二、信息安全管控要求

       1、安全方針

        信息安全方針文件與評(píng)審建立IDC信息安全方針文件需得到管理層批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方。

         至少每年一次或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針評(píng)審。

         2、信息安全組織

        2.1 內(nèi)部組織

        2.1.1信息安全協(xié)調(diào)、職責(zé)與授權(quán)

        信息安全管理委員會(huì)包含IDC相關(guān)的不同部門的代表；所有的信息安全職責(zé)有明確成文的規(guī)定；對(duì)新信息處理設(shè)施，要有管理授權(quán)過程。

        2.1.2保密協(xié)議

        IDC所有員工須簽署保密協(xié)議，保密內(nèi)容涵蓋IDC內(nèi)部敏感信息；保密協(xié)議條款每年至少評(píng)審一次。

        2.1.3權(quán)威部門與利益相關(guān)團(tuán)體的聯(lián)系

        與相關(guān)權(quán)威部門（包括，公安部門、消防部門和監(jiān)管部門）建立溝通管道；與安全專家組、專業(yè)協(xié)會(huì)等相關(guān)團(tuán)體進(jìn)行溝通。

       2.1.4獨(dú)立評(píng)審

        參考“信息安全管理體系要求”第5和第8條關(guān)于管理評(píng)審、內(nèi)部審核的要求，進(jìn)行獨(dú)立的評(píng)審。

        審核員不能審核評(píng)審自己的工作；評(píng)審結(jié)果交管理層審閱。

       2.2 外方管理

       2.2.1外部第三方的相關(guān)風(fēng)險(xiǎn)的識(shí)別

        將外部第三方（設(shè)備維護(hù)商、服務(wù)商、顧問、外包方臨時(shí)人員、實(shí)習(xí)學(xué)生等）對(duì)IDC信息處理設(shè)施或信息納入風(fēng)險(xiǎn)評(píng)估過程，考慮內(nèi)容應(yīng)包括：需要訪問的信息處理設(shè)施、訪問類型（物理、邏輯、網(wǎng)絡(luò)）、涉及信息的價(jià)值和敏感性，及對(duì)業(yè)務(wù)運(yùn)行的關(guān)鍵程度、訪問控制等相關(guān)因素。

       建立外部第三方信息安全管理相關(guān)管理制度與流程。

       2.2.2客戶有關(guān)的安全問題

       針對(duì)客戶信息資產(chǎn)的保護(hù)，根據(jù)合同以及相關(guān)法律、法規(guī)要求，進(jìn)行恰當(dāng)?shù)谋Ｗo(hù)。

        2.2.3處理第三方協(xié)議中的安全問題

        涉及訪問、處理、交流（或管理）IDC及IDC客戶的信息或信息處理設(shè)施的第三方協(xié)議，需涵蓋所有相關(guān)的安全要求。

       3、信息資產(chǎn)管理

       3.1 資產(chǎn)管理職責(zé)

       3.1.1資產(chǎn)清單與責(zé)任人

       IDC對(duì)所有信息資產(chǎn)度進(jìn)行識(shí)別，將所有重要資產(chǎn)都進(jìn)行登記、建立清單文件并加以維護(hù)。

       IDC中所有信息和信息處理設(shè)施相關(guān)重要資產(chǎn)需指定責(zé)任人。

       3.1.2資產(chǎn)使用

       指定信息與信息處理設(shè)施使用相關(guān)規(guī)則，形成了文件并加以實(shí)施。

       3.2 信息資產(chǎn)分類

        3.2.1資產(chǎn)分類管理

        根據(jù)信息資產(chǎn)對(duì)IDC業(yè)務(wù)的價(jià)值、法律要求、敏感性和關(guān)鍵性進(jìn)行分類，建立一個(gè)信息分類指南。

        信息分類指南應(yīng)涵蓋外來的信息資產(chǎn)，尤其是來自客戶的信息資產(chǎn)。

        3.2.2信息的標(biāo)記和處理

        按照IDC所采納的分類指南建立和實(shí)施一組合適的信息標(biāo)記和處理程序。

        4、人力資源安全

       這里的人員包括IDC雇員、承包方人員和第三方等相關(guān)人員。

        4.1信息安全角色與職責(zé)

       人員職責(zé)說明體現(xiàn)信息安全相關(guān)角色和要求。

        4.2背景調(diào)查

       人員任職前根據(jù)職責(zé)要求和崗位對(duì)信息安全的要求，采取必要的背景驗(yàn)證。

       4.3雇用的條款和條件

      人員雇傭后，應(yīng)簽署必要的合同，明確雇傭的條件和條款，并包含信息安全相關(guān)要求。

      4.4信息安全意識(shí)、教育和培訓(xùn)

       入職新員工培訓(xùn)應(yīng)包含IDC信息安全相關(guān)內(nèi)容。

        至少每年一次對(duì)人員進(jìn)行信息安全意識(shí)培訓(xùn)。

        4.5安全違紀(jì)處理

        針對(duì)安全違規(guī)的人員，建立正式的紀(jì)律處理程序。

       4.6雇傭的終止與變更

        IDC應(yīng)清晰規(guī)定和分配雇用終止或雇用變更的職責(zé)；雇傭協(xié)議終止于變更時(shí)，及時(shí)收回相關(guān)信息資產(chǎn)，并調(diào)整或撤銷相關(guān)訪問控制權(quán)限。