数据中心信息安全管理及管控要求（4）

2013-11-12 10:44:27 电力先行网　点击量：评论 (0)

6、通信和操作管理 6 1 运行程序和职责 6 1 1运行操作程序文件化运行操作程序文件化并加以保持，并方便相关使用人员的访问。 6 1 2变更管理对信息处理设施和系统的变更是否受控，并考虑：重大变更的标

6、通信和操作管理

6.1 运行程序和职责

6.1.1运行操作程序文件化

运行操作程序文件化并加以保持，并方便相关使用人员的访问。

6.1.2变更管理

对信息处理设施和系统的变更是否受控，并考虑：重大变更的标识和记录；变更的策划和测试；对这种变更的潜在影响的评估，包括安全影响；对建议变更的正式批准程序；向所有有关人员传达变更细节；返回程序，包括从不成功变更和未预料事态中退出和恢复的程序与职责。

6.1.3职责分离

各类责任及职责范围应加以分割，以降低未授权或无意识的修改或者不当使用组织资产的机会。

6.1.4开发设施、测试设施和运行设施的分离

开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的风险。

6.2 第三方服务交付管理

6.2.1服务交付

应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。

IDC应确保第三方保持足够的服务能力和可使用的计划以确保商定的服务在大的服务故障或灾难后继续得以保持。

6.2.2第三方服务的监视和评审

应定期监视和评审由第三方提供的服务、报告和记录，审核也应定期执行，并留下记录。

6.2.3第三方服务的变更管理

应管理服务提供的变更，包括保持和改进现有的信息安全方针策略、程序和控制措施，要考虑业务系统和涉及过程的关键程度及风险的再评估

6.3系统规划和验收

6.3.1容量管理

IDC各系统资源的使用应加以监视、调整，并做出对于未来容量要求的预测，以确保拥有所需的系统性能。

系统硬件系统环境的功能、性能和容量要满足IDC业务处理的和存贮设备的平均使用率宜控制在75%以内。

网络设备的处理器和内存的平均使用率应控制在75%以内。

6.3.2系统验收

建立对新信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。

6.4防范恶意代码和移动代码

6.4.1对恶意代码的控制措施

实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序

6.4.2对移动代码的控制措施

当授权使用移动代码时，其配置确保授权的移动代码按照清晰定义的安全策略运行，应阻止执行未授权的移动代码。

6.5 备份

6.5.1备份

应按照客户的要求以及已设的备份策略，定期备份和测试信息和软件。各个系统的备份安排应定期测试以确保他们满足业务连续性计划的要求。对于重要的系统，备份安排应包括在发生灾难时恢复整个系统所必需的所有系统信息、应用和数据。

应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求。

6.6 网络安全管理

6.6.1网络控制

为了防止使用网络时发生的威胁和维护系统与应用程序的安全，网络要充分受控；网络的运行职责与计算机系统的运行职责实现分离；敏感信息在公用网络上传输时，考虑足够的加密和访问控制措施。

6.6.2网络服务的安全

网络服务（包括接入服务、私有网络服务、增值网络和受控的网络安全解决方案，例如防火墙和入侵检测系统等）应根据安全需求，考虑如下安全控制措施：为网络服务应用的安全技术，例如认证、加密和网络连接控制；按照安全和网络连接规则，网络服务的安全连接需要的技术参数；若需要，网络服务使用程序，以限制对网络服务或应用的访问。

6.7 介质管理

6.7 .1可移动介质的管理

建立适当的可移动介质的管理程序，规范可移动介质的管理。

可移动介质包括磁带、磁盘、闪盘、可移动硬件驱动器、CD、DVD和打印的介质

6.7 .2介质的处置

不再需要的介质，应使用正式的程序可靠并安全地处置。保持审计踪迹，保留敏感信息的处置记录。

6.7 .3信息处理程序

建立信息的处理及存储程序，以防止信息的未授权的泄漏或不当使用。

包含信息的介质在组织的物理边界以外运送时，应防止未授权的访问、不当使用或毁坏。

6.8 信息交换

6.8.1信息交换策略和程序

为了保护通过使用各种类型的通信设施进行信息交换，是否有正式的信息交换方针、程序和控制措施。