??????? 3、信息資產(chǎn)管理
??????? 3.1 資產(chǎn)管理職責
??????? 3.1.1資產(chǎn)清單與責任人
??????? IDC對所有信息資產(chǎn)度進行識別�����,將所有重要資產(chǎn)都進行登記�����、建立清單文件并加以維護���。
??????? IDC中所有信息和信息處理設施相關重要資產(chǎn)需指定責任人。
??????? 3.1.2資產(chǎn)使用
??????? 指定信息與信息處理設施使用相關規(guī)則�,形成了文件并加以實施。
??????? 3.2 信息資產(chǎn)分類
??????? 3.2.1資產(chǎn)分類管理
??????? 根據(jù)信息資產(chǎn)對IDC業(yè)務的價值��、法律要求�����、敏感性和關鍵性進行分類,建立一個信息分類指南�����。
??????? 信息分類指南應涵蓋外來的信息資產(chǎn)����,尤其是來自客戶的信息資產(chǎn)���。
??????? 3.2.2信息的標記和處理
??????? 按照IDC所采納的分類指南建立和實施一組合適的信息標記和處理程序�。
??????? 4���、人力資源安全
??????? 這里的人員包括IDC雇員���、承包方人員和第三方等相關人員。
??????? 4.1信息安全角色與職責
??????? 人員職責說明體現(xiàn)信息安全相關角色和要求���。
??????? 4.2背景調(diào)查
??????? 人員任職前根據(jù)職責要求和崗位對信息安全的要求�,采取必要的背景驗證���。
??????? 4.3雇用的條款和條件
??????? 人員雇傭后��,應簽署必要的合同�����,明確雇傭的條件和條款�����,并包含信息安全相關要求���。
??????? 4.4信息安全意識�����、教育和培訓
??????? 入職新員工培訓應包含IDC信息安全相關內(nèi)容����。
??????? 至少每年一次對人員進行信息安全意識培訓�。
??????? 4.5安全違紀處理
??????? 針對安全違規(guī)的人員,建立正式的紀律處理程序����。
??????? 4.6雇傭的終止與變更
??????? IDC應清晰規(guī)定和分配雇用終止或雇用變更的職責;雇傭協(xié)議終止于變更時,及時收回相關信息資產(chǎn)�,并調(diào)整或撤銷相關訪問控制權限。
??????? 5����、物理與環(huán)境安全
??????? 5.1 安全區(qū)域
??????? 5.1.1邊界安全與出入口控制
??????? 根據(jù)邊界內(nèi)資產(chǎn)的安全要求和風險評估的結(jié)果對IDC物理區(qū)域進行分區(qū)、分級管理�,不同區(qū)域邊界與出入口需建立卡控制的入口或有人管理的接待臺�。
??????? 入侵檢測與報警系統(tǒng)覆蓋所有門窗和出入口,并定期檢測入侵檢測系統(tǒng)的有效性�����。
??????? 機房大樓應有7×24小時的專業(yè)保安人員���,出入大樓需登記或持有通行卡�����。
??????? 機房安全出口不少于兩個�����,且要保持暢通�,不可放置雜物。
??????? 5星級IDC:出入記錄至少保存6個月��,視頻監(jiān)控至少保存1個月�����。
??????? 4星級IDC:出入記錄至少保存6個月��,視頻監(jiān)控至少保存1個月�。
??????? 5.1.2 IDC機房環(huán)境安全
??????? 記錄訪問者進入和離開IDC的日期和時間,所有的訪問者要需要經(jīng)過授權����。
??????? 建立訪客控制程序,對服務商等外部人員實現(xiàn)有效管控���。
??????? 所有員工���、服務商人員和第三方人員以及所有訪問者進入IDC要佩帶某種形式的可視標識,已實現(xiàn)明顯的區(qū)分���。外部人員進入IDC后�,需全程監(jiān)控���。
??????? 5.1.3防范外部威脅和環(huán)境威脅
??????? IDC對火災�、洪水、地震��、爆炸���、社會動蕩和其他形式的自然或人為災難引起的破壞建立足夠的防范控制措施�����;危險或易燃材料應在遠離IDC存放�����;備份設備和備份介質(zhì)的存放地點應與IDC超過10公里的距離。
??????? 機房內(nèi)應嚴格執(zhí)行消防安全規(guī)定���,所有門窗�、地板���、窗簾����、飾物、桌椅�����、柜子等材料�����、設施都應采用防火材料�。
??????? 5.1.4公共訪問區(qū)和交接區(qū)
??????? 為了避免未授權訪問,訪問點(如交接區(qū)和未授權人員可以進入的其它地點)需進行適當?shù)陌踩刂?�,設備貨物交接區(qū)要與信息處理設施隔開�。
??????? 5.2 設備安全
??????? 5.2.1設備安全
??????? 設備盡量安置在可減少未授權訪問的適當?shù)攸c;對于處理敏感數(shù)據(jù)的信息處理設施�����,盡量安置在可限制觀測的位置��;對于需要特殊保護的設備���,要進行適當隔離�;對信息處理設施的運行有負面影響的環(huán)境條件(包括溫度和濕度)���,要進行實時進行監(jiān)視���。
??????? 5.2.2支持性設備安全
??????? 支持性設施(例如電�����、供水��、排污����、加熱/通風和空調(diào)等)應定期檢查并適當?shù)臏y試以確保他們的功能�,減少由于他們的故障或失效帶來的風險。
??????? 實現(xiàn)多路供電�,以避免供電的單一故障點�。
??????? 5.2.3線纜安全
??????? 應保證傳輸數(shù)據(jù)或支持信息服務的電源布纜和通信布纜免受竊聽或損壞。
??????? 電源電纜要與通信電纜分開��;各種線纜能通過標識加以區(qū)分�����,并對線纜的訪問加以必要的訪問控制�。
??????? 線纜標簽必須采用防水標簽紙和標簽打印機進行正反面打?����。ɑ蛘叽蛴蓮堖M行粘貼)�,標簽長度應保證至少能夠纏繞電纜一圈或一圈半�����,打印字符必須清晰可見���,打印內(nèi)容應簡潔明了�����,容易理解����。標簽的標示必須清晰����、簡潔、準確�、統(tǒng)一,標簽打印應當前后和上下排對齊��。
??????? 5.2.4設備維護
??????? 設備需按照供應商推薦的服務時間間隔和說明書,進行正確維護��;設備維護由已授權人員執(zhí)行����,并保存維護記錄1年。
??????? 5.2.5組織場所外的設備安全
??????? 應對組織場所的設備采取安全措施��,要考慮工作在組織場所以外的不同風險���。
??????? 5.2.6設備的安全處置或再利用
??????? 包含儲存介質(zhì)的設備的所有項目應進行檢查����,以確保在銷毀之前�,任何敏感信息和注冊軟件已被刪除或安全重寫。
??????? 5.2.7資產(chǎn)的移動
??????? 設備��、信息或軟件在授權之前不應帶出組織場所�,設置設備移動的時間限制,并在返還時執(zhí)行符合性檢查���;對設備做出移出記錄,當返回時�,要做出送回記錄����。
??????? 6�、通信和操作管理
??????? 6.1 運行程序和職責
??????? 6.1.1運行操作程序文件化
??????? 運行操作程序文件化并加以保持,并方便相關使用人員的訪問���。
??????? 6.1.2變更管理
??????? 對信息處理設施和系統(tǒng)的變更是否受控�����,并考慮:重大變更的標識和記錄�;變更的策劃和測試���;對這種變更的潛在影響的評估��,包括安全影響�;對建議變更的正式批準程序�;向所有有關人員傳達變更細節(jié);返回程序���,包括從不成功變更和未預料事態(tài)中退出和恢復的程序與職責���。
??????? 6.1.3職責分離
??????? 各類責任及職責范圍應加以分割��,以降低未授權或無意識的修改或者不當使用組織資產(chǎn)的機會�����。
??????? 6.1.4開發(fā)設施���、測試設施和運行設施的分離
??????? 開發(fā)、測試和運行設施應分離��,以減少未授權訪問或改變運行系統(tǒng)的風險��。
??????? 6.2 第三方服務交付管理
??????? 6.2.1服務交付
??????? 應確保第三方實施�、運行和保持包含在第三方服務交付協(xié)議中的安全控制措施、服務定義和交付水準����。
??????? IDC應確保第三方保持足夠的服務能力和可使用的計劃以確保商定的服務在大的服務故障或災難后繼續(xù)得以保持。
??????? 6.2.2第三方服務的監(jiān)視和評審
??????? 應定期監(jiān)視和評審由第三方提供的服務�、報告和記錄,審核也應定期執(zhí)行�����,并留下記錄�����。
??????? 6.2.3第三方服務的變更管理
??????? 應管理服務提供的變更�����,包括保持和改進現(xiàn)有的信息安全方針策略�、程序和控制措施,要考慮業(yè)務系統(tǒng)和涉及過程的關鍵程度及風險的再評估
??????? 6.3系統(tǒng)規(guī)劃和驗收
??????? 6.3.1容量管理
??????? IDC各系統(tǒng)資源的使用應加以監(jiān)視��、調(diào)整�,并做出對于未來容量要求的預測,以確保擁有所需的系統(tǒng)性能�����。
??????? 系統(tǒng)硬件系統(tǒng)環(huán)境的功能����、性能和容量要滿足IDC業(yè)務處理的和存貯設備的平均使用率宜控制在75%以內(nèi)。
??????? 網(wǎng)絡設備的處理器和內(nèi)存的平均使用率應控制在75%以內(nèi)��。
??????? 6.3.2系統(tǒng)驗收
??????? 建立對新信息系統(tǒng)��、升級及新版本的驗收準則,并且在開發(fā)中和驗收前對系統(tǒng)進行適當?shù)臏y試�。
??????? 6.4防范惡意代碼和移動代碼
??????? 6.4.1對惡意代碼的控制措施
??????? 實施惡意代碼的監(jiān)測、預防和恢復的控制措施��,以及適當?shù)奶岣哂脩舭踩庾R的程序
??????? 6.4.2對移動代碼的控制措施
??????? 當授權使用移動代碼時��,其配置確保授權的移動代碼按照清晰定義的安全策略運行��,應阻止執(zhí)行未授權的移動代碼���。
??????? 6.5 備份
??????? 6.5.1備份
??????? 應按照客戶的要求以及已設的備份策略��,定期備份和測試信息和軟件�����。各個系統(tǒng)的備份安排應定期測試以確保他們滿足業(yè)務連續(xù)性計劃的要求����。對于重要的系統(tǒng)��,備份安排應包括在發(fā)生災難時恢復整個系統(tǒng)所必需的所有系統(tǒng)信息��、應用和數(shù)據(jù)�����。
??????? 應確定最重要業(yè)務信息的保存周期以及對要永久保存的檔案拷貝的任何要求。
??????? 6.6 網(wǎng)絡安全管理
??????? 6.6.1網(wǎng)絡控制
??????? 為了防止使用網(wǎng)絡時發(fā)生的威脅和維護系統(tǒng)與應用程序的安全����,網(wǎng)絡要充分受控�����;網(wǎng)絡的運行職責與計算機系統(tǒng)的運行職責實現(xiàn)分離���;敏感信息在公用網(wǎng)絡上傳輸時��,考慮足夠的加密和訪問控制措施���。
??????? 6.6.2網(wǎng)絡服務的安全
??????? 網(wǎng)絡服務(包括接入服務、私有網(wǎng)絡服務�、增值網(wǎng)絡和受控的網(wǎng)絡安全解決方案,例如防火墻和入侵檢測系統(tǒng)等)應根據(jù)安全需求����,考慮如下安全控制措施:為網(wǎng)絡服務應用的安全技術,例如認證�����、加密和網(wǎng)絡連接控制;按照安全和網(wǎng)絡連接規(guī)則��,網(wǎng)絡服務的安全連接需要的技術參數(shù)����;若需要,網(wǎng)絡服務使用程序�����,以限制對網(wǎng)絡服務或應用的訪問��。
??????? 6.7 介質(zhì)管理
??????? 6.7 .1可移動介質(zhì)的管理
??????? 建立適當?shù)目梢苿咏橘|(zhì)的管理程序��,規(guī)范可移動介質(zhì)的管理����。
??????? 可移動介質(zhì)包括磁帶、磁盤�、閃盤、可移動硬件驅(qū)動器��、CD���、DVD和打印的介質(zhì)
??????? 6.7 .2介質(zhì)的處置
??????? 不再需要的介質(zhì)�����,應使用正式的程序可靠并安全地處置�����。保持審計蹤跡�����,保留敏感信息的處置記錄�����。
??????? 6.7 .3信息處理程序
??????? 建立信息的處理及存儲程序�����,以防止信息的未授權的泄漏或不當使用���。
??????? 包含信息的介質(zhì)在組織的物理邊界以外運送時,應防止未授權的訪問�����、不當使用或毀壞。
??????? 6.8 信息交換
??????? 6.8.1信息交換策略和程序
??????? 為了保護通過使用各種類型的通信設施進行信息交換�,是否有正式的信息交換方針、程序和控制措施�����。
??????? 6.8.2外方信息交換協(xié)議
??????? 在組織和外方之間進行信息/軟件交換時�,是否有交換協(xié)議。
??????? 6.8.3電子郵件����、應用系統(tǒng)的信息交換與共享
??????? 建立適當?shù)目刂拼胧Wo電子郵件的安全�;為了保護相互連接的業(yè)務信息系統(tǒng)的信息,開發(fā)與實施相關的方針和程序����。
