現(xiàn)在，ISO27000：2005標準已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準。許多國家的政府機構(gòu)、銀行、證券、保險公司、電信運營商、網(wǎng)絡公司及許多跨國公司已采用了此標準對信息安全進行系統(tǒng)的管理，數(shù)據(jù)中心（IDC）應逐步建立并完善標準化的信息安全管理體系。

        隨著在世界范圍內(nèi)，信息化水平的不斷發(fā)展，數(shù)據(jù)中心的信息安全逐漸成為人們關(guān)注的焦點，世界范圍內(nèi)的各個機構(gòu)、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關(guān)信息安全的本國標準，國際標準化組織（ISO）也發(fā)布了ISO17799、ISO13335、ISO15408等與信息安全相關(guān)的國際標準及技術(shù)報告。目前，在信息安全管理方面，英國標準ISO27000：2005已經(jīng)成為世界上應用最廣泛與典型的信息安全管理標準，它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。

         ISO27001標準于1993年由英國貿(mào)易工業(yè)部立項，于1995年英國首次出版BS 7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準，并且適用于大、中、小組織。1998年英國公布標準的第二部分《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據(jù)。ISO27000-1與ISO27000-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡和通信領(lǐng)域應用的近期發(fā)展，同時還非常強調(diào)了商務涉及的信息安全及信息安全的責任。2000年12月，ISO27000-1：1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準ISO/IEC17799-1：2000《信息技術(shù)-信息安全管理實施細則》。2002年9月5日，ISO27000-2：2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式標準，同時ISO27000-2：1999被廢止。現(xiàn)在，ISO27000：2005標準已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準。許多國家的政府機構(gòu)、銀行、證券、保險公司、電信運營商、網(wǎng)絡公司及許多跨國公司已采用了此標準對信息安全進行系統(tǒng)的管理，數(shù)據(jù)中心（IDC）應逐步建立并完善標準化的信息安全管理體系。

      一、 數(shù)據(jù)中心信息安全管理總體要求

       1、信息安全管理架構(gòu)與人員能力要求

       1.1信息安全管理架構(gòu)

        IDC在當前管理組織架構(gòu)基礎上，建立信息安全管理委員會，涵蓋信息安全管理、應急響應、審計、技術(shù)實施等不同職責，并保證職責清晰與分離，并形成文件。

        1.2人員能力

        具備標準化 信息安全管理體系內(nèi)部審核員、CISP（Certified Information Security Professional，國家注冊信息安全專家）等相關(guān)資質(zhì)人員。5星級IDC至少應具備一名合格的標準化信息安全管理內(nèi)部審核員、一名標準化 主任審核員。4星級IDC至少應至少具備一名合格的標準化信息安全管理內(nèi)部審核員

         2、信息安全管理體系文件要求，根據(jù)IDC業(yè)務目標與當前實際情況，建立完善而分層次的IDC信息安全管理體系及相應的文檔，包含但不限于如下方面：

        2.1信息安全管理體系方針文件

        包括IDC信息安全管理體系的范圍，信息安全的目標框架、信息安全工作的總方向和原則，并考慮IDC業(yè)務需求、國家法律法規(guī)的要求、客戶以及合同要求。

        2.2風險評估

       內(nèi)容包括如下流程：識別IDC業(yè)務范圍內(nèi)的信息資產(chǎn)及其責任人；識別資產(chǎn)所面臨的威脅；識別可能被威脅利用的脆弱點；識別資產(chǎn)保密性、完整性和可用性的喪失對IDC業(yè)務造成的影響；評估由主要威脅和脆弱點導致的IDC業(yè)務安全破壞的現(xiàn)實可能性、對資產(chǎn)的影響和當前所實施的控制措施；對風險進行評級。

       2.3風險處理

        內(nèi)容包括：與IDC管理層確定接受風險的準則，確定可接受的風險級別等；建立可續(xù)的風險處理策略：采用適當?shù)目刂拼胧⒔邮茱L險、避免風險或轉(zhuǎn)移風險；控制目標和控制措施的選擇和實施，需滿足風險評估和風險處理過程中所識別的安全要求，并在滿足法律法規(guī)、客戶和合同要求的基礎上達到最佳成本效益。

      2.4文件與記錄控制

        明確文件制定、發(fā)布、批準、評審、更新的流程；確保文件的更改和現(xiàn)行修訂狀態(tài)的標識、版本控制、識別、訪問控制有完善的流程；并對文件資料的傳輸、貯存和最終銷毀明確做出規(guī)范。

       記錄控制內(nèi)容包括：保留信息安全管理體系運行過程執(zhí)行的記錄和所有發(fā)生的與信息安全有關(guān)的重大安全事件的記錄；記錄的標識、貯存、保護、檢索、保存期限和處置所需的控制措施應形成文件并實施。

       2.5內(nèi)部審核

        IDC按照計劃的時間間隔進行內(nèi)部ISMS審核，以確定IDC的信息安全管理的控制目標、控制措施、過程和程序符標準化標準和相關(guān)法律法規(guī)的要求并得到有效地實施和保持。五星級IDC應至少每年1次對信息安全管理進行內(nèi)部審核。四星級IDC應至少每年1次對信息安全管理進行內(nèi)部審核。

      2.6糾正與預防措施

       IDC建立流程，以消除與信息安全管理要求不符合的原因及潛在原因，以防止其發(fā)生，并形成文件的糾正措施與預防措施程序無

      2.7控制措施有效性的測量

       定義如何測量所選控制措施的有效性；規(guī)定如何使用這些測量措施，對控制措施的有效性進行測量（或評估）。

      2.8管理評審

      IDC管理層按計劃的時間間隔評審內(nèi)部信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性，最終符合IDC業(yè)務要求。

        五星級IDC管理層應至少每年1次對IDC的信息安全管理體系進行評審四星級IDC管理層應至少每年1次對IDC的信息安全管理體系進行評審。

       2.9適用性聲明

        適用性聲明必須至少包括以下3項內(nèi)容： IDC所選擇的控制目標和控制措施，及其選擇的理由；當前IDC實施的控制目標和控制措施；標準化附錄A中任何控制目標和控制措施的刪減，以及刪減的正當性理由。

       2.10業(yè)務連續(xù)性

        過業(yè)務影響分析，確定IDC業(yè)務中哪些是關(guān)鍵的業(yè)務進程，分出緊急先后次序； 確定可以導致業(yè)務中斷的主要災難和安全失效、確定它們的影響程度和恢復時間； 進行業(yè)務影響分析，確定恢復業(yè)務所需要的資源和成本，決定對哪些項目制作業(yè)務連續(xù)性計劃（BCP）/災難恢復計劃（DRP）。

        2.11其它相關(guān)程序

        另外，還應建立包括物理與環(huán)境安全、信息設備管理、新設施管理、業(yè)務連續(xù)性管理、災難恢復、人員管理、第三方和外包管理、信息資產(chǎn)管理、工作環(huán)境安全管理、介質(zhì)處理與安全、系統(tǒng)開發(fā)與維護、法律符合性管理、文件及材料控制、安全事件處理等相關(guān)流程與制度。