和條款,并包含信息安全相關(guān)要求。
??????? 4.4信息安全意識、教育和培訓(xùn)
??????? 入職新員工培訓(xùn)應(yīng)包含IDC信息安全相關(guān)內(nèi)容。
??????? 至少每年一次對人員進行信息安全意識培訓(xùn)。
??????? 4.5安全違紀(jì)處理
??????? 針對安全違規(guī)的人員,建立正式的紀(jì)律處理程序。
??????? 4.6雇傭的終止與變更
??????? IDC應(yīng)清晰規(guī)定和分配雇用終止或雇用變更的職責(zé);雇傭協(xié)議終止于變更時,及時收回相關(guān)信息資產(chǎn),并調(diào)整或撤銷相關(guān)訪問控制權(quán)限。
??????? 5、物理與環(huán)境安全
??????? 5.1 安全區(qū)域
??????? 5.1.1邊界安全與出入口控制
??????? 根據(jù)邊界內(nèi)資產(chǎn)的安全要求和風(fēng)險評估的結(jié)果對IDC物理區(qū)域進行分區(qū)、分級管理,不同區(qū)域邊界與出入口需建立卡控制的入口或有人管理的接待臺。
??????? 入侵檢測與報警系統(tǒng)覆蓋所有門窗和出入口,并定期檢測入侵檢測系統(tǒng)的有效性。
??????? 機房大樓應(yīng)有7×24小時的專業(yè)保安人員,出入大樓需登記或持有通行卡。
??????? 機房安全出口不少于兩個,且要保持暢通,不可放置雜物。
??????? 5星級IDC:出入記錄至少保存6個月,視頻監(jiān)控至少保存1個月。
??????? 4星級IDC:出入記錄至少保存6個月,視頻監(jiān)控至少保存1個月。
??????? 5.1.2 IDC機房環(huán)境安全
??????? 記錄訪問者進入和離開IDC的日期和時間,所有的訪問者要需要經(jīng)過授權(quán)。
??????? 建立訪客控制程序,對服務(wù)商等外部人員實現(xiàn)有效管控。
??????? 所有員工、服務(wù)商人員和第三方人員以及所有訪問者進入IDC要佩帶某種形式的可視標(biāo)識,已實現(xiàn)明顯的區(qū)分。外部人員進入IDC后,需全程監(jiān)控。
??????? 5.1.3防范外部威脅和環(huán)境威脅
??????? IDC對火災(zāi)、洪水、地震、爆炸、社會動蕩和其他形式的自然或人為災(zāi)難引起的破壞建立足夠的防范控制措施;危險或易燃材料應(yīng)在遠(yuǎn)離IDC存放;備份設(shè)備和備份介質(zhì)的存放地點應(yīng)與IDC超過10公里的距離。
??????? 機房內(nèi)應(yīng)嚴(yán)格執(zhí)行消防安全規(guī)定,所有門窗、地板、窗簾、飾物、桌椅、柜子等材料、設(shè)施都應(yīng)采用防火材料。
??????? 5.1.4公共訪問區(qū)和交接區(qū)
??????? 為了避免未授權(quán)訪問,訪問點(如交接區(qū)和未授權(quán)人員可以進入的其它地點)需進行適當(dāng)?shù)陌踩刂?,設(shè)備貨物交接區(qū)要與信息處理設(shè)施隔開。
??????? 5.2 設(shè)備安全
??????? 5.2.1設(shè)備安全
??????? 設(shè)備盡量安置在可減少未授權(quán)訪問的適當(dāng)?shù)攸c;對于處理敏感數(shù)據(jù)的信息處理設(shè)施,盡量安置在可限制觀測的位置;對于需要特殊保護的設(shè)備,要進行適當(dāng)隔離;對信息處理設(shè)施的運行有負(fù)面影響的環(huán)境條件(包括溫度和濕度),要進行實時進行監(jiān)視。
??????? 5.2.2支持性設(shè)備安全
??????? 支持性設(shè)施(例如電、供水、排污、加熱/通風(fēng)和空調(diào)等)應(yīng)定期檢查并適當(dāng)?shù)臏y試以確保他們的功能,減少由于他們的故障或失效帶來的風(fēng)險。
??????? 實現(xiàn)多路供電,以避免供電的單一故障點。
??????? 5.2.3線纜安全
??????? 應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞。
??????? 電源電纜要與通信電纜分開;各種線纜能通過標(biāo)識加以區(qū)分,并對線纜的訪問加以必要的訪問控制。
??????? 線纜標(biāo)簽必須采用防水標(biāo)簽紙和標(biāo)簽打印機進行正反面打?。ɑ蛘叽蛴蓮堖M行粘貼),標(biāo)簽長度應(yīng)保證至少能夠纏繞電纜一圈或一圈半,打印字符必須清晰可見,打印內(nèi)容應(yīng)簡潔明了,容易理解。標(biāo)簽的標(biāo)示必須清晰、簡潔、準(zhǔn)確、統(tǒng)一,標(biāo)簽打印應(yīng)當(dāng)前后和上下排對齊。
??????? 5.2.4設(shè)備維護
??????? 設(shè)備需按照供應(yīng)商推薦的服務(wù)時間間隔和說明書,進行正確維護;設(shè)備維護由已授權(quán)人員執(zhí)行,并保存維護記錄1年。
??????? 5.2.5組織場所外的設(shè)備安全
??????? 應(yīng)對組織場所的設(shè)備采取安全措施,要考慮工作在組織場所以外的不同風(fēng)險。
??????? 5.2.6設(shè)備的安全處置或再利用
??????? 包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進行檢查,以確保在銷毀之前,任何敏感信息和注冊軟件已被刪除或安全重寫。
??????? 5.2.7資產(chǎn)的移動
??????? 設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所,設(shè)置設(shè)備移動的時間限制,并在返還時執(zhí)行符合性檢查;對設(shè)備做出移出記錄,當(dāng)返回時,要做出送回記錄。
??????? 6、通信和操作管理
??????? 6.1 運行程序和職責(zé)
??????? 6.1.1運行操作程序文件化
??????? 運行操作程序文件化并加以保持,并方便相關(guān)使用人員的訪問。
??????? 6.1.2變更管理
??????? 對信息處理設(shè)施和系統(tǒng)的變更是否受控,并考慮:重大變更的標(biāo)識和記錄;變更的策劃和測試;對這種變更的潛在影響的評估,包括安全影響;對建議變更的正式批準(zhǔn)程序;向所有有關(guān)人員傳達變更細(xì)節(jié);返回程序,包括從不成功變更和未預(yù)料事態(tài)中退出和恢復(fù)的程序與職責(zé)。
??????? 6.1.3職責(zé)分離
??????? 各類責(zé)任及職責(zé)范圍應(yīng)加以分割,以降低未授權(quán)或無意識的修改或者不當(dāng)使用組織資產(chǎn)的機會。
??????? 6.1.4開發(fā)設(shè)施、測試設(shè)施和運行設(shè)施的分離
??????? 開發(fā)、測試和運行設(shè)施應(yīng)分離,以減少未授權(quán)訪問或改變運行系統(tǒng)的風(fēng)險。
??????? 6.2 第三方服務(wù)交付管理
??????? 6.2.1服務(wù)交付
??????? 應(yīng)確保第三方實施、運行和保持包含在第三方服務(wù)交付協(xié)議中的安全控制措施、服務(wù)定義和交付水準(zhǔn)。
??????? IDC應(yīng)確保第三方保持足夠的服務(wù)能力和可使用的計劃以確保商定的服務(wù)在大的服務(wù)故障或災(zāi)難后繼續(xù)得以保持。
??????? 6.2.2第三方服務(wù)的監(jiān)視和評審
??????? 應(yīng)定期監(jiān)視和評審由第三方提供的服務(wù)、報告和記錄,審核也應(yīng)定期執(zhí)行,并留下記錄。
??????? 6.2.3第三方服務(wù)的變更管理
??????? 應(yīng)管理服務(wù)提供的變更,包括保持和改進現(xiàn)有的信息安全方針策略、程序和控制措施,要考慮業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險的再評估
??????? 6.3系統(tǒng)規(guī)劃和驗收
??????? 6.3.1容量管理
??????? IDC各系統(tǒng)資源的使用應(yīng)加以監(jiān)視、調(diào)整,并做出對于未來容量要求的預(yù)測,以確保擁有所需的系統(tǒng)性能。
??????? 系統(tǒng)硬件系統(tǒng)環(huán)境的功能、性能和容量要滿足IDC業(yè)務(wù)處理的和存貯設(shè)備的平均使用率宜控制在75%以內(nèi)。
??????? 網(wǎng)絡(luò)設(shè)備的處理器和內(nèi)存的平均使用率應(yīng)控制在75%以內(nèi)。
??????? 6.3.2系統(tǒng)驗收
??????? 建立對新信息系統(tǒng)、升級及新版本的驗收準(zhǔn)則,并且在開發(fā)中和驗收前對系統(tǒng)進行適當(dāng)?shù)臏y試。
??????? 6.4防范惡意代碼和移動代碼
??????? 6.4.1對惡意代碼的控制措施
??????? 實施惡意代碼的監(jiān)測、預(yù)防和恢復(fù)的控制措施,以及適當(dāng)?shù)奶岣哂脩舭踩庾R的程序
??????? 6.4.2對移動代碼的控制措施
??????? 當(dāng)授權(quán)使用移動代碼時,其配置確保授權(quán)的移動代碼按照清晰定義的安全策略運行,應(yīng)阻止執(zhí)行未授權(quán)的移動代碼。
??????? 6.5 備份
??????? 6.5.1備份
??????? 應(yīng)按照客戶的要求以及已設(shè)的備份策略,定期備份和測試信息和軟件。各個系統(tǒng)的備份安排應(yīng)定期測試以確保他們滿足業(yè)務(wù)連續(xù)性計劃的要求。對于重要的系統(tǒng),備份安排應(yīng)包括在發(fā)生災(zāi)難時恢復(fù)整個系統(tǒng)所必需的所有系統(tǒng)信息、應(yīng)用和數(shù)據(jù)。
??????? 應(yīng)確定最重要業(yè)務(wù)信息的保存周期以及對要永久保存的檔案拷貝的任何要求。
??????? 6.6 網(wǎng)絡(luò)安全管理
??????? 6.6.1網(wǎng)絡(luò)控制
??????? 為了防止使用網(wǎng)絡(luò)時發(fā)生的威脅和維護系統(tǒng)與應(yīng)用程序的安全,網(wǎng)絡(luò)要充分受控;網(wǎng)絡(luò)的運行職責(zé)與計算機系統(tǒng)的運行職責(zé)實現(xiàn)分離;敏感信息在公用網(wǎng)絡(luò)上傳輸時,考慮足夠的加密和訪問控制措施。
??????? 6.6.2網(wǎng)絡(luò)服務(wù)的安全
??????? 網(wǎng)絡(luò)服務(wù)(包括接入服務(wù)、私有網(wǎng)絡(luò)服務(wù)、增值網(wǎng)絡(luò)和受控的網(wǎng)絡(luò)安全解決方案,例如防火墻和入侵檢測系統(tǒng)等)應(yīng)根據(jù)安全需求,考慮如下安全控制措施:為網(wǎng)絡(luò)服務(wù)應(yīng)用的安全技術(shù),例如認(rèn)證、加密和網(wǎng)絡(luò)連接控制;按照安全和網(wǎng)絡(luò)連接規(guī)則,網(wǎng)絡(luò)服務(wù)的安全連接需要的技術(shù)參數(shù);若需要,網(wǎng)絡(luò)服務(wù)使用程序,以限制對網(wǎng)絡(luò)服務(wù)或應(yīng)用的訪問。
??????? 6.7 介質(zhì)管理
??????? 6.7 .1可移動介質(zhì)的管理
??????? 建立適當(dāng)?shù)目梢苿咏橘|(zhì)的管理程序,規(guī)范可移動介質(zhì)的管理。
??????? 可移動介質(zhì)包括磁帶、磁盤、閃盤、可移動硬件驅(qū)動器、CD、DVD和打印的介質(zhì)
??????? 6.7 .2介質(zhì)的處置
??????? 不再需要的介質(zhì),應(yīng)使用正式的程序可靠并安全地處置。保持審計蹤跡,保留敏感信息的處置記錄。
??????? 6.7 .3信息處理程序
??????? 建立信息的處理及存儲程序,以防止信息的未授權(quán)的泄漏或不當(dāng)使用。
??????? 包含信息的介質(zhì)在組織的物理邊界以外運送時,應(yīng)防止未授權(quán)的訪問、不當(dāng)使用或毀壞。
??????? 6.8 信息交換
??????? 6.8.1信息交換策略和程序
??????? 為了保護通過使用各種類型的通信設(shè)施進行信息交換,是否有正式的信息交換方針、程序和控制措施。
??????? 6.8.2外方信息交換協(xié)議
??????? 在組織和外方之間進行信息/軟件交換時,是否有交換協(xié)議。
??????? 6.8.3電子郵件、應(yīng)用系統(tǒng)的信息交換與共享
??????? 建立適當(dāng)?shù)目刂拼胧?,保護電子郵件的安全;為了保護相互連接的業(yè)務(wù)信息系統(tǒng)的信息,開發(fā)與實施相關(guān)的方針和程序。