1数据中心信息安全管理及管控要求随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了 ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准 ISO27000:2005 已经成为世界上应用最广泛与典型的信息安全管理标准,它是在 BSI/DISC 的 BDD/2信息安全管理委员会指导下制定完成。ISO27001标准于 1993 年由英国贸易工业部立项,于1995 年英国首次出版BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998 年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。ISO27000-1 与 ISO27000-2 经过修订于 1999 年重新予以发布, 1999 版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。2000 年 12 月,ISO27000-1:1999《信息安全管理实施细则》 通过了国际标准化组织ISO 的认可,正式成为国际标准ISO/IEC17799-1:2000《信息技术 - 信息安全管理实施细则》 。2002 年 9 月 5 日,ISO27000-2:2002 草案经过广泛的讨论之后,终于发布成为正式标准,同时 ISO27000-2:1999 被废止。现在, ISO27000:2005 标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。许多国家的政2府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对信息安全进行系统的管理,数据中心(IDC)应逐步建立并完善标准化的信息安全管理体系。一、数据中心信息安全管理总体要求1、信息安全管理架构与人员能力要求1.1 信息安全管理架构IDC在当前管理组织架构基础上,建立信息安全管理委员会, 涵盖信息安全管理、应急响应、审计、技术实施等不同职责,并保证职责清晰与分离,并形成文件。1.2 人员能力具备标准化信息安全管理体系内部审核员、CISP(CertifiedInfor...
