数据中心信息安全管理及管控要求 - 制度大全_1.pdfVIP

数据中心信息安全管理及管控要求 - 制度大全_1.pdf

  1. 1、本文档共10页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

数据中心信息安全管理及管控要求-制度大全

数据中心信息安全管理及管控要求之相关制度和职责,随着在世界范围内,信息化水平

的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、

个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大...

随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,

世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、

瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布

了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息

安全管理方面,英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理

标准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。

ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS7799-1:1995《信

息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的

是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、

小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理

体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它

可以作为一个正式认证方案的根据。ISO27000-1与ISO27000-2经过修订于1999年重新予以

发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强

调了商务涉及的信息安全及信息安全的责任。2000年12月,ISO27000-1:1999《信息安全管

理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC17799-1:2000《信

息技术-信息安全管理实施细则》。2002年9月5日,ISO27000-2:2002草案经过广泛的讨论之

后,终于发布成为正式标准,同时ISO27000-2:1999被废止。现在,ISO27000:2005标准已得到了

很多国家的认可,是国际上具有代表性的信息安全管理体系标准。许多国家的政府机构、银

行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对信息安全进

行系统的管理,数据中心(IDC)应逐步建立并完善标准化的信息安全管理体系。

一、数据中心信息安全管理总体要求

1、信息安全管理架构与人员能力要求

1.1信息安全管理架构

IDC在当前管理组织架构基础上,建立信息安全管理委员会,涵盖信息安全管理、应急响应、

审计、技术实施等不同职责,并保证职责清晰与分离,并形成文件。

1.2人员能力

具备标准化信息安全管理体系内部审核员、CISP(CertifiedInformationSecurityProfessional,

国家注册信息安全专家)等相关资质人员。5星级IDC至少应具备一名合格的标准化信息安全

管理内部审核员、一名标准化主任审核员。4星级IDC至少应至少具备一名合格的标准化

信息安全管理内部审核员

2、信息安全管理体系文件要求,根据IDC业务目标与当前实际情况,建立完善而分层次的IDC

信息安全管理体系及相应的文档,包含但不限于如下方面:

2.1信息安全管理体系方针文件

包括IDC信息安全管理体系的范围,信息安全的目标框架、信息安全工作的总方向和原则,

并考虑IDC业务需求、国家法律法规的要求、客户以及合同要求。

2.2风险评估

内容包括如下流程:识别IDC业务范围内的信息资产及其责任人;识别资产所面临的威胁;识

别可能被威胁利用的脆弱点;识别资产必威体育官网网址性、完整性和可用性的丧失对IDC业务造成的影

响;评估由主要威胁和脆弱点导致的IDC业务安全破坏的现实可能性、对资产的影响和当前

所实施的控制措施;对风险进行评级。

2.3风险处理

内容包括:与IDC管理层确定接受风险的准则,确定可接受的风险级别等;建立可续的风险处

理策略:采用适当的控制措施、接受风险、避免风险或转移风险;控制目标和控制措施的选择

和实施,需满足风险评估和风险处理过程中所识别的安全要求,并在满足法律法规、客户和合

同要求的基础上达到最佳成本效益。

2.4文件与记录控制

明确文件制定、发布、批准、评审、更新的流程;确保文件的

文档评论(0)

lzy5536lzy + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档