|
數(shù)據(jù)中心安全管理���,是通過對數(shù)據(jù)中心安全管理組織���、基礎(chǔ)環(huán)境安全、信息技術(shù)安全的制定和實(shí)施��,來確保數(shù)據(jù)中心的信息安全����、技術(shù)安全和物理安全。
數(shù)據(jù)中心安全管理的關(guān)鍵點(diǎn)包括:
1���、數(shù)據(jù)中心安全管理框架�����。數(shù)據(jù)中心安全管理的框架����,主要考慮下面的基本因素:
(1)安全管理制度與策略。包括安全管理策略�、安全管理制度、安全管理機(jī)構(gòu)和人員安全管理��。
(2)數(shù)據(jù)中心物理與設(shè)備安全���。包括建筑物結(jié)構(gòu)安全、數(shù)據(jù)中心電力安全���、空調(diào)系統(tǒng)及通信安全和數(shù)據(jù)中心安保系統(tǒng)���。
(3)數(shù)據(jù)中心信息技術(shù)安全。包括資產(chǎn)安全管理�����、通信安全管理�、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理��、數(shù)據(jù)安全管理����、軟件開發(fā)安全和數(shù)據(jù)中心權(quán)限安全。
2、數(shù)據(jù)中心安全管理總則�����。數(shù)據(jù)中心安全管理的總則�,包括下面的基本內(nèi)容:
(1)應(yīng)制訂明確的數(shù)據(jù)中心系統(tǒng)總體安全保障目標(biāo),建立數(shù)據(jù)中心信息安全管理工作的總體方針和策略����,將數(shù)據(jù)中心信息安全保障及信息安全風(fēng)險(xiǎn)管理納入公司全面風(fēng)險(xiǎn)管理體系。
(2)應(yīng)結(jié)合數(shù)據(jù)中心發(fā)展戰(zhàn)略及業(yè)務(wù)特點(diǎn)�,建立數(shù)據(jù)中心信息安全保障以及信息安全風(fēng)險(xiǎn)管理框架、策略及流程�����,制訂針對數(shù)據(jù)中心運(yùn)行與維護(hù)����、備份與恢復(fù)、應(yīng)急事件處置�,以及客戶系統(tǒng)運(yùn)維、信息保密等的安全策略�。
(3)應(yīng)制訂數(shù)據(jù)中心系統(tǒng)使用的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備��、安全設(shè)備的配置和使用的安全策略。
(4)應(yīng)建立數(shù)據(jù)中心信息安全風(fēng)險(xiǎn)管理策略���,至少包括風(fēng)險(xiǎn)評價(jià)和定級��、風(fēng)險(xiǎn)偏好��、容忍度及參數(shù)制訂�����、風(fēng)險(xiǎn)控制、成本及效益評價(jià)��、控制措施有效性評價(jià)策略等�����,應(yīng)根據(jù)數(shù)據(jù)中心發(fā)展及檢查審計(jì)結(jié)果��,定期修訂策略���。
(5)應(yīng)建立數(shù)據(jù)中心信息安全風(fēng)險(xiǎn)的持續(xù)監(jiān)測機(jī)制���,建立風(fēng)險(xiǎn)預(yù)警���、報(bào)告、響應(yīng)和處理機(jī)制���,明確風(fēng)險(xiǎn)報(bào)告的內(nèi)容�����、流程��、主客體以及頻率���,建立符合數(shù)據(jù)中心實(shí)際狀況的關(guān)鍵風(fēng)險(xiǎn)指標(biāo)體系,實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)監(jiān)測的自動(dòng)化����,保證高級管理層和相關(guān)部門及時(shí)獲取數(shù)據(jù)中心信息安全風(fēng)險(xiǎn)變化,驗(yàn)證現(xiàn)有控制措施的有效性���。
(6)對于衍生的數(shù)據(jù)中心信息安全風(fēng)險(xiǎn)以及未按計(jì)劃達(dá)到的控制目標(biāo)��,應(yīng)重新啟動(dòng)信息安全風(fēng)險(xiǎn)評估流程���,制定和選擇新的風(fēng)險(xiǎn)控制措施����,對已接受的風(fēng)險(xiǎn)���,定期進(jìn)行再評估��。
(7)應(yīng)按照國家及行業(yè)信息系統(tǒng)信息安全等級保護(hù)工作有關(guān)要求�����,開展數(shù)據(jù)中心系統(tǒng)信息安全測評及整改工作��。
(8)在選擇外部評估時(shí)����,應(yīng)對其加強(qiáng)安全管理�����,簽訂保密協(xié)議或在相關(guān)服務(wù)協(xié)議中明確保密條款��,避免泄漏敏感信息�����。
(9)應(yīng)做好數(shù)據(jù)中心相關(guān)的新業(yè)務(wù)(IaaS云計(jì)算等)設(shè)計(jì)以及主要技術(shù)路線選擇等關(guān)鍵規(guī)劃的深入論證工作�,關(guān)注產(chǎn)品及技術(shù)路線的合規(guī)性、相關(guān)業(yè)務(wù)及技術(shù)規(guī)則的一致性和延續(xù)性���,以及系統(tǒng)間的關(guān)聯(lián)性、依賴性��,平衡客戶體驗(yàn)和安全性��,通過增加關(guān)鍵控制機(jī)制等措施防范潛在重要安全隱患���,避免產(chǎn)生潛在的信息安全風(fēng)險(xiǎn)��。
(10)若人力���、資源情況等條件許可,應(yīng)規(guī)定所有與數(shù)據(jù)中心相關(guān)的信息資產(chǎn)的安全級別���,并制訂與其安全級別相對應(yīng)的保護(hù)措施���。
3、安全組織架構(gòu)�����。
(1)崗位設(shè)置。應(yīng)設(shè)立信息安全管理工作的職能部門���,設(shè)立安全主管�、安全管理各個(gè)方面的負(fù)責(zé)人崗位���,并定義各負(fù)責(zé)人的職責(zé)�����;應(yīng)設(shè)立系統(tǒng)管理員��、網(wǎng)絡(luò)管理員�����、安全管理員等崗位,并定義各個(gè)工作崗位的職責(zé)��;建立由董事會(huì)�����、高級管理層負(fù)責(zé)、相關(guān)各部門負(fù)責(zé)人及內(nèi)部專家參與的數(shù)據(jù)中心信息安全領(lǐng)導(dǎo)協(xié)調(diào)機(jī)制�;應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求����。
(2)人員配備。應(yīng)配備一定數(shù)量的系統(tǒng)管理員��、網(wǎng)絡(luò)管理員��、安全管理員等����;應(yīng)配備專職安全管理員,實(shí)行A�����、B崗制度�,不可兼任其他崗位;關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理�����。
(3)授權(quán)和審批。應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)����、審批部門和批準(zhǔn)人等;應(yīng)針對系統(tǒng)變更���、重要操作��、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序����,按照審批程序執(zhí)行審批過程��,對重要活動(dòng)建立逐級審批制度����;應(yīng)定期審查審批事項(xiàng),及時(shí)更新需授權(quán)和審批的項(xiàng)目�、審批部門和審批人等信息;應(yīng)記錄審批過程并保存審批文檔�����;用戶應(yīng)被授予完成所承擔(dān)任務(wù)所需的最小權(quán)限����,重要崗位的員工之間應(yīng)形成相互制約的關(guān)系。權(quán)限變更應(yīng)執(zhí)行相關(guān)審批流程�,并有完整的變更記錄;應(yīng)建立系統(tǒng)用戶及權(quán)限清單�����,定期對員工權(quán)限進(jìn)行檢查核對���,發(fā)現(xiàn)越權(quán)用戶要查明原因并及時(shí)調(diào)整����,同時(shí)清理過期用戶權(quán)限����,做好記錄歸檔。
(4)溝通和合作���。應(yīng)加強(qiáng)各類管理人員之間��、組織內(nèi)部機(jī)構(gòu)之間�,以及信息安全職能部門內(nèi)部的合作與溝通�����,定期或不定期召開協(xié)調(diào)會(huì)議,共同協(xié)作處理信息安全問題�����;應(yīng)加強(qiáng)與兄弟公司�、國家信息安全中心、公安機(jī)關(guān)�、電信、網(wǎng)通等ISP公司的合作溝通以及應(yīng)急協(xié)調(diào)機(jī)制�����,有效處置網(wǎng)絡(luò)與信息安全事件��;應(yīng)加強(qiáng)與供應(yīng)商��、業(yè)界專家�����、專業(yè)的安全公司���、安全組織的合作與溝通��,增強(qiáng)日常安全防護(hù)�����、突發(fā)事件處置�����、故障處理等方面的能力�����;應(yīng)建立外聯(lián)公司聯(lián)系列表�����,包括外聯(lián)公司名稱����、合作內(nèi)容����、聯(lián)系人和聯(lián)系方式等信息;應(yīng)關(guān)注和參加行業(yè)內(nèi)信息安全研討�����,學(xué)習(xí)更新安全知識(shí)和理念;應(yīng)聘請信息安全專家作為常年的安全顧問��,指導(dǎo)信息安全建設(shè)�,參與安全規(guī)劃和安全評審等。
(5)審核與檢查����。安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行�����、系統(tǒng)漏洞和數(shù)據(jù)備份等情況���;應(yīng)由內(nèi)部人員或?qū)徲?jì)公司定期進(jìn)行全面安全檢查�,至少每年開展一次數(shù)據(jù)中心全面安全檢查�,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性�、安全管理制度的執(zhí)行情況等;內(nèi)部審計(jì)部門應(yīng)至少每兩年對數(shù)據(jù)中心開展一次審計(jì)�����,審計(jì)內(nèi)容至少包括相關(guān)管理制度的完備性及其執(zhí)行的有效性,相關(guān)操作流程的合理性與合規(guī)性�,信息安全保障體系的完備性和有效性,信息安全風(fēng)險(xiǎn)管理�����、規(guī)劃實(shí)施�����、信息系統(tǒng)運(yùn)行的安全性及重要客戶信息和數(shù)據(jù)的安全性���、應(yīng)急管理、外包管理的有效性��、SLA執(zhí)行情況�,以及其它重要信息安全保障的情況;評估和管理第三方公司或外包項(xiàng)目的安全�����。(本文節(jié)選自《中國數(shù)據(jù)中心運(yùn)維管理指針》����,如需購買或轉(zhuǎn)載請留下您的聯(lián)系電話及郵箱發(fā)送留言至本公眾號(hào)��,將有工作人員與您聯(lián)系)
|
