数据中心信息安全管理及管控要求标准版本
数据中心机房管理制度规范
数据中心机房管理制度规范随着信息技术的快速发展,数据中心已成为现代化企业中不可或缺的关键组成部分。
为了确保数据中心的稳定运行和信息安全,建立一套完善的机房管理制度显得尤为重要。
本文将从多个方面来论述数据中心机房管理制度规范的内容和重要性。
一、机房环境规范为了保证数据中心的正常运行,机房的环境气候控制是非常关键的。
首先,机房需要进行温度和湿度的精确控制,通常要保持在适宜的范围内,避免过热或过湿对设备造成影响。
其次,机房内部还应该避免尘埃和静电的产生,应该定期清洁机房,并设置地板防静电处理措施。
此外,机房应当保持足够的通风和散热,以确保设备的正常工作。
二、设备管理规范数据中心机房内的设备管理也是非常重要的一环。
首先,需要制定设备分类和使用规范,对不同的设备进行分类管理,明确各自的用途和权限。
其次,要对设备进行定期巡检和维护,确保设备的正常运行状态。
此外,对于故障设备需要及时处理和维修,以减少停机时间对业务的影响。
同时,设备的报废与更新也需要按照规定的流程进行,避免资源浪费和环境污染。
三、安全管理规范数据中心机房的安全管理至关重要。
首先,要建立健全的门禁系统,确保只有授权人员才能进入机房。
此外,应配备安全摄像头和报警设备,及时监控机房内的安全状况。
其次,要建立严密的数据备份制度,确保数据的安全性和可恢复性。
此外,还需要制定合理的权限管理规范,确保只有授权人员才能访问和操作相关设备和数据。
同时,要定期进行安全演练和培训,提高员工的安全意识和应急反应能力。
四、灾备管理规范数据中心机房的灾备管理是保障业务连续性的重要手段。
首先,要建立完善的灾备预案和演练计划,明确各项应急措施和流程。
此外,灾备设备需要进行定期检测和维护,确保在灾难发生时能够及时切换和恢复。
同时,还需要建立灾备数据中心,将关键数据进行备份和存储,以保证数据的完整性和可恢复性。
五、监控管理规范数据中心机房的监控是保障运行状态的关键环节。
首先,要建立完善的监控系统,包括设备状态监控、网络流量监控等,及时发现和解决潜在问题。
机房安全管理规范本
机房安全管理规范本一、引言机房作为一个关键的信息系统资源,其安全性对于保障信息系统正常运行和数据的安全性至关重要。
为了确保机房的安全,保护信息系统的完整性、可靠性和可用性,制定本机房安全管理规范本。
二、机房的物理安全措施1、机房进出口的管理(1)所有人员进出机房需刷卡或者进行指纹识别验证。
(2)进出机房的人员需进行身份验证,核对身份证或者员工工作证。
(3)机房进出口设有监控摄像头,24小时监控录像。
2、机房的防火措施(1)机房内严禁存放易燃、易爆物品。
(2)机房内和周围设有消防器材,如灭火器、消防栓等,并定期检查其有效性。
(3)禁止在机房内吸烟,并设立指定吸烟区域。
3、机房的温度和湿度控制(1)机房内部设有空调系统,保持适宜的温度和湿度。
(2)定期检查空调系统,确保其正常运行。
4、机房的供电和电气安全(1)机房采用双路供电模式,确保系统的持续性和可靠性。
(2)机房内禁止使用不符合安全标准的电器设备。
(3)禁止在机房内进行私拉乱接电线。
三、机房的设备和信息安全措施1、机房的设备管理(1)机房内的设备按照规定位置摆放,不得随意移动或调整。
(2)机房设备有专门的人员进行日常巡检,确保设备正常运行。
2、机房的信息安全管理(1)机房内进行信息系统管理的人员需经过严格的审查和培训,确保其具备必要的技术和管理能力。
(2)机房内的主机和存储设备需设置密码保护,并定期更换密码。
3、机房的网络安全管理(1)机房内的网络设备需进行定期的漏洞扫描和安全评估。
(2)机房内的网络设备需安装防火墙和入侵检测系统,以保障信息的安全。
四、机房的监控和报警措施1、机房的视频监控系统(1)机房内设有完善的视频监控系统,覆盖关键区域。
(2)监控录像需保存30天以上,以确保对异常情况的溯源和调查。
2、机房的入侵报警系统(1)机房内设有入侵报警系统,实时监测机房安全。
(2)入侵报警系统与相关人员进行实时联网,确保能够及时对异常情况进行处理和响应。
数据中心信息安全管理制度
一、目的和依据为了保障数据中心信息系统的安全稳定运行,确保业务数据的安全性和完整性,根据《中华人民共和国网络安全法》、《信息安全技术信息系统安全等级保护基本要求》等相关法律法规,结合我单位实际情况,制定本制度。
二、适用范围本制度适用于我单位所有数据中心及其相关设施、系统、网络、数据等。
三、组织架构1. 成立数据中心信息安全工作领导小组,负责数据中心信息安全的组织、协调、监督和管理工作。
2. 设立数据中心信息安全管理部门,负责日常信息安全管理工作的组织实施。
四、信息安全管理制度1. 物理安全(1)严格门禁制度,实行24小时值班制度,确保数据中心内部环境安全。
(2)对数据中心内的设备、线路等进行定期检查和维护,确保其正常运行。
(3)禁止非工作人员随意进入数据中心,禁止携带任何未经授权的设备进入。
2. 网络安全(1)建立完善的网络安全防护体系,包括防火墙、入侵检测和防御系统、病毒防护等。
(2)对网络设备进行定期检查和维护,确保其安全稳定运行。
(3)对网络流量进行实时监控,及时发现并处理异常情况。
3. 系统安全(1)采用安全可靠的信息系统,定期进行安全漏洞扫描和修复。
(2)对系统管理员进行权限管理,确保其操作符合安全规范。
(3)对重要业务系统进行数据备份和恢复,确保数据安全。
4. 数据安全(1)对重要数据进行分类、分级管理,确保数据安全。
(2)采用数据加密、脱敏等技术,保护数据在传输、存储、处理过程中的安全。
(3)定期对数据进行备份和恢复,确保数据完整性。
5. 安全培训与意识提升(1)定期对员工进行信息安全培训,提高员工信息安全意识。
(2)开展信息安全竞赛、知识竞赛等活动,增强员工信息安全技能。
6. 应急处理(1)制定信息安全事件应急预案,明确事件处理流程和责任。
(2)定期进行应急演练,提高应对信息安全事件的能力。
五、监督与检查1. 信息安全工作领导小组定期对信息安全管理制度执行情况进行检查。
2. 信息安全管理部门负责对信息安全事件进行调查和处理。
信息中心机房管理制度模版
信息中心机房管理制度模版一、机房管理概述信息中心机房是公司重要的基础设施,为了保障机房资源的高效利用和安全稳定运行,特制定本机房管理制度。
该制度适用于全公司信息中心机房的管理。
二、机房管理责任1. 信息中心经理负责机房的日常管理、安全、规划和维护工作,负责机房管理人员的组织与指导。
2. 机房管理人员负责机房设备的运维、机房环境的维护、应急处置等工作。
机房管理人员应具备相关专业知识与技能,并积极参加相关培训。
三、机房安全管理1. 机房进出口要设置门禁系统,严禁无关人员进入机房。
2. 机房内必须安装监控系统,并建立相关记录和可追溯的录像存档。
3. 禁止在机房内吸烟、使用易燃易爆物品。
机房内的电器设备必须通过安全检验合格。
4. 机房内设备的布置应合理,防火设施齐全。
定期检查火灾报警器、灭火器等设施的运行情况。
5. 机房必须建立有线和无线网络隔离机制,确保数据安全。
四、机房环境管理1. 机房应具备良好的通风、冷却和湿度控制系统,保持合适的温度和湿度。
2. 机房内部积尘应保持在可控范围,定期进行环境清洁。
3. 机房内要保持安静,噪音控制在规定范围内。
4. 定期检查UPS电源系统、发电机等设施的运行状态,确保机房电力供应的稳定性。
五、机房设备管理1. 机房设备采购需符合公司规定的标准,设备资产信息通过资产管理系统进行统一登记。
2. 机房设备定期巡检,及时发现并处理设备故障,确保机房设备正常运行。
3. 机房设备的操作和维护需按照相关操作手册和规范进行,禁止私自拆卸和更换设备。
4. 机房设备的备份与灾难恢复计划的制定与实施需确保系统数据的完整和可靠性。
六、应急处置1. 机房设备故障或系统突发问题,需立即启动应急预案并通知相关人员进行处置。
2. 遇到火灾、地震等突发事件,机房管理人员和相关人员需按照应急预案进行紧急疏散和救援。
3. 应急事件发生后,需进行紧急事故分析,制定整改方案,防止类似事件再次发生。
七、违规与处罚1. 机房管理人员如发现违规行为,应及时报告并采取相应措施加以制止。
03-某客户数据服务中心数据安全管理规范
XXXX数据服务中心数据安全管理规范第一章总则第一条为保障XXXX数据服务中心数据安全可控,确保各类数据收集、存储、使用、共享、开放等全生命周期安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等国家关于数据安全的有关规定,结合XXXX数据实际情况,制定本规范。
第二条本规范中有关术语定义如下:本规范所称数据,是指XXXX数据服务中心各部门(综合部、规划发展部、系统网络部、数据管理部、政务信息部、社会保险部、劳动人事部、人才就业部、公共服务部、应用推广部、社保卡发行部、内审监管部,以下简称XXXX数据中心各部门)在履行职能过程中产生或采集(含汇集)的,以一定形式记录、保存的文件、资料、图表、数据等各类非涉密数据,包括直接或通过第三方采集和授权管理的数据,通过信息共享等方式获取的数据,以及依托信息系统形成的数据等。
非涉密重要数据,是指一旦泄露会对国家安全、人民群众利益构成潜在威胁的数据。
本规范所称个人信息1,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。
本规范所称个人敏感信息2,是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
对于可直接定位到特定自然人身份的信息,如社会保障号码、生物特征信息,称为个人关键敏感信息。
本规范所称单位信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定单位的各种信息。
本规范所称个人信息和单位信息主体3,指个人信息所标识的自然人和单位信息所标识的单位。
第三条本规范适用于数据产生、保存、应用的全过程,主要包括以下环节:(一)数据收集,指XXXX数据中心各部门在履行职能时产生、采集和汇集数据的过程,包括对数据的收集和处理。
数据中心信息安全管理及管控要求
——方案计划参考范本——数据中心信息安全管理及管控要求______年______月______日____________________部门随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。
英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。
目前,在信息安全管理方面,英国标准ISO27000:20xx已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。
ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。
19xx年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。
ISO27000-1与ISO27000-2经过修订于19xx年重新予以发布,19xx版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。
20xx年12月,ISO27000-1:19xx《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC17799-1:20xx《信息技术-信息安全管理实施细则》。
20xx年9月5日,ISO27000-2:20xx草案经过广泛的讨论之后,终于发布成为正式标准,同时ISO27000-2:19xx被废止。
信息中心数据保密及安全管理制度范文
信息中心数据保密及安全管理制度范文1.背景和目的信息中心是企业内部重要的数据处理和储存中心,为了保护企业信息安全,防止信息泄露、篡改和丢失,制定本制度。
2.适用范围本制度适用于信息中心的所有工作人员,包括员工和外部合作伙伴。
3.保密责任3.1 所有工作人员必须保守企业内部的商业秘密和敏感信息,不得泄露给未获授权的人员。
3.2 未经授权,禁止将企业信息以任何形式传递给外部机构或个人。
3.3 工作人员必须严格遵守公司的保密协议和保密协定,如有违反将承担相应的法律责任。
4.数据安全管理4.1 所有存储在信息中心的数据必须经过加密和备份。
4.2 禁止存储和传输包含病毒、恶意软件或非法内容的数据。
4.3 数据备份必须按照公司的备份策略进行,并定期测试恢复数据的有效性。
4.4 管理员必须定期检查和更新信息中心的防火墙和安全设施。
5.设备和网络安全5.1 信息中心的设备和网络必须定期进行安全检查和更新。
5.2 禁止将未授权的设备接入信息中心的网络。
5.3 管理员必须定期审核和更新员工的网络权限。
6.访问控制6.1 信息中心的物理访问必须进行身份验证并记录。
6.2 严格控制员工的访问权限,按需分配,并定期审查和更新权限列表。
6.3 禁止未授权的员工和外部人员进入信息中心。
7.数据处理控制7.1 所有数据处理必须在安全的环境下进行,并严格遵守公司的数据处理规范和政策。
7.2 使用公共或非安全网络的情况下,禁止处理敏感数据。
7.3 严格控制外部人员的数据处理权限,必要时签署保密协定。
8.安全培训和意识8.1 所有工作人员必须参加公司组织的安全培训活动,并定期更新安全意识知识。
8.2 定期组织模拟安全演习,评估员工的应急反应能力。
8.3 对于违反保密和安全规定的人员,将进行相应的纪律处分和法律追究。
9.监督和检查9.1 信息中心的安全管理必须由专门的安全团队或委员会负责监督。
9.2 定期进行安全检查和评估,发现问题及时进行整改。
数据中心机房安全管理制度范本
数据中心机房安全管理制度范本一、总则1. 为确保数据中心机房的安全管理,保障数据的机密性、完整性和可用性,依据相关法律法规和企业规章制度,制定本安全管理制度。
2. 本制度适用于所有进入数据中心机房的人员,包括公司员工、合作伙伴、供应商等。
3. 数据中心机房的安全管理由负责数据中心的专业团队负责执行,相关人员需遵守本制度。
4. 数据中心机房安全管理制度严格执行,违反本制度的行为将受到相应的处罚。
二、进出机房管理1. 进入机房人员需办理进出证,进出证严禁借用、伪造、转让等行为,不得随意透露信任他人。
2. 人员进入机房须经保安人员或相关负责人确认并记录,不得擅自进入机房。
3. 未办理进出机房手续的人员不得进入机房。
4. 离开机房时,人员需主动归还进出证,确保证件的完好无损。
5. 严禁将进出证用于非机房相关场合。
三、机房设备安全管理1. 机房设备由专业维护团队负责,保证设备的运行稳定。
2. 严禁未经许可擅自接触、搬动或更换机房设备。
3. 每项机房设备的维修保养记录需详细记录,保养及更换部件需按时进行。
4. 新引入的设备需经过严格测试及验证,确保设备无安全隐患。
5. 禁止随意更改设备接线、线缆连接等操作。
四、信息系统安全管理1. 所有数据中心机房中的信息系统均严格遵守相关国家技术规范及标准。
2. 严格按照“最小权限原则”授权用户权限,合理分配用户的访问权限。
3. 禁止在机房内使用未经授权的软件、设备及存储介质。
4. 禁止私自在机房内下载、安装未经授权的软件及应用程序。
5. 严禁非授权人员使用别人账号登录信息系统。
6. 尽量使用与网络隔离的离线系统进行安全操作。
7. 对机房内的信息系统进行定期的漏洞扫描和安全评估。
8. 每位用户需妥善保管自己的账号及密码,严防泄露。
五、机房环境安全管理1. 机房环境需保持卫生、整洁,禁止乱扔垃圾及食品残渣。
2. 严禁在机房内吸烟、饮食等不文明行为。
3. 机房温度、湿度需保持在合适的范围,防止设备过热或损坏。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文件编号:RHD-QB-K9144 (操作规程范本系列)编辑:XXXXXX查核:XXXXXX时间:XXXXXX数据中心信息安全管理及管控要求标准版本数据中心信息安全管理及管控要求标准版本操作指导:该操作规程文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时必须遵循的程序或步骤。
,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。
随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。
英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。
目前,在信息安全管理方面,英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。
ISO27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。
1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。
ISO27000-1与ISO27000-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。
20xx年12月,ISO27000-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。
20xx年9月5日,ISO27000-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时ISO27000-2:1999被废止。
现在,ISO27000:2005标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。
许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对信息安全进行系统的管理,数据中心(IDC)应逐步建立并完善标准化的信息安全管理体系。
一、数据中心信息安全管理总体要求1、信息安全管理架构与人员能力要求1.1信息安全管理架构IDC在当前管理组织架构基础上,建立信息安全管理委员会,涵盖信息安全管理、应急响应、审计、技术实施等不同职责,并保证职责清晰与分离,并形成文件。
1.2人员能力具备标准化信息安全管理体系内部审核员、CISP(Certified Information Security Professional,国家注册信息安全专家)等相关资质人员。
5星级IDC至少应具备一名合格的标准化信息安全管理内部审核员、一名标准化主任审核员。
4星级IDC至少应至少具备一名合格的标准化信息安全管理内部审核员2、信息安全管理体系文件要求,根据IDC业务目标与当前实际情况,建立完善而分层次的IDC信息安全管理体系及相应的文档,包含但不限于如下方面:2.1信息安全管理体系方针文件包括IDC信息安全管理体系的范围,信息安全的目标框架、信息安全工作的总方向和原则,并考虑IDC业务需求、国家法律法规的要求、客户以及合同要求。
2.2风险评估内容包括如下流程:识别IDC业务范围内的信息资产及其责任人;识别资产所面临的威胁;识别可能被威胁利用的脆弱点;识别资产保密性、完整性和可用性的丧失对IDC业务造成的影响;评估由主要威胁和脆弱点导致的IDC业务安全破坏的现实可能性、对资产的影响和当前所实施的控制措施;对风险进行评级。
2.3风险处理内容包括:与IDC管理层确定接受风险的准则,确定可接受的风险级别等;建立可续的风险处理策略:采用适当的控制措施、接受风险、避免风险或转移风险;控制目标和控制措施的选择和实施,需满足风险评估和风险处理过程中所识别的安全要求,并在满足法律法规、客户和合同要求的基础上达到最佳成本效益。
2.4文件与记录控制明确文件制定、发布、批准、评审、更新的流程;确保文件的更改和现行修订状态的标识、版本控制、识别、访问控制有完善的流程;并对文件资料的传输、贮存和最终销毁明确做出规范。
记录控制内容包括:保留信息安全管理体系运行过程执行的记录和所有发生的与信息安全有关的重大安全事件的记录;记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。
2.5内部审核IDC按照计划的时间间隔进行内部ISMS审核,以确定IDC的信息安全管理的控制目标、控制措施、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持。
五星级IDC应至少每年1次对信息安全管理进行内部审核。
四星级IDC应至少每年1次对信息安全管理进行内部审核。
2.6纠正与预防措施IDC建立流程,以消除与信息安全管理要求不符合的原因及潜在原因,以防止其发生,并形成文件的纠正措施与预防措施程序无2.7控制措施有效性的测量定义如何测量所选控制措施的有效性;规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估)。
2.8管理评审IDC管理层按计划的时间间隔评审内部信息安全管理体系,以确保其持续的适宜性、充分性和有效性,最终符合IDC业务要求。
五星级IDC管理层应至少每年1次对IDC的信息安全管理体系进行评审四星级IDC管理层应至少每年1次对IDC的信息安全管理体系进行评审。
2.9适用性声明适用性声明必须至少包括以下3项内容:IDC 所选择的控制目标和控制措施,及其选择的理由;当前IDC实施的控制目标和控制措施;标准化附录A 中任何控制目标和控制措施的删减,以及删减的正当性理由。
2.10业务连续性过业务影响分析,确定IDC业务中哪些是关键的业务进程,分出紧急先后次序;确定可以导致业务中断的主要灾难和安全失效、确定它们的影响程度和恢复时间;进行业务影响分析,确定恢复业务所需要的资源和成本,决定对哪些项目制作业务连续性计划(BCP)/灾难恢复计划(DRP)。
2.11其它相关程序另外,还应建立包括物理与环境安全、信息设备管理、新设施管理、业务连续性管理、灾难恢复、人员管理、第三方和外包管理、信息资产管理、工作环境安全管理、介质处理与安全、系统开发与维护、法律符合性管理、文件及材料控制、安全事件处理等相关流程与制度。
二、信息安全管控要求1、安全方针信息安全方针文件与评审建立IDC信息安全方针文件需得到管理层批准、发布并传达给所有员工和外部相关方。
至少每年一次或当重大变化发生时进行信息安全方针评审。
2、信息安全组织2.1 内部组织2.1.1信息安全协调、职责与授权信息安全管理委员会包含IDC相关的不同部门的代表;所有的信息安全职责有明确成文的规定;对新信息处理设施,要有管理授权过程。
2.1.2保密协议IDC所有员工须签署保密协议,保密内容涵盖IDC内部敏感信息;保密协议条款每年至少评审一次。
2.1.3权威部门与利益相关团体的联系与相关权威部门(包括,公安部门、消防部门和监管部门)建立沟通管道;与安全专家组、专业协会等相关团体进行沟通。
2.1.4独立评审参考“信息安全管理体系要求”第5和第8条关于管理评审、内部审核的要求,进行独立的评审。
审核员不能审核评审自己的工作;评审结果交管理层审阅。
2.2 外方管理2.2.1外部第三方的相关风险的识别将外部第三方(设备维护商、服务商、顾问、外包方临时人员、实习学生等)对IDC信息处理设施或信息纳入风险评估过程,考虑内容应包括:需要访问的信息处理设施、访问类型(物理、逻辑、网络)、涉及信息的价值和敏感性,及对业务运行的关键程度、访问控制等相关因素。
建立外部第三方信息安全管理相关管理制度与流程。
2.2.2客户有关的安全问题针对客户信息资产的保护,根据合同以及相关法律、法规要求,进行恰当的保护。
2.2.3处理第三方协议中的安全问题涉及访问、处理、交流(或管理)IDC及IDC 客户的信息或信息处理设施的第三方协议,需涵盖所有相关的安全要求。
3、信息资产管理3.1 资产管理职责3.1.1资产清单与责任人IDC对所有信息资产度进行识别,将所有重要资产都进行登记、建立清单文件并加以维护。
IDC中所有信息和信息处理设施相关重要资产需指定责任人。
3.1.2资产使用指定信息与信息处理设施使用相关规则,形成了文件并加以实施。
3.2 信息资产分类3.2.1资产分类管理根据信息资产对IDC业务的价值、法律要求、敏感性和关键性进行分类,建立一个信息分类指南。
信息分类指南应涵盖外来的信息资产,尤其是来自客户的信息资产。
3.2.2信息的标记和处理按照IDC所采纳的分类指南建立和实施一组合适的信息标记和处理程序。
4、人力资源安全这里的人员包括IDC雇员、承包方人员和第三方等相关人员。
4.1信息安全角色与职责人员职责说明体现信息安全相关角色和要求。
4.2背景调查人员任职前根据职责要求和岗位对信息安全的要求,采取必要的背景验证。
4.3雇用的条款和条件人员雇佣后,应签署必要的合同,明确雇佣的条件和条款,并包含信息安全相关要求。
4.4信息安全意识、教育和培训入职新员工培训应包含IDC信息安全相关内容。
至少每年一次对人员进行信息安全意识培训。
4.5安全违纪处理针对安全违规的人员,建立正式的纪律处理程序。
4.6雇佣的终止与变更IDC应清晰规定和分配雇用终止或雇用变更的职责;雇佣协议终止于变更时,及时收回相关信息资产,并调整或撤销相关访问控制权限。
5、物理与环境安全5.1 安全区域5.1.1边界安全与出入口控制根据边界内资产的安全要求和风险评估的结果对IDC物理区域进行分区、分级管理,不同区域边界与出入口需建立卡控制的入口或有人管理的接待台。
入侵检测与报警系统覆盖所有门窗和出入口,并定期检测入侵检测系统的有效性。
机房大楼应有7×24小时的专业保安人员,出入大楼需登记或持有通行卡。
机房安全出口不少于两个,且要保持畅通,不可放置杂物。
5星级IDC:出入记录至少保存6个月,视频监控至少保存1个月。
4星级IDC:出入记录至少保存6个月,视频监控至少保存1个月。
5.1.2 IDC机房环境安全记录访问者进入和离开IDC的日期和时间,所有的访问者要需要经过授权。
建立访客控制程序,对服务商等外部人员实现有效管控。