数据中心信息安全管理及管控要求（2）

        二、信息安全管控要求

       1、安全方针

        信息安全方针文件与评审建立IDC信息安全方针文件需得到管理层批准、发布并传达给所有员工和外部相关方。

         至少每年一次或当重大变化发生时进行信息安全方针评审。

         2、信息安全组织

        2.1 内部组织

        2.1.1信息安全协调、职责与授权

        信息安全管理委员会包含IDC相关的不同部门的代表；所有的信息安全职责有明确成文的规定；对新信息处理设施，要有管理授权过程。

        2.1.2保密协议

        IDC所有员工须签署保密协议，保密内容涵盖IDC内部敏感信息；保密协议条款每年至少评审一次。

        2.1.3权威部门与利益相关团体的联系

        与相关权威部门（包括，公安部门、消防部门和监管部门）建立沟通管道；与安全专家组、专业协会等相关团体进行沟通。

       2.1.4独立评审

        参考“信息安全管理体系要求”第5和第8条关于管理评审、内部审核的要求，进行独立的评审。

        审核员不能审核评审自己的工作；评审结果交管理层审阅。

       2.2 外方管理

       2.2.1外部第三方的相关风险的识别

        将外部第三方（设备维护商、服务商、顾问、外包方临时人员、实习学生等）对IDC信息处理设施或信息纳入风险评估过程，考虑内容应包括：需要访问的信息处理设施、访问类型（物理、逻辑、网络）、涉及信息的价值和敏感性，及对业务运行的关键程度、访问控制等相关因素。

       建立外部第三方信息安全管理相关管理制度与流程。

       2.2.2客户有关的安全问题

       针对客户信息资产的保护，根据合同以及相关法律、法规要求，进行恰当的保护。

        2.2.3处理第三方协议中的安全问题

        涉及访问、处理、交流（或管理）IDC及IDC客户的信息或信息处理设施的第三方协议，需涵盖所有相关的安全要求。

       3、信息资产管理

       3.1 资产管理职责

       3.1.1资产清单与责任人

       IDC对所有信息资产度进行识别，将所有重要资产都进行登记、建立清单文件并加以维护。

       IDC中所有信息和信息处理设施相关重要资产需指定责任人。

       3.1.2资产使用

       指定信息与信息处理设施使用相关规则，形成了文件并加以实施。

       3.2 信息资产分类

        3.2.1资产分类管理

        根据信息资产对IDC业务的价值、法律要求、敏感性和关键性进行分类，建立一个信息分类指南。

        信息分类指南应涵盖外来的信息资产，尤其是来自客户的信息资产。

        3.2.2信息的标记和处理

        按照IDC所采纳的分类指南建立和实施一组合适的信息标记和处理程序。

        4、人力资源安全

       这里的人员包括IDC雇员、承包方人员和第三方等相关人员。

        4.1信息安全角色与职责

       人员职责说明体现信息安全相关角色和要求。

        4.2背景调查

       人员任职前根据职责要求和岗位对信息安全的要求，采取必要的背景验证。

       4.3雇用的条款和条件

      人员雇佣后，应签署必要的合同，明确雇佣的条件和条款，并包含信息安全相关要求。

      4.4信息安全意识、教育和培训

       入职新员工培训应包含IDC信息安全相关内容。

        至少每年一次对人员进行信息安全意识培训。

        4.5安全违纪处理

        针对安全违规的人员，建立正式的纪律处理程序。

       4.6雇佣的终止与变更

        IDC应清晰规定和分配雇用终止或雇用变更的职责；雇佣协议终止于变更时，及时收回相关信息资产，并调整或撤销相关访问控制权限。