數(shù)據(jù)中心信息安全管理及管控要求(4)
6、通信和操作管理
6.1 運(yùn)行程序和職責(zé)
6.1.1運(yùn)行操作程序文件化
運(yùn)行操作程序文件化并加以保持,并方便相關(guān)使用人員的訪問(wèn)。
6.1.2變更管理
對(duì)信息處理設(shè)施和系統(tǒng)的變更是否受控,并考慮:重大變更的標(biāo)識(shí)和記錄;變更的策劃和測(cè)試;對(duì)這種變更的潛在影響的評(píng)估,包括安全影響;對(duì)建議變更的正式批準(zhǔn)程序;向所有有關(guān)人員傳達(dá)變更細(xì)節(jié);返回程序,包括從不成功變更和未預(yù)料事態(tài)中退出和恢復(fù)的程序與職責(zé)。
6.1.3職責(zé)分離
各類(lèi)責(zé)任及職責(zé)范圍應(yīng)加以分割,以降低未授權(quán)或無(wú)意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。
6.1.4開(kāi)發(fā)設(shè)施、測(cè)試設(shè)施和運(yùn)行設(shè)施的分離
開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施應(yīng)分離,以減少未授權(quán)訪問(wèn)或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。
6.2 第三方服務(wù)交付管理
6.2.1服務(wù)交付
應(yīng)確保第三方實(shí)施、運(yùn)行和保持包含在第三方服務(wù)交付協(xié)議中的安全控制措施、服務(wù)定義和交付水準(zhǔn)。
IDC應(yīng)確保第三方保持足夠的服務(wù)能力和可使用的計(jì)劃以確保商定的服務(wù)在大的服務(wù)故障或?yàn)?zāi)難后繼續(xù)得以保持。
6.2.2第三方服務(wù)的監(jiān)視和評(píng)審
應(yīng)定期監(jiān)視和評(píng)審由第三方提供的服務(wù)、報(bào)告和記錄,審核也應(yīng)定期執(zhí)行,并留下記錄。
6.2.3第三方服務(wù)的變更管理
應(yīng)管理服務(wù)提供的變更,包括保持和改進(jìn)現(xiàn)有的信息安全方針策略、程序和控制措施,要考慮業(yè)務(wù)系統(tǒng)和涉及過(guò)程的關(guān)鍵程度及風(fēng)險(xiǎn)的再評(píng)估
6.3系統(tǒng)規(guī)劃和驗(yàn)收
6.3.1容量管理
IDC各系統(tǒng)資源的使用應(yīng)加以監(jiān)視、調(diào)整,并做出對(duì)于未來(lái)容量要求的預(yù)測(cè),以確保擁有所需的系統(tǒng)性能。
系統(tǒng)硬件系統(tǒng)環(huán)境的功能、性能和容量要滿足IDC業(yè)務(wù)處理的和存貯設(shè)備的平均使用率宜控制在75%以?xún)?nèi)。
網(wǎng)絡(luò)設(shè)備的處理器和內(nèi)存的平均使用率應(yīng)控制在75%以?xún)?nèi)。
6.3.2系統(tǒng)驗(yàn)收
建立對(duì)新信息系統(tǒng)、升級(jí)及新版本的驗(yàn)收準(zhǔn)則,并且在開(kāi)發(fā)中和驗(yàn)收前對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)臏y(cè)試。
6.4防范惡意代碼和移動(dòng)代碼
6.4.1對(duì)惡意代碼的控制措施
實(shí)施惡意代碼的監(jiān)測(cè)、預(yù)防和恢復(fù)的控制措施,以及適當(dāng)?shù)奶岣哂脩?hù)安全意識(shí)的程序
6.4.2對(duì)移動(dòng)代碼的控制措施
當(dāng)授權(quán)使用移動(dòng)代碼時(shí),其配置確保授權(quán)的移動(dòng)代碼按照清晰定義的安全策略運(yùn)行,應(yīng)阻止執(zhí)行未授權(quán)的移動(dòng)代碼。
6.5 備份
6.5.1備份
應(yīng)按照客戶(hù)的要求以及已設(shè)的備份策略,定期備份和測(cè)試信息和軟件。各個(gè)系統(tǒng)的備份安排應(yīng)定期測(cè)試以確保他們滿足業(yè)務(wù)連續(xù)性計(jì)劃的要求。對(duì)于重要的系統(tǒng),備份安排應(yīng)包括在發(fā)生災(zāi)難時(shí)恢復(fù)整個(gè)系統(tǒng)所必需的所有系統(tǒng)信息、應(yīng)用和數(shù)據(jù)。
應(yīng)確定最重要業(yè)務(wù)信息的保存周期以及對(duì)要永久保存的檔案拷貝的任何要求。
6.6 網(wǎng)絡(luò)安全管理
6.6.1網(wǎng)絡(luò)控制
為了防止使用網(wǎng)絡(luò)時(shí)發(fā)生的威脅和維護(hù)系統(tǒng)與應(yīng)用程序的安全,網(wǎng)絡(luò)要充分受控;網(wǎng)絡(luò)的運(yùn)行職責(zé)與計(jì)算機(jī)系統(tǒng)的運(yùn)行職責(zé)實(shí)現(xiàn)分離;敏感信息在公用網(wǎng)絡(luò)上傳輸時(shí),考慮足夠的加密和訪問(wèn)控制措施。
6.6.2網(wǎng)絡(luò)服務(wù)的安全
網(wǎng)絡(luò)服務(wù)(包括接入服務(wù)、私有網(wǎng)絡(luò)服務(wù)、增值網(wǎng)絡(luò)和受控的網(wǎng)絡(luò)安全解決方案,例如防火墻和入侵檢測(cè)系統(tǒng)等)應(yīng)根據(jù)安全需求,考慮如下安全控制措施:為網(wǎng)絡(luò)服務(wù)應(yīng)用的安全技術(shù),例如認(rèn)證、加密和網(wǎng)絡(luò)連接控制;按照安全和網(wǎng)絡(luò)連接規(guī)則,網(wǎng)絡(luò)服務(wù)的安全連接需要的技術(shù)參數(shù);若需要,網(wǎng)絡(luò)服務(wù)使用程序,以限制對(duì)網(wǎng)絡(luò)服務(wù)或應(yīng)用的訪問(wèn)。
6.7 介質(zhì)管理
6.7 .1可移動(dòng)介質(zhì)的管理
建立適當(dāng)?shù)目梢苿?dòng)介質(zhì)的管理程序,規(guī)范可移動(dòng)介質(zhì)的管理。
可移動(dòng)介質(zhì)包括磁帶、磁盤(pán)、閃盤(pán)、可移動(dòng)硬件驅(qū)動(dòng)器、CD、DVD和打印的介質(zhì)
6.7 .2介質(zhì)的處置
不再需要的介質(zhì),應(yīng)使用正式的程序可靠并安全地處置。保持審計(jì)蹤跡,保留敏感信息的處置記錄。
6.7 .3信息處理程序
建立信息的處理及存儲(chǔ)程序,以防止信息的未授權(quán)的泄漏或不當(dāng)使用。
包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí),應(yīng)防止未授權(quán)的訪問(wèn)、不當(dāng)使用或毀壞。
6.8 信息交換
6.8.1信息交換策略和程序
為了保護(hù)通過(guò)使用各種類(lèi)型的通信設(shè)施進(jìn)行信息交換,是否有正式的信息交換方針、程序和控制措施。
6.8.2外方信息交換協(xié)議
在組織和外方之間進(jìn)行信息/軟件交換時(shí),是否有交換協(xié)議。
6.8.3電子郵件、應(yīng)用系統(tǒng)的信息交換與共享
建立適當(dāng)?shù)目刂拼胧Wo(hù)電子郵件的安全;為了保護(hù)相互連接的業(yè)務(wù)信息系統(tǒng)的信息,開(kāi)發(fā)與實(shí)施相關(guān)的方針和程序。
6.9 監(jiān)控
6.9.1審計(jì)日志
審計(jì)日志需記錄用戶(hù)活動(dòng)、異常事件和信息安全事件;為了幫助未來(lái)的調(diào)查和訪問(wèn)控制監(jiān)視,審計(jì)日志至少應(yīng)保存1年。
6.9.2監(jiān)視系統(tǒng)的使用
應(yīng)建立必要的信息處理設(shè)施的監(jiān)視使用程序,監(jiān)視活動(dòng)的結(jié)果應(yīng)定期評(píng)審。
6.9.3日志信息的保護(hù)
記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù),以防止篡改和未授權(quán)的訪問(wèn)。
6.9.4管理員和操作員日志
系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志。系統(tǒng)管理員與系統(tǒng)操作員無(wú)權(quán)更改或刪除日志。
6.9.5故障日志
與信息處理或通信系統(tǒng)的問(wèn)題有關(guān)的用戶(hù)或系統(tǒng)程序所報(bào)告的故障要加以記錄、分析,并采取適當(dāng)?shù)拇胧?/p>
6.9.6時(shí)鐘同步
一個(gè)安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用已設(shè)的精確時(shí)間源進(jìn)行同步。
5星級(jí)IDC各計(jì)算機(jī)系統(tǒng)的時(shí)鐘與標(biāo)準(zhǔn)時(shí)間的誤差不超過(guò)10秒。
4星級(jí)IDC各計(jì)算機(jī)系統(tǒng)的時(shí)鐘與標(biāo)準(zhǔn)時(shí)間的誤差不超過(guò)25秒。
責(zé)任編輯:黎陽(yáng)錦
-
發(fā)電電力輔助服務(wù)營(yíng)銷(xiāo)決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷(xiāo) -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷(xiāo)決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷(xiāo) -
繞過(guò)安卓SSL驗(yàn)證證書(shū)的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》