現(xiàn)在，ISO27000：2005標(biāo)準(zhǔn)已得到了很多國家的認(rèn)可，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。許多國家的政府機(jī)構(gòu)、銀行、證券、保險公司、電信運(yùn)營商、網(wǎng)絡(luò)公司及許多跨國公司已采用了此標(biāo)準(zhǔn)對信息安全進(jìn)行系統(tǒng)的管理，數(shù)據(jù)中心（IDC）應(yīng)逐步建立并完善標(biāo)準(zhǔn)化的信息安全管理體系。

        隨著在世界范圍內(nèi)，信息化水平的不斷發(fā)展，數(shù)據(jù)中心的信息安全逐漸成為人們關(guān)注的焦點，世界范圍內(nèi)的各個機(jī)構(gòu)、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關(guān)信息安全的本國標(biāo)準(zhǔn)，國際標(biāo)準(zhǔn)化組織（ISO）也發(fā)布了ISO17799、ISO13335、ISO15408等與信息安全相關(guān)的國際標(biāo)準(zhǔn)及技術(shù)報告。目前，在信息安全管理方面，英國標(biāo)準(zhǔn)ISO27000：2005已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)，它是在BSI/DISC的BDD/2信息安全管理委員會指導(dǎo)下制定完成。

         ISO27001標(biāo)準(zhǔn)于1993年由英國貿(mào)易工業(yè)部立項，于1995年英國首次出版BS 7799-1：1995《信息安全管理實施細(xì)則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)，并且適用于大、中、小組織。1998年英國公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ)，它可以作為一個正式認(rèn)證方案的根據(jù)。ISO27000-1與ISO27000-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任。2000年12月，ISO27000-1：1999《信息安全管理實施細(xì)則》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國際標(biāo)準(zhǔn)ISO/IEC17799-1：2000《信息技術(shù)-信息安全管理實施細(xì)則》。2002年9月5日，ISO27000-2：2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式標(biāo)準(zhǔn)，同時ISO27000-2：1999被廢止?，F(xiàn)在，ISO27000：2005標(biāo)準(zhǔn)已得到了很多國家的認(rèn)可，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。許多國家的政府機(jī)構(gòu)、銀行、證券、保險公司、電信運(yùn)營商、網(wǎng)絡(luò)公司及許多跨國公司已采用了此標(biāo)準(zhǔn)對信息安全進(jìn)行系統(tǒng)的管理，數(shù)據(jù)中心（IDC）應(yīng)逐步建立并完善標(biāo)準(zhǔn)化的信息安全管理體系。

      一、 數(shù)據(jù)中心信息安全管理總體要求

       1、信息安全管理架構(gòu)與人員能力要求

       1.1信息安全管理架構(gòu)

        IDC在當(dāng)前管理組織架構(gòu)基礎(chǔ)上，建立信息安全管理委員會，涵蓋信息安全管理、應(yīng)急響應(yīng)、審計、技術(shù)實施等不同職責(zé)，并保證職責(zé)清晰與分離，并形成文件。

        1.2人員能力

        具備標(biāo)準(zhǔn)化 信息安全管理體系內(nèi)部審核員、CISP（Certified Information Security Professional，國家注冊信息安全專家）等相關(guān)資質(zhì)人員。5星級IDC至少應(yīng)具備一名合格的標(biāo)準(zhǔn)化信息安全管理內(nèi)部審核員、一名標(biāo)準(zhǔn)化 主任審核員。4星級IDC至少應(yīng)至少具備一名合格的標(biāo)準(zhǔn)化信息安全管理內(nèi)部審核員

         2、信息安全管理體系文件要求，根據(jù)IDC業(yè)務(wù)目標(biāo)與當(dāng)前實際情況，建立完善而分層次的IDC信息安全管理體系及相應(yīng)的文檔，包含但不限于如下方面：

        2.1信息安全管理體系方針文件

        包括IDC信息安全管理體系的范圍，信息安全的目標(biāo)框架、信息安全工作的總方向和原則，并考慮IDC業(yè)務(wù)需求、國家法律法規(guī)的要求、客戶以及合同要求。

        2.2風(fēng)險評估

       內(nèi)容包括如下流程：識別IDC業(yè)務(wù)范圍內(nèi)的信息資產(chǎn)及其責(zé)任人；識別資產(chǎn)所面臨的威脅；識別可能被威脅利用的脆弱點；識別資產(chǎn)保密性、完整性和可用性的喪失對IDC業(yè)務(wù)造成的影響；評估由主要威脅和脆弱點導(dǎo)致的IDC業(yè)務(wù)安全破壞的現(xiàn)實可能性、對資產(chǎn)的影響和當(dāng)前所實施的控制措施；對風(fēng)險進(jìn)行評級。

       2.3風(fēng)險處理

        內(nèi)容包括：與IDC管理層確定接受風(fēng)險的準(zhǔn)則，確定可接受的風(fēng)險級別等；建立可續(xù)的風(fēng)險處理策略：采用適當(dāng)?shù)目刂拼胧⒔邮茱L(fēng)險、避免風(fēng)險或轉(zhuǎn)移風(fēng)險；控制目標(biāo)和控制措施的選擇和實施，需滿足風(fēng)險評估和風(fēng)險處理過程中所識別的安全要求，并在滿足法律法規(guī)、客戶和合同要求的基礎(chǔ)上達(dá)到最佳成本效益。

      2.4文件與記錄控制

        明確文件制定、發(fā)布、批準(zhǔn)、評審、更新的流程；確保文件的更改和現(xiàn)行修訂狀態(tài)的標(biāo)識、版本控制、識別、訪問控制有完善的流程；并對文件資料的傳輸、貯存和最終銷毀明確做出規(guī)范。

       記錄控制內(nèi)容包括：保留信息安全管理體系運(yùn)行過程執(zhí)行的記錄和所有發(fā)生的與信息安全有關(guān)的重大安全事件的記錄；記錄的標(biāo)識、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實施。

       2.5內(nèi)部審核

        IDC按照計劃的時間間隔進(jìn)行內(nèi)部ISMS審核，以確定IDC的信息安全管理的控制目標(biāo)、控制措施、過程和程序符標(biāo)準(zhǔn)化標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求并得到有效地實施和保持。五星級IDC應(yīng)至少每年1次對信息安全管理進(jìn)行內(nèi)部審核。四星級IDC應(yīng)至少每年1次對信息安全管理進(jìn)行內(nèi)部審核。

      2.6糾正與預(yù)防措施

       IDC建立流程，以消除與信息安全管理要求不符合的原因及潛在原因，以防止其發(fā)生，并形成文件的糾正措施與預(yù)防措施程序無

      2.7控制措施有效性的測量

       定義如何測量所選控制措施的有效性；規(guī)定如何使用這些測量措施，對控制措施的有效性進(jìn)行測量（或評估）。

      2.8管理評審

      IDC管理層按計劃的時間間隔評審內(nèi)部信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性，最終符合IDC業(yè)務(wù)要求。

        五星級IDC管理層應(yīng)至少每年1次對IDC的信息安全管理體系進(jìn)行評審四星級IDC管理層應(yīng)至少每年1次對IDC的信息安全管理體系進(jìn)行評審。

       2.9適用性聲明

        適用性聲明必須至少包括以下3項內(nèi)容： IDC所選擇的控制目標(biāo)和控制措施，及其選擇的理由；當(dāng)前IDC實施的控制目標(biāo)和控制措施；標(biāo)準(zhǔn)化附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的正當(dāng)性理由。

       2.10業(yè)務(wù)連續(xù)性

        過業(yè)務(wù)影響分析，確定IDC業(yè)務(wù)中哪些是關(guān)鍵的業(yè)務(wù)進(jìn)程，分出緊急先后次序； 確定可以導(dǎo)致業(yè)務(wù)中斷的主要災(zāi)難和安全失效、確定它們的影響程度和恢復(fù)時間； 進(jìn)行業(yè)務(wù)影響分析，確定恢復(fù)業(yè)務(wù)所需要的資源和成本，決定對哪些項目制作業(yè)務(wù)連續(xù)性計劃（BCP）/災(zāi)難恢復(fù)計劃（DRP）。

        2.11其它相關(guān)程序

        另外，還應(yīng)建立包括物理與環(huán)境安全、信息設(shè)備管理、新設(shè)施管理、業(yè)務(wù)連續(xù)性管理、災(zāi)難恢復(fù)、人員管理、第三方和外包管理、信息資產(chǎn)管理、工作環(huán)境安全管理、介質(zhì)處理與安全、系統(tǒng)開發(fā)與維護(hù)、法律符合性管理、文件及材料控制、安全事件處理等相關(guān)流程與制度。