数据中心信息安全管理及管控要求.docxVIP

数据中心信息安全管理及管控要求

伴着在世界范围内，信息化水平的不断发展，数据中心的信息安全渐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织（ISO）也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前，在信息安全管理方面，英国标准IS027000：20XX已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。

IS027001标准于20XX年由英国贸易工业部立项，于20XX年英国首次出版BS7799-1：20XX《信息安全管理实施细则》，它提供了一套综合的、由信息安全最正确惯例组成的实施规章，其目的是作为确定工商业信息系统在大多数情况所需掌握范围的唯一参考基准，并且适用于大、中、小组织。20XX年英国公布标准的第二部分《信息安全管理体系标准》，它规定信息安全管理体系要求与信息安全掌握要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的依据JS027000-1与IS027000-2经过修订于20XX年重新予以发布，20XX版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务触及的信息安全及信息安全的责任。20XX年12月，IS027000-1：20XX《信息安全管理实施

4.6雇佣的终止与变更

IDC应清楚规定和分配雇用终止或雇用变更的职责；雇佣协议终止于变更时，按时收回相关信息资产，并调整或撤销相关访问掌握权限。

5、物理与环境安全

安全区域

边界安全与出入口掌握

依据边界内资产的安全要求和风险评估的结果对IDC物理区域进行分区、分级管理，不同区域边界与出入口需建立卡掌握的入口或有人管理的接待台。

入侵检测与报警系统掩盖全部门窗和出入口，并定期检测入侵检测系统的有效性。

机房大楼应有7X24小时的专业保安人员，出入大楼需登记或持有通行卡。

机房安全出口不少于两个，且要保持畅通，不行放置杂物。

5星级IDC：出入记录至少保存6个月，视频监控至少保存1个月。

4星级IDC：出入记录至少保存6个月，视频监控至少保存1个月。

机房环境安全

记录访问者进入和离开IDC的日期和时间，全部的访问者要需要经过授权。

建立访客掌握程序，对服务商等外部人员完成有效管控。

全部员工、服务商人员和第三方人员以及全部访问者进入IDC要佩带某种形式的可视标识，已完成明显的区分。外部人员进入IDC后，需全程监控。

防范外部威逼和环境威逼

IDC对火灾、洪水、地震、爆炸、社会动乱和其他形式的自然或人为灾难引起的破坏建立充足的防范掌握措施；危险或易燃材料应在远离IDC存放；备份装备和备份介质的存放地点应与IDC超过10公里的距离。

机房内应严格执行消防安全规定，全部门窗、地板、窗帘、饰物、桌椅、柜子等材料、设备都应采纳防火材料。

公共访问区和交接区

为了防止未授权访问，访问点（如交接区和未授权人员可以进入的其它地点）需进行恰当的安全掌握，装备货物交接区要与信息处理设备隔开。

装备安全

装备安全

装备尽量安顿在可削减未授权访问的恰当地点；对于处理敏感数据的信息处理设备，尽量安顿在可限制观测的位置；对于需要特别爱护的装备，要进行恰当隔离；对信息处理设备的运行有负面影响的环境条件（包括温度和湿度），要进行实时进行监视。

支持性装备安全

支持性设备（例如电、供水、排污、加热/通风和空调等）应定期检查并恰当的测试以确保他们的功能，削减由于他们的故障或失效带来的风险。

完成多路供电，以防止供电的单一故障点。

线缆安全

应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。

电源电缆要与通信电缆分开；各种线缆能通过标识加以区分，并对线缆的访问加以必要的访问掌握。

线缆标签必需采纳防水标签纸和标签打印机进行正反面打印（或者打印两张进行粘贴），标签长度应保证至少能够缠绕电缆一圈或一圈半，打印字符必需清楚可见，打印内容应简洁明了，简单理解。标签的标示必需清楚、简洁、精确、统一，标签打印应当前后和上下排对齐。

装备维护

装备需根据供应商推举的服务时间间隔和说明书，进行正确维护;装备维护由已授权人员执行，并保存维护记录1年。

组织场所外的装备安全

应对组织场所的装备实行安全措施，要考虑工作在组织场所以外的不同风险。

装备的安全处置或再利用

包含储存介质的装备的全部工程应进行检查，以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。

资产的移动

装备、信息或软件在授权之前不应