運(yùn)用標(biāo)準(zhǔn)化方法提高數(shù)據(jù)中心信息安全管理水平

●　陜西省標(biāo)準(zhǔn)化研究院　李琪

運(yùn)用標(biāo)準(zhǔn)化方法提高數(shù)據(jù)中心信息安全管理水平

●陜西省標(biāo)準(zhǔn)化研究院李琪

聯(lián)系國內(nèi)外信息安全標(biāo)準(zhǔn)化工作現(xiàn)狀，結(jié)合GB/T 22080-2008和GB/T 22081-2008兩項(xiàng)標(biāo)準(zhǔn)，對數(shù)據(jù)中心面臨的信息安全風(fēng)險進(jìn)行梳理，針對性地給出信息安全管理和風(fēng)險控制方法，使數(shù)據(jù)中心的信息安全管理進(jìn)一步貫徹先進(jìn)標(biāo)準(zhǔn)理念，并使數(shù)據(jù)中心的信息安全管理水平得到有效提高。

標(biāo)準(zhǔn)化數(shù)據(jù)中心信息安全管理

引言

隨著信息技術(shù)的飛速發(fā)展，人類已經(jīng)大步跨入信息化社會。然而，信息化社會在帶來許多前所未有的便捷的同時，信息安全風(fēng)險也逐漸增大。信息安全技術(shù)的缺乏、信息系統(tǒng)中的大量安全漏洞、網(wǎng)絡(luò)上遍布的病毒木馬、管理上的不規(guī)范和操作人員的安全意識淡薄，這些都導(dǎo)致嚴(yán)重的信息安全問題，從而給不法分子可乘之機(jī)，給人民財產(chǎn)安全甚至國家安全帶來重大隱患。

2014年，有安全平臺披露國內(nèi)在線旅游市場份額最大的服務(wù)商——攜程網(wǎng)安全支付日志存在漏洞，可導(dǎo)致大規(guī)模用戶信息如姓名、身份證號、銀行卡類別、銀行卡號、銀行卡CVV碼（信用卡背面的3位數(shù)安全碼）等信息泄露。這些數(shù)據(jù)一旦落入黑客手中，盜刷銀行卡幾乎輕而易舉。另外，在2015年春運(yùn)前夕，“12306”網(wǎng)站超過100 000余條的用戶數(shù)據(jù)遭到泄漏，經(jīng)分析后得知數(shù)據(jù)泄露的主要原因是黑客的“撞庫攻擊”。類似的案例還有很多，這些案例都使人們不得不重新審視周邊的信息安全風(fēng)險，相關(guān)機(jī)構(gòu)在推進(jìn)信息化的同時，不得不提高信息安全管理水平。

對于信息化這把“雙刃劍”的使用，一方面應(yīng)繼續(xù)利用信息技術(shù)提升生產(chǎn)力和人民生活水平；另一方面，也應(yīng)該高度重視信息安全風(fēng)險，加強(qiáng)研究信息安全技術(shù)和制定相關(guān)標(biāo)準(zhǔn)，使信息安全在信息化進(jìn)程中發(fā)揮保障作用。

許多機(jī)關(guān)單位、事業(yè)單位和銀行、電信等行業(yè)機(jī)構(gòu)都設(shè)有數(shù)據(jù)中心以負(fù)責(zé)數(shù)據(jù)庫和信息系統(tǒng)的建設(shè)、運(yùn)行和維護(hù)工作。數(shù)據(jù)中心對于各類信息系統(tǒng)的安全穩(wěn)定運(yùn)行起著重要的支撐作用，但同時也面臨嚴(yán)重的信息安全風(fēng)險和威脅?！叭旨夹g(shù)，七分管理”，要使信息系統(tǒng)安全穩(wěn)定運(yùn)行并為信息化社會提供支撐和保障，數(shù)據(jù)中心不但應(yīng)完善相關(guān)信息安全技術(shù)，更應(yīng)該借鑒、吸收和采用國內(nèi)外先進(jìn)標(biāo)準(zhǔn)，運(yùn)用標(biāo)準(zhǔn)化方法有效提高信息安全管理水平。

信息安全管理與標(biāo)準(zhǔn)化

信息安全不僅是技術(shù)問題，也是管理問題。標(biāo)準(zhǔn)化是完善管理職能、提高管理效率的好方法。信息安全管理離不開信息安全標(biāo)準(zhǔn)化，而信息安全標(biāo)準(zhǔn)化離不開一系列信息安全標(biāo)準(zhǔn)。信息安全標(biāo)準(zhǔn)是信息安全保障體系建設(shè)的技術(shù)支撐，是維護(hù)國家利益和保障國家安全的一項(xiàng)重要工具。

信息安全管理的標(biāo)準(zhǔn)化工作首先起始于國外。上世紀(jì)90年代，國際上已有許多成熟的信息安全管理標(biāo)準(zhǔn)，其中應(yīng)用最廣泛的是BS7799。BS7799是由英國標(biāo)準(zhǔn)協(xié)會（British Standard Institute， BSI）于1995年2月制定，并被國際標(biāo)準(zhǔn)化組織（International Standardization Organization， ISO）和國際電工委員會（International Electrotechnical Commission， IEC）共同吸納為ISO/IEC 27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》和ISO/IEC 27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》兩項(xiàng)標(biāo)準(zhǔn)。2013年，ISO在修訂ISO/IEC 27001:2005和ISO/IEC 27002:2005的基礎(chǔ)上發(fā)布了ISO/IEC 27001:2013和ISO/IEC 27001:2013。新標(biāo)準(zhǔn)提供了更加全面系統(tǒng)的信息安全管理體系，適應(yīng)了信息通信技術(shù)新形勢下的信息安全管理要求。

ISO/IEC 27001是ISO/IEC 27000標(biāo)準(zhǔn)族的主標(biāo)準(zhǔn)，也是目前世界上唯一的信息安全管理標(biāo)準(zhǔn)，成為“信息安全管理”的國際通用語言，被全球5 000多家政府機(jī)構(gòu)和大型企業(yè)所采用。ISO/IEC 27001采用的方法是通過“風(fēng)險評估”和“風(fēng)險管理”切入企業(yè)的信息安全需求，有效降低企業(yè)面臨的風(fēng)險。利用ISO/IEC 27001建立信息安全管理體系已成為各類組織機(jī)構(gòu)，特別是高科技產(chǎn)業(yè)和金融機(jī)構(gòu)控制風(fēng)險不可缺少的重要機(jī)制。

我國信息安全標(biāo)準(zhǔn)化工作起始于上世紀(jì)80年代，直至2002年，我國信息安全標(biāo)準(zhǔn)化工作取得了許多豐碩的早期成果。2002年4月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（以下簡稱“信安標(biāo)委”）的成立，標(biāo)志著我國信息安全標(biāo)準(zhǔn)化工作進(jìn)入了“統(tǒng)籌規(guī)劃，協(xié)調(diào)發(fā)展”的新時期。信安標(biāo)委在成立后聯(lián)合國家各部門制定了一系列涵蓋信息安全各方面、解決信息安全關(guān)鍵問題的國家標(biāo)準(zhǔn)，開展了許多富有成效的工作。

2008年，信安標(biāo)委發(fā)布了GB/T 22080-2008和GB/T 22081-2008兩項(xiàng)標(biāo)準(zhǔn)，分別等同采用ISO/IEC 27001:2005和ISO/IEC 27002:2005.

數(shù)據(jù)中心信息安全風(fēng)險

下面以陜西省組織機(jī)構(gòu)代碼管理中心機(jī)房作為數(shù)據(jù)中心的考察原型，討論數(shù)據(jù)中心面臨的幾種最主要的安全風(fēng)險，為構(gòu)建貫徹先進(jìn)標(biāo)準(zhǔn)理念的數(shù)據(jù)中心信息安全管理體系和提高數(shù)據(jù)中心信息安全管理水平奠定基礎(chǔ)。

1.數(shù)據(jù)泄漏風(fēng)險

數(shù)據(jù)中心服務(wù)器儲存的數(shù)據(jù)往往涉及個人隱私、單位信息甚至國家機(jī)密，因此數(shù)據(jù)中心面臨較大的數(shù)據(jù)泄露風(fēng)險。數(shù)據(jù)泄露的途徑主要有以下幾種：

（1）入侵泄露

服務(wù)器通過網(wǎng)絡(luò)設(shè)備接入各類業(yè)務(wù)系統(tǒng)以支持工作的正常開展，然而網(wǎng)絡(luò)并不是絕對安全，存在許多安全隱患。黑客可以通過網(wǎng)絡(luò)與操作系統(tǒng)漏洞侵入數(shù)據(jù)庫服務(wù)器，竊取機(jī)密數(shù)據(jù)。病毒、木馬等惡意程序一旦進(jìn)入服務(wù)器操作系統(tǒng)，會將機(jī)密數(shù)據(jù)通過后門發(fā)送給不法分子。

（2）人員泄露

不法人員進(jìn)入數(shù)據(jù)中心機(jī)房，并獲取數(shù)據(jù)庫服務(wù)器的訪問權(quán)限后，會造成機(jī)密數(shù)據(jù)泄露。此外，數(shù)據(jù)中心工作人員缺乏信息安全意識，不了解信息安全策略、技術(shù)和相關(guān)法律知識，從而有可能做出違法違規(guī)行為，導(dǎo)致數(shù)據(jù)泄露事件的發(fā)生。

（3）傳輸泄露

數(shù)據(jù)中心與數(shù)據(jù)應(yīng)用單位和其他數(shù)據(jù)中心存在數(shù)據(jù)交換的傳輸信道，這條信道通常是加密信道或?qū)＞€，但是數(shù)據(jù)傳輸信道加密和認(rèn)證技術(shù)的安全等級不一定能夠滿足信息安全要求，并且傳輸信道大多數(shù)暴露在自然界，極易被不法分子竊聽和篡改。

（4）存儲介質(zhì)泄露

遷移或交換數(shù)據(jù)時經(jīng)常使用可移動介質(zhì)來暫存數(shù)據(jù)，這給數(shù)據(jù)中心增加了數(shù)據(jù)泄露風(fēng)險。U盤、移動硬盤等可移動介質(zhì)管理難度大、丟失率高，并且極易攜帶惡意軟件，會給數(shù)據(jù)機(jī)密性帶來嚴(yán)重威脅。

2.病毒和木馬

病毒和木馬極易通過網(wǎng)絡(luò)和可移動介質(zhì)進(jìn)入數(shù)據(jù)庫服務(wù)器。病毒會干擾、破壞服務(wù)器的正常運(yùn)行，給日常工作業(yè)務(wù)帶來嚴(yán)重影響。木馬會在服務(wù)器中設(shè)置后門，監(jiān)聽并竊取服務(wù)器的機(jī)密數(shù)據(jù)和隱私信息。

3.軟硬件缺陷

數(shù)據(jù)中心服務(wù)器軟硬件及運(yùn)行其中的各類業(yè)務(wù)系統(tǒng)，都是由基礎(chǔ)電子元件和編程語言代碼構(gòu)成，很難保證不存在缺陷。對于業(yè)務(wù)量巨大并且儲存有機(jī)密數(shù)據(jù)的服務(wù)器來說，一個軟硬件的缺陷就有可能導(dǎo)致重大損失。因此數(shù)據(jù)中心的軟硬件設(shè)施建設(shè)必須做到高標(biāo)準(zhǔn)、高質(zhì)量。

4.誤操作風(fēng)險

數(shù)據(jù)中心工作人員在服務(wù)器或者業(yè)務(wù)系統(tǒng)上的誤操作會導(dǎo)致系統(tǒng)出錯甚至癱瘓。雖然誤操作可能是無意識的，但是會給用戶和單位造成重大損失。因此工作人員的誤操作也是數(shù)據(jù)中心面臨的主要信息安全風(fēng)險之一。

5.物理和環(huán)境安全風(fēng)險

數(shù)據(jù)中心的物理和環(huán)境安全也面臨著種種風(fēng)險，例如雷擊、火災(zāi)和偷盜等事故，這些事故往往具有突發(fā)性和災(zāi)難性，會給數(shù)據(jù)中心帶來難以恢復(fù)的損失。因此數(shù)據(jù)中心的物理安全風(fēng)險也應(yīng)該被高度重視。

運(yùn)用標(biāo)準(zhǔn)化方法提高信息安全管理水平

信息安全管理是指導(dǎo)和控制組織關(guān)于信息安全風(fēng)險相互協(xié)調(diào)的活動，除在制定信息安全策略方針目標(biāo)基礎(chǔ)上選擇控制目標(biāo)和控制方式外，組織還需考慮控制成本與風(fēng)險平衡原則，將風(fēng)險降低到可接受水平，整個過程需要全員參與，實(shí)時動態(tài)管理。下面結(jié)合GB/T 22080-2008和GB/T 22081-2008兩項(xiàng)標(biāo)準(zhǔn)，對前文所述數(shù)據(jù)中心面臨的信息安全風(fēng)險給出具體控制措施，并進(jìn)一步討論建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)數(shù)據(jù)中心信息安全管理體系的過程和要求，使數(shù)據(jù)中心信息安全管理水平得到有效提高。

1.控制信息安全風(fēng)險

針對前文所述的數(shù)據(jù)中心面臨的信息安全風(fēng)險，從GB/ T 22080-2008附錄A列出的11個安全領(lǐng)域中，選取安全方針；物理和環(huán)境安全；通信和操作管理；訪問控制；信息系統(tǒng)獲取、開發(fā)和維護(hù)這5個安全領(lǐng)域來具體給出對應(yīng)的風(fēng)險控制方法。

（1）安全方針

數(shù)據(jù)中心的信息安全方針應(yīng)該滿足以下原則：①安全與效率兼顧，預(yù)防與防御兼?zhèn)?，全面與改進(jìn)兼具；②成為各類業(yè)務(wù)系統(tǒng)運(yùn)行安全、數(shù)據(jù)儲存與傳輸安全、物理安全等方面的總體框架和指導(dǎo)性文件；③按照PDCA方法建立并持續(xù)改進(jìn)數(shù)據(jù)中心ISMS，建立長效機(jī)制不斷提高數(shù)據(jù)中心信息安全管理水平。

（2）物理和環(huán)境安全

①室內(nèi)安全：對于數(shù)據(jù)中心機(jī)房的周邊、入口等地方設(shè)置進(jìn)出安全保護(hù)措施，如刷卡出入或建立出入登記制度。應(yīng)設(shè)計和采取物理保護(hù)措施保證數(shù)據(jù)中心不受火災(zāi)、地震、洪水和偷盜等各種自然災(zāi)害和人為破壞。

②室外安全：應(yīng)將數(shù)據(jù)中心的各類設(shè)備放置到物理和環(huán)境安全區(qū)域，杜絕非授權(quán)的訪問，并加強(qiáng)基礎(chǔ)設(shè)施的建設(shè)、維護(hù)和安全。自然環(huán)境中的傳輸交換線纜應(yīng)該保證不被竊聽和損壞。

（3）通信和操作管理

①為增強(qiáng)系統(tǒng)的可擴(kuò)展性，系統(tǒng)在建設(shè)時應(yīng)對未來的容量進(jìn)行預(yù)測。在系統(tǒng)驗(yàn)收時確立驗(yàn)收準(zhǔn)則，并在建設(shè)中和驗(yàn)收前對系統(tǒng)進(jìn)行測試。

②嚴(yán)格制定惡意代碼的控制措施，積極檢測、預(yù)防惡意代碼。制定合理的培訓(xùn)計劃提高數(shù)據(jù)中心工作人員和用戶的信息安全意識。

③定期對數(shù)據(jù)中心的重要數(shù)據(jù)進(jìn)行備份，定期檢測、檢查數(shù)據(jù)庫設(shè)備和數(shù)據(jù)庫備份軟件的運(yùn)行，并指定專人對數(shù)據(jù)備份情況定期進(jìn)行檢查和管理。

④網(wǎng)絡(luò)管理員應(yīng)實(shí)施控制措施，以確保網(wǎng)絡(luò)上的信息安全，防止未授權(quán)訪問所連接的服務(wù)。對于網(wǎng)絡(luò)信息傳輸和遠(yuǎn)程設(shè)備的訪問，應(yīng)該制定相應(yīng)的認(rèn)證、授權(quán)和保密方案。傳輸和交換數(shù)據(jù)時應(yīng)使用專線或加密信道，遠(yuǎn)程連接服務(wù)器應(yīng)設(shè)置相應(yīng)的認(rèn)證和授權(quán)機(jī)制。網(wǎng)絡(luò)管理員應(yīng)定期查看服務(wù)器相關(guān)日志，審計服務(wù)器操作行為。

⑤對于U盤、光盤等可移動介質(zhì)，數(shù)據(jù)中心應(yīng)制定嚴(yán)密的管理方案，內(nèi)容包括：可移動介質(zhì)務(wù)必保存在安全、保密環(huán)境；對可移動介質(zhì)的使用實(shí)行登記制度；嚴(yán)格控制可移動介質(zhì)的使用，只有在業(yè)務(wù)必需時才可使用可移動介質(zhì)。

⑥信息交換應(yīng)使用經(jīng)過認(rèn)證的加密信道，確保保密內(nèi)容在安全環(huán)境中傳輸，并防止交換信息被竊聽、篡改和偽造。定期進(jìn)行安全檢查，防止數(shù)據(jù)中心工作人員的通信工具和辦公電腦被竊聽或植入非法程序。

（4）訪問控制

建立訪問控制策略并形成文檔，內(nèi)容包括各類業(yè)務(wù)系統(tǒng)的安全要求及其面臨的風(fēng)險、授權(quán)及撤銷授權(quán)的策略和訪問權(quán)管理等內(nèi)容。

對于授權(quán)用戶應(yīng)建立認(rèn)證機(jī)制，防止未授權(quán)用戶的訪問甚至破壞。

對于遠(yuǎn)程訪問，應(yīng)嚴(yán)格遵循訪問控制策略，禁止未授權(quán)用戶的訪問，授權(quán)用戶也只能訪問和使用授權(quán)范圍內(nèi)的服務(wù)。遠(yuǎn)程訪問應(yīng)使用密碼技術(shù)、VPN或?qū)＞€來認(rèn)證用戶的身份，并根據(jù)安全等級選擇適當(dāng)?shù)恼J(rèn)證方式。

在規(guī)劃和建設(shè)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)施時，可將其劃分為多個邏輯隔離區(qū)域，每個邏輯隔離區(qū)域可分別定義不同的安全等級和控制措施。

（5）信息系統(tǒng)獲取、開發(fā)和維護(hù)

數(shù)據(jù)中心的信息系統(tǒng)在設(shè)計、開發(fā)時應(yīng)充分考慮安全性。在采購信息系統(tǒng)時應(yīng)給出安全要求，如果該信息系統(tǒng)未能滿足安全要求，則需對其重新引入安全控制目標(biāo)和控制措施；如果信息系統(tǒng)的附加功能引入安全風(fēng)險，則可考慮禁用此功能或提高該功能的安全性。

應(yīng)用信息系統(tǒng)時的操作關(guān)系到信息系統(tǒng)的運(yùn)行安全，因此應(yīng)制定措施防止對信息系統(tǒng)的誤操作、數(shù)據(jù)遺失和未授權(quán)修改等。對輸入、輸出數(shù)據(jù)應(yīng)進(jìn)行確認(rèn)，確保數(shù)據(jù)正確無誤。應(yīng)嚴(yán)格控制對信息系統(tǒng)文件的訪問和修改，使系統(tǒng)文件受到損害的風(fēng)險降到最小。

可以使用密碼技術(shù)對信息進(jìn)行加密和簽名，以保證信息的保密性、完整性和不可抵賴性。

對系統(tǒng)源代碼要加以保護(hù)、訪問控制和審計，防止未授權(quán)的修改和破壞。

應(yīng)及時收集當(dāng)前信息系統(tǒng)所采用技術(shù)的脆弱性信息，一旦潛在的技術(shù)脆弱性被確認(rèn)，需識別風(fēng)險并制定相關(guān)措施。

2.構(gòu)建信息安全管理體系

為提高數(shù)據(jù)中心信息安全管理水平并使數(shù)據(jù)中心在各類業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行中發(fā)揮更加堅強(qiáng)的保障作用，構(gòu)建數(shù)據(jù)中心信息安全管理體系（ISMS）是一種有效方法。按照GB/T 22080-2008標(biāo)準(zhǔn)的4.2.1所述，數(shù)據(jù)中心結(jié)合面臨的信息安全風(fēng)險建立、實(shí)施、運(yùn)行、監(jiān)視、評審ISMS，形成文件，并保持和改進(jìn)其有效性。

GB/T 22080-2008標(biāo)準(zhǔn)采用了“規(guī)劃（Plan）-實(shí)施（Do）-檢查（Check）-處置（Act）”（PDCA）模型來構(gòu)建ISMS。采用PDCA模型的ISMS的描述如圖1所示，其中PDCA模型各個過程的主要內(nèi)容如表1所示，該模型可用于所有的ISMS過程。

表1　PDCA過程與主要內(nèi)容

經(jīng)過深入研究GB/T 22080-2008，數(shù)據(jù)中心建立和管理ISMS應(yīng)達(dá)到以下幾點(diǎn)要求：

（1）確定ISMS方針

對數(shù)據(jù)中心的業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性進(jìn)行全面梳理和總結(jié)，確定ISMS的范圍和邊界，并進(jìn)一步確定ISMS方針。ISMS方針應(yīng)滿足“安全與效率兼顧，預(yù)防與防御兼?zhèn)?，全面與改進(jìn)兼具”的原則，對數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)提供一個全面保護(hù)、重點(diǎn)突出、持續(xù)改進(jìn)、體系管理的信息安全管理框架，為數(shù)據(jù)中心建立和管理ISMS設(shè)立總體綱領(lǐng)和目標(biāo)要求。

（2）對ISMS建立和管理的流程方法文件化

文件化的目標(biāo)是形成一批數(shù)據(jù)中心工作人員長期并嚴(yán)格遵循的規(guī)范性文件。文件中除ISMS的范圍、邊界和方針之外，還應(yīng)包括風(fēng)險識別、評估、分析處理、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)ISMS的一系列規(guī)程和要求。文檔要求按照GB/T 22080-2008標(biāo)準(zhǔn)中4.3所述，應(yīng)包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應(yīng)確保所記錄的結(jié)果是可重復(fù)產(chǎn)生的。文檔能夠顯示出所選擇的控制措施回溯到風(fēng)險評估和風(fēng)險處理過程的結(jié)果，并進(jìn)而回溯到ISMS方針和目標(biāo)之間的關(guān)系。

圖1　采用PDCA模型的ISMS

在編制ISMS文檔時，應(yīng)按照GB/T 22080-2008標(biāo)準(zhǔn)中4.3要求，對ISMS文檔的包含內(nèi)容、文檔控制措施和記錄控制加以規(guī)范，使得文檔對于提高數(shù)據(jù)中心信息安全管理水平發(fā)揮作用。

（3）ISMS的管理職責(zé)、內(nèi)審和管理評審

對于管理職責(zé)，首先，數(shù)據(jù)中心管理者應(yīng)該提供管理承諾，為ISMS實(shí)施提供保證。其次，數(shù)據(jù)中心應(yīng)為ISMS實(shí)施提供資源。最后，數(shù)據(jù)中心應(yīng)通過培訓(xùn)、評價等措施確保所有被賦予ISMS職責(zé)的人員具有執(zhí)行要求任務(wù)的能力。

數(shù)據(jù)中心應(yīng)該按照計劃的時間間隔進(jìn)行ISMS內(nèi)部審核，以確定其ISMS的控制目標(biāo)、控制措施、過程和規(guī)程是否符合GB/T 22080-2008標(biāo)準(zhǔn)、相關(guān)法律法規(guī)和其他信息安全要求，以及是否得到有效實(shí)施和保持。

數(shù)據(jù)中心管理者應(yīng)按計劃時間評審ISMS，以確保其持續(xù)的適宜性、充分性和有效性，并將評審結(jié)果文件化保存。

（4）持續(xù)改進(jìn)ISMS

數(shù)據(jù)中心應(yīng)利用實(shí)施ISMS過程中的相關(guān)反饋和結(jié)果，持續(xù)改進(jìn)ISMS的有效性。對于與ISMS要求不符合的行為和規(guī)程，數(shù)據(jù)中心應(yīng)積極采取措施消除，并形成文檔。數(shù)據(jù)中心還應(yīng)積極執(zhí)行預(yù)防措施，以消除潛在的不符合行為和規(guī)程。

結(jié)語

標(biāo)準(zhǔn)化是提高數(shù)據(jù)中心信息安全管理水平的有效方法。本文聯(lián)系國內(nèi)外信息安全標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化工作現(xiàn)狀，結(jié)合GB/ T 22080-2008和GB/T 22081-2008兩項(xiàng)標(biāo)準(zhǔn)，對數(shù)據(jù)中心面臨的信息安全風(fēng)險進(jìn)行梳理，給出針對性的風(fēng)險控制和信息安全管理體系構(gòu)建方法，使數(shù)據(jù)中心的信息安全管理進(jìn)一步貼近國內(nèi)外先進(jìn)標(biāo)準(zhǔn)，并使管理水平進(jìn)一步得到提高。■

[1]吳國慶，趙琳娣.基于ISO27001:2005的電網(wǎng)公司信息安全管理[J].信息技術(shù)與標(biāo)準(zhǔn)化，2007（09）：39-41.

[2]許玉娜，羅鋒盈.我國信息安全標(biāo)準(zhǔn)體系解析[J].保密科學(xué)技術(shù)，2014（01）：17-20.

[3]桓德銘，張艷榮，朱本行.ISO27001在組織機(jī)構(gòu)代碼服務(wù)中的應(yīng)用研究[J].標(biāo)準(zhǔn)科學(xué)，2014（05）：94-96.

[4]GB/T 22081-2008信息安全管理實(shí)用規(guī)則[S].

[5]GB/T 22080-2008信息安全管理體系要求[S].