二、信息安全管控要求

       1、安全方針

        信息安全方針文件與評審建立IDC信息安全方針文件需得到管理層批準、發布并傳達給所有員工和外部相關方。

         至少每年一次或當重大變化發生時進行信息安全方針評審。

         2、信息安全組織

        2.1 內部組織

        2.1.1信息安全協調、職責與授權

        信息安全管理委員會包含IDC相關的不同部門的代表；所有的信息安全職責有明確成文的規定；對新信息處理設施，要有管理授權過程。

        2.1.2保密協議

        IDC所有員工須簽署保密協議，保密內容涵蓋IDC內部敏感信息；保密協議條款每年至少評審一次。

        2.1.3權威部門與利益相關團體的聯系

        與相關權威部門（包括，公安部門、消防部門和監管部門）建立溝通管道；與安全專家組、專業協會等相關團體進行溝通。

       2.1.4獨立評審

        參考“信息安全管理體系要求”第5和第8條關于管理評審、內部審核的要求，進行獨立的評審。

        審核員不能審核評審自己的工作；評審結果交管理層審閱。

       2.2 外方管理

       2.2.1外部第三方的相關風險的識別

        將外部第三方（設備維護商、服務商、顧問、外包方臨時人員、實習學生等）對IDC信息處理設施或信息納入風險評估過程，考慮內容應包括：需要訪問的信息處理設施、訪問類型（物理、邏輯、網絡）、涉及信息的價值和敏感性，及對業務運行的關鍵程度、訪問控制等相關因素。

       建立外部第三方信息安全管理相關管理制度與流程。

       2.2.2客戶有關的安全問題

       針對客戶信息資產的保護，根據合同以及相關法律、法規要求，進行恰當的保護。

        2.2.3處理第三方協議中的安全問題

        涉及訪問、處理、交流（或管理）IDC及IDC客戶的信息或信息處理設施的第三方協議，需涵蓋所有相關的安全要求。

       3、信息資產管理

       3.1 資產管理職責

       3.1.1資產清單與責任人

       IDC對所有信息資產度進行識別，將所有重要資產都進行登記、建立清單文件并加以維護。

       IDC中所有信息和信息處理設施相關重要資產需指定責任人。

       3.1.2資產使用

       指定信息與信息處理設施使用相關規則，形成了文件并加以實施。

       3.2 信息資產分類

        3.2.1資產分類管理

        根據信息資產對IDC業務的價值、法律要求、敏感性和關鍵性進行分類，建立一個信息分類指南。

        信息分類指南應涵蓋外來的信息資產，尤其是來自客戶的信息資產。

        3.2.2信息的標記和處理

        按照IDC所采納的分類指南建立和實施一組合適的信息標記和處理程序。

        4、人力資源安全

       這里的人員包括IDC雇員、承包方人員和第三方等相關人員。

        4.1信息安全角色與職責

       人員職責說明體現信息安全相關角色和要求。

        4.2背景調查

       人員任職前根據職責要求和崗位對信息安全的要求，采取必要的背景驗證。

       4.3雇用的條款和條件

      人員雇傭后，應簽署必要的合同，明確雇傭的條件和條款，并包含信息安全相關要求。

      4.4信息安全意識、教育和培訓

       入職新員工培訓應包含IDC信息安全相關內容。

        至少每年一次對人員進行信息安全意識培訓。

        4.5安全違紀處理

        針對安全違規的人員，建立正式的紀律處理程序。

       4.6雇傭的終止與變更

        IDC應清晰規定和分配雇用終止或雇用變更的職責；雇傭協議終止于變更時，及時收回相關信息資產，并調整或撤銷相關訪問控制權限。