数据中心信息安全管理及管控要求.pdfVIP

【精选】数据中心信息安全管理及管控要求—WORD版

【本文为word版，下载后可修改、打印，如对您有所帮助，请购买，谢谢。】

数据中心信息安全管理及管控要求

随着在世界范围内，信息化水平的不断发展，数据中心的信息安

全逐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都

在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、

澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织

（ISO）也发布了ISO17799、ISO13335、ISO15408等与信息安全相关

的国际标准及技术报告。目前，在信息安全管理方面，英国标准

ISO27000：2005已经成为世界上应用最广泛与典型的信息安全管理

标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完

成。

ISO27001标准于1993年由英国贸易工业部立项，于1995年英国首

次出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套

综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工

商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用

于大、中、小组织。1998年英国公布标准的第二部分《信息安全管

理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，

它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作

为一个正式认证方案的根据。ISO27000-1与ISO27000-2经过修订于

1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络

第1页

本文部分内容来自互联网，我司不为其真实性及所产生的后果负责，如有异议请联系我们及时删除。

【精选】数据中心信息安全管理及管控要求—WORD版

【本文为word版，下载后可修改、打印，如对您有所帮助，请购买，谢谢。】

和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全

及信息安全的责任。2000年12月，ISO27000-1：1999《信息安全管

理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准

ISO/IEC17799-1：2000《信息技术-信息安全管理实施细则》。2002年

9月5日，ISO27000-2：2002草案经过广泛的讨论之后，终于发布成

为正式标准，同时ISO27000-2：1999被废止。现在，ISO27000：2005

标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理

体系标准。许多国家的政府机构、银行、证券、保险公司、电信运营

商、网络公司及许多跨国公司已采用了此标准对信息安全进行系统的

管理，数据中心（IDC）应逐步建立并完善标准化的信息安全管理体

系。

一、数据中心信息安全管理总体要求

1、信息安全管理架构与人员能力要求

1.1信息安全管理架构

IDC在当前管理组织架构基础上，建立信息安全管理委员会，涵盖信

息安全管理、应急响应、审计、技术实施等不同职责，并保证职责清

第2页

本文部分内容来自互联网，我司不为其真实性及所产生的后果负责，如有异议请联系我们及时删除。

【精选】数据中心信息安全管理及管控要求—WORD版

【本文为word版，下载后可修改、打印，如对您有所帮助，请购买，谢谢。】

晰与分离，并形成文件。

1.2人员能力

具备标准化信息安全管理体系内部审核员、CISP（Certified

InformationSecurityProfessional，国家注册信息安全专家）等相关资

质人员。5星级IDC至少应具备一名合格的标准化信息安全管理内部

审核员、一名标准化主任审核员。4星级IDC至少应至少具备一名合

格的标准化信息安全管理内部审核员

2、信息安全管理体系文件要求，根据IDC业务目标与当前实际情况，

建立完善而分层次的IDC信息安全管理体系及相应的文档，包含但不

限于如下方面：

2.1信息安全管理体系方针文件

包括IDC信息安全管理体系的范围，信息安全的目标框架、信息安

全工作的总方向和原则，并考虑IDC业务需求、国家法律法规的要求、

客户以及合同要求。