二、信息安全管控要求

　　1、安全方针

　　信息安全方针文件与评审建立IDC信息安全方针文件需得到管理层批准、发布并传达给所有员工和外部相关方。

　　至少每年一次或当重大变化发生时进行信息安全方针评审。

　　2、信息安全组织

　　2.1 内部组织

　　2.1.1信息安全协调、职责与授权

　　信息安全管理委员会包含IDC相关的不同部门的代表;所有的信息安全职责有明确成文的规定;对新信息处理设施，要有管理授权过程。

　　2.1.2保密协议

　　IDC所有员工须签署保密协议，保密内容涵盖IDC内部敏感信息;保密协议条款每年至少评审一次。

　　2.1.3权威部门与利益相关团体的联系

　　与相关权威部门(包括，公安部门、消防部门和监管部门)建立沟通管道;与安全专家组、专业协会等相关团体进行沟通。

　　2.1.4独立评审

　　参考“信息安全管理体系要求”第5和第8条关于管理评审、内部审核的要求，进行独立的评审。

　　审核员不能审核评审自己的工作;评审结果交管理层审阅。

　　2.2 外方管理

　　2.2.1外部第三方的相关风险的识别

　　将外部第三方(设备维护商、服务商、顾问、外包方临时人员、实习学生等)对IDC信息处理设施或信息纳入风险评估过程，考虑内容应包括：需要访问的信息处理设施、访问类型(物理、逻辑、网络)、涉及信息的价值和敏感性，及对业务运行的关键程度、访问控制等相关因素。

　　建立外部第三方信息安全管理相关管理制度与流程。

　　2.2.2客户有关的安全问题

　　针对客户信息资产的保护，根据合同以及相关法律、法规要求，进行恰当的保护。

　　2.2.3处理第三方协议中的安全问题

　　涉及访问、处理、交流(或管理)IDC及IDC客户的信息或信息处理设施的第三方协议，需涵盖所有相关的安全要求。

　　3、信息资产管理

　　3.1 资产管理职责

　　3.1.1资产清单与责任人

　　IDC对所有信息资产度进行识别，将所有重要资产都进行登记、建立清单文件并加以维护。

　　IDC中所有信息和信息处理设施相关重要资产需指定责任人。

　　3.1.2资产使用

　　指定信息与信息处理设施使用相关规则，形成了文件并加以实施。

　　3.2 信息资产分类

　　3.2.1资产分类管理

　　根据信息资产对IDC业务的价值、法律要求、敏感性和关键性进行分类，建立一个信息分类指南。

　　信息分类指南应涵盖外来的信息资产，尤其是来自客户的信息资产。

　　3.2.2信息的标记和处理

　　按照IDC所采纳的分类指南建立和实施一组合适的信息标记和处理程序。

　　4、人力资源安全

　　这里的人员包括IDC雇员、承包方人员和第三方等相关人员。

　　4.1信息安全角色与职责

　　人员职责说明体现信息安全相关角色和要求。

(责任编辑：)