据报道,经国际权威认证机构的严格审核,江苏电信的三个五星级数据中心全部通过IS027001:2005信息安全管理体系认证,获得UKAS(英国皇家认可委员会)认可的IS027001证书。数据中心作为中国电信集团主营业务之一,通过ISO27001信息安全管理体系认证,说明北京电信数据中心较早认识到信息安全重要性并且达到了国际先进的管理水平。
信息安全重要性
信息管理体系(ISMS)的完善
ISO27001标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。将信息安全国际标准(ISO27001)作为数据中心信息安全工作的依据,通过风险评估有效地识别和控制信息安全风险,以持续改进的管理理念不断提升中心信息安全的工作水平,规范数据中心所有员工对员工PC、电子邮件、移动办公、互联网、移动存储及一些涉及信息安全方面的办公设备等的管理和使用,明确数据中心员工在发生信息安全事件时应该采取的应对措施。
在管理组织架构基础上,建立信息安全管理委员会、信息安全各职能组统筹和执行信息安全工作,制定全面的信息安全策略、制度和程序,实施各项风险控制措施,使所有员工具备了信息安全意识并承担相应的责任。通过实施规范的信息安全管理体系,可以提高信息安全的保密性、完整性和可用性;通过信息安全风险评估和风险控制,降低信息所面对的安全风险;减少可能潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。
因此,通过信息安全体系(ISMS)构建一个高效、安全的数据中心运营环境,为用户的业务发展起到保驾护航的作用。
信息安全技术的应用
在Internet飞速发展的今天,互联网数据中心在互联网中的应用和管理中处于核心地位,其面对的客户网络形态多样,客户的层次多样,因此,IDC能否为用户提供一个安全的网络环境,将直接影响到能否为用户提供业务的高可用性和连续性的保障。
审核组
目前IDC网络面临的攻击威胁越来越严重,北京电信IDC为此制定了完备的IDC防护体系,以安全策略的制定、防御系统、监控与检测、响应与恢复等各个环节动态相连接,并与安全管理、日志、策略管理、负载均衡等安全部件协同工作,分步骤建立和实施安全体系。
分布式拒绝服务(DDoS)攻击,最常见的也是对IDC网络面临较为频繁的攻击行为。这些攻击通过向特定目标发送大量的恶意请求,使用户服务器和网络设备性能降低和网络服务的中断,或者致使用户上联带宽饱和,从而导致用户无法正常访问网络资源。以目前DDoS攻击能力,大流量网络攻击已成为当前主流趋势,流量上1G的攻击已经很普遍,甚至时有发生上流量10G的攻击,受影响的不只是被攻击的用户,还会波及相当数量的其他用户,更甚影响IDC的基础网络架构。
IS027001信息安全管理体系的建立步骤
数据中心IS027001信息安全管理体系建立的基本步骤分为以下五个阶段,现场诊断、风险评估、体系制度编写、试运行(包括内部审核、管理评审等)和外部审核。
1、体系建设初期,通过实施现场访谈、查阅资料等调研方式收集数据中心信息安全管理现状的基本信息,并将结果与IS027001信息安全管理体系标准进行比对和差异分析,得出数据中心信息安全现状和IS027001信息安全管理体系标准之间的差异。
2、风险评估。数据中心采用国际通用、标准的方法和准则实施风险评估,使风险控制达到管理层可接受的水平。
听取审核组意见
3、体系制度的编写工作。制度体系的建设需全面涵盖信息安全管理11个安全领域中适用数据中心的所有控制目标和控制要求,一方面,需要将欠缺或差异的信息安全管理要求补充完善进数据中心制度体系,另一方面,将风险评估结果中需要调整现有制度的内容及时纳入数据中心制度中,全方位地建立健全信息安全管理制度体系。
4、体系制度编写完成并正式发布后进入试运行阶段,实施数据中心的ISMS内部审核、ISMS的管理评审,并对审核、评审发现的不符合项等结果进行纠正和预防,采用PDCA循环管理过程方法使信息安全管理体系得到持续改进。
5、在实施PDCA循环持续改进的信息安全管理体系建没和完善后,接受外部审核,顺利获得IS027001信息安全管理体系证书。
数据中心IS027001信息安全管理体系建立,通过几年来不断完善管理,优化工作流程,加强员工安全意识,通过信息管理体系(ISMS)的完善、信息安全技术的应用以及国家信息安全政策的支撑三个方面系统管理来确保数据中心的信息安全。
声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:16654279@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。
15010987611
点击咨询 