數據中心信息安全管理及管控要求（4）

2013-11-12 10:44:27 電力先行網　點擊量：評論 (0)

6、通信和操作管理 6 1 運行程序和職責 6 1 1運行操作程序文件化運行操作程序文件化并加以保持，并方便相關使用人員的訪問。 6 1 2變更管理對信息處理設施和系統的變更是否受控，并考慮：重大變更的標

6、通信和操作管理

6.1 運行程序和職責

6.1.1運行操作程序文件化

運行操作程序文件化并加以保持，并方便相關使用人員的訪問。

6.1.2變更管理

對信息處理設施和系統的變更是否受控，并考慮：重大變更的標識和記錄；變更的策劃和測試；對這種變更的潛在影響的評估，包括安全影響；對建議變更的正式批準程序；向所有有關人員傳達變更細節；返回程序，包括從不成功變更和未預料事態中退出和恢復的程序與職責。

6.1.3職責分離

各類責任及職責范圍應加以分割，以降低未授權或無意識的修改或者不當使用組織資產的機會。

6.1.4開發設施、測試設施和運行設施的分離

開發、測試和運行設施應分離，以減少未授權訪問或改變運行系統的風險。

6.2 第三方服務交付管理

6.2.1服務交付

應確保第三方實施、運行和保持包含在第三方服務交付協議中的安全控制措施、服務定義和交付水準。

IDC應確保第三方保持足夠的服務能力和可使用的計劃以確保商定的服務在大的服務故障或災難后繼續得以保持。

6.2.2第三方服務的監視和評審

應定期監視和評審由第三方提供的服務、報告和記錄，審核也應定期執行，并留下記錄。

6.2.3第三方服務的變更管理

應管理服務提供的變更，包括保持和改進現有的信息安全方針策略、程序和控制措施，要考慮業務系統和涉及過程的關鍵程度及風險的再評估

6.3系統規劃和驗收

6.3.1容量管理

IDC各系統資源的使用應加以監視、調整，并做出對于未來容量要求的預測，以確保擁有所需的系統性能。

系統硬件系統環境的功能、性能和容量要滿足IDC業務處理的和存貯設備的平均使用率宜控制在75%以內。

網絡設備的處理器和內存的平均使用率應控制在75%以內。

6.3.2系統驗收

建立對新信息系統、升級及新版本的驗收準則，并且在開發中和驗收前對系統進行適當的測試。

6.4防范惡意代碼和移動代碼

6.4.1對惡意代碼的控制措施

實施惡意代碼的監測、預防和恢復的控制措施，以及適當的提高用戶安全意識的程序

6.4.2對移動代碼的控制措施

當授權使用移動代碼時，其配置確保授權的移動代碼按照清晰定義的安全策略運行，應阻止執行未授權的移動代碼。

6.5 備份

6.5.1備份

應按照客戶的要求以及已設的備份策略，定期備份和測試信息和軟件。各個系統的備份安排應定期測試以確保他們滿足業務連續性計劃的要求。對于重要的系統，備份安排應包括在發生災難時恢復整個系統所必需的所有系統信息、應用和數據。

應確定最重要業務信息的保存周期以及對要永久保存的檔案拷貝的任何要求。

6.6 網絡安全管理

6.6.1網絡控制

為了防止使用網絡時發生的威脅和維護系統與應用程序的安全，網絡要充分受控；網絡的運行職責與計算機系統的運行職責實現分離；敏感信息在公用網絡上傳輸時，考慮足夠的加密和訪問控制措施。

6.6.2網絡服務的安全

網絡服務（包括接入服務、私有網絡服務、增值網絡和受控的網絡安全解決方案，例如防火墻和入侵檢測系統等）應根據安全需求，考慮如下安全控制措施：為網絡服務應用的安全技術，例如認證、加密和網絡連接控制；按照安全和網絡連接規則，網絡服務的安全連接需要的技術參數；若需要，網絡服務使用程序，以限制對網絡服務或應用的訪問。

6.7 介質管理

6.7 .1可移動介質的管理

建立適當的可移動介質的管理程序，規范可移動介質的管理。

可移動介質包括磁帶、磁盤、閃盤、可移動硬件驅動器、CD、DVD和打印的介質

6.7 .2介質的處置

不再需要的介質，應使用正式的程序可靠并安全地處置。保持審計蹤跡，保留敏感信息的處置記錄。

6.7 .3信息處理程序

建立信息的處理及存儲程序，以防止信息的未授權的泄漏或不當使用。

包含信息的介質在組織的物理邊界以外運送時，應防止未授權的訪問、不當使用或毀壞。

6.8 信息交換

6.8.1信息交換策略和程序

為了保護通過使用各種類型的通信設施進行信息交換，是否有正式的信息交換方針、程序和控制措施。