數(shù)據(jù)中心信息安全管理及管控要求(2)
二、信息安全管控要求
1、安全方針
信息安全方針文件與評(píng)審建立IDC信息安全方針文件需得到管理層批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方。
至少每年一次或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針評(píng)審。
2、信息安全組織
2.1 內(nèi)部組織
2.1.1信息安全協(xié)調(diào)、職責(zé)與授權(quán)
信息安全管理委員會(huì)包含IDC相關(guān)的不同部門的代表;所有的信息安全職責(zé)有明確成文的規(guī)定;對(duì)新信息處理設(shè)施,要有管理授權(quán)過程。
2.1.2保密協(xié)議
IDC所有員工須簽署保密協(xié)議,保密內(nèi)容涵蓋IDC內(nèi)部敏感信息;保密協(xié)議條款每年至少評(píng)審一次。
2.1.3權(quán)威部門與利益相關(guān)團(tuán)體的聯(lián)系
與相關(guān)權(quán)威部門(包括,公安部門、消防部門和監(jiān)管部門)建立溝通管道;與安全專家組、專業(yè)協(xié)會(huì)等相關(guān)團(tuán)體進(jìn)行溝通。
2.1.4獨(dú)立評(píng)審
參考“信息安全管理體系要求”第5和第8條關(guān)于管理評(píng)審、內(nèi)部審核的要求,進(jìn)行獨(dú)立的評(píng)審。
審核員不能審核評(píng)審自己的工作;評(píng)審結(jié)果交管理層審閱。
2.2 外方管理
2.2.1外部第三方的相關(guān)風(fēng)險(xiǎn)的識(shí)別
將外部第三方(設(shè)備維護(hù)商、服務(wù)商、顧問、外包方臨時(shí)人員、實(shí)習(xí)學(xué)生等)對(duì)IDC信息處理設(shè)施或信息納入風(fēng)險(xiǎn)評(píng)估過程,考慮內(nèi)容應(yīng)包括:需要訪問的信息處理設(shè)施、訪問類型(物理、邏輯、網(wǎng)絡(luò))、涉及信息的價(jià)值和敏感性,及對(duì)業(yè)務(wù)運(yùn)行的關(guān)鍵程度、訪問控制等相關(guān)因素。
建立外部第三方信息安全管理相關(guān)管理制度與流程。
2.2.2客戶有關(guān)的安全問題
針對(duì)客戶信息資產(chǎn)的保護(hù),根據(jù)合同以及相關(guān)法律、法規(guī)要求,進(jìn)行恰當(dāng)?shù)谋Wo(hù)。
2.2.3處理第三方協(xié)議中的安全問題
涉及訪問、處理、交流(或管理)IDC及IDC客戶的信息或信息處理設(shè)施的第三方協(xié)議,需涵蓋所有相關(guān)的安全要求。
3、信息資產(chǎn)管理
3.1 資產(chǎn)管理職責(zé)
3.1.1資產(chǎn)清單與責(zé)任人
IDC對(duì)所有信息資產(chǎn)度進(jìn)行識(shí)別,將所有重要資產(chǎn)都進(jìn)行登記、建立清單文件并加以維護(hù)。
IDC中所有信息和信息處理設(shè)施相關(guān)重要資產(chǎn)需指定責(zé)任人。
3.1.2資產(chǎn)使用
指定信息與信息處理設(shè)施使用相關(guān)規(guī)則,形成了文件并加以實(shí)施。
3.2 信息資產(chǎn)分類
3.2.1資產(chǎn)分類管理
根據(jù)信息資產(chǎn)對(duì)IDC業(yè)務(wù)的價(jià)值、法律要求、敏感性和關(guān)鍵性進(jìn)行分類,建立一個(gè)信息分類指南。
信息分類指南應(yīng)涵蓋外來的信息資產(chǎn),尤其是來自客戶的信息資產(chǎn)。
3.2.2信息的標(biāo)記和處理
按照IDC所采納的分類指南建立和實(shí)施一組合適的信息標(biāo)記和處理程序。
4、人力資源安全
這里的人員包括IDC雇員、承包方人員和第三方等相關(guān)人員。
4.1信息安全角色與職責(zé)
人員職責(zé)說明體現(xiàn)信息安全相關(guān)角色和要求。
4.2背景調(diào)查
人員任職前根據(jù)職責(zé)要求和崗位對(duì)信息安全的要求,采取必要的背景驗(yàn)證。
4.3雇用的條款和條件
人員雇傭后,應(yīng)簽署必要的合同,明確雇傭的條件和條款,并包含信息安全相關(guān)要求。
4.4信息安全意識(shí)、教育和培訓(xùn)
入職新員工培訓(xùn)應(yīng)包含IDC信息安全相關(guān)內(nèi)容。
至少每年一次對(duì)人員進(jìn)行信息安全意識(shí)培訓(xùn)。
4.5安全違紀(jì)處理
針對(duì)安全違規(guī)的人員,建立正式的紀(jì)律處理程序。
4.6雇傭的終止與變更
IDC應(yīng)清晰規(guī)定和分配雇用終止或雇用變更的職責(zé);雇傭協(xié)議終止于變更時(shí),及時(shí)收回相關(guān)信息資產(chǎn),并調(diào)整或撤銷相關(guān)訪問控制權(quán)限。
責(zé)任編輯:黎陽錦
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》