大家選擇香港數據中心時,其實更多地都在想這個數據中心是否“給力”,放置在內的服務器是否能夠穩定高效地運行。
數據中心基本上是一個建筑物或托管公司的所有關鍵系統的專用空間或信息技術基礎設施。隨著日益增多的威脅和漏洞,企業的信息安全逐漸成為是最值得關注的問題之一。那么香港數據中心必須保持高標準,以確保其托管IT環境的私密性,完整性和可用性。
那么常見威脅和漏洞有哪些呢?
威脅
- 違反機密信息
- 拒絕服務攻擊
- 未經授權訪問和使用計算資源
- 身份盜竊
- 數據被盜或更改
漏洞
- 軟件和協議,錯誤的軟件設計或不完整的測試等實現中的缺陷。
- 配置缺陷,例如使用默認憑據,未正確配置的元素,已知漏洞,過時系統等。
- 安全設計無效
- 關鍵系統的冗余實施效率低下
- 物理訪問控制無效/缺乏環境控制等。
自2005年首次推出以來,隨著數據泄露和安全漏洞的不斷增加,ISO系列信息安全管理標準最近受到了更多關注。在本文中,我們將專門討論ISO 27001,它會影響誰以及對您的公司意味著什么。
什么是ISO 27001?
ISO 27001是一種合規性法規,如PCI或HIPAA。ISO系列中有大約十幾個標準,但27001是提供有關信息安全管理系統(ISMS)要求的最常見和最相關的標準。ISO標準于2005年首次推出,但在2013年進行了修訂。
什么是ISMS?
ISMS全稱是信息安全管理體系(Information Security Management System)。 從本質上講,ISMS是您決定保護敏感數據的方法。該數據可能包括財務記錄,醫療信息,內部員工數據或第三方委托給您的其他信息。您的ISMS不僅僅是數據本身,還包括人員,流程和技術,并包括風險管理流程。ISMS的目標是幫助組織保護其信息安全。
我是否需要符合ISO 27001標準?
ISO 27001不是像HIPAA那樣由聯邦政府強制執行,也不是像PCI這樣的強制執行,但如果當您處理個人身份信息(PII)或使用托管服務提供商,那么您(或他們)應該擁有這些信息。ISO認證向您、您的客戶和您的董事會表明您或您使用的托管服務提供商非常重視數據安全性。
ISO 27001審核涵蓋哪些內容?
以下是您將要測量的控件:
- ISMS范圍
- 信息安全政策
- 信息風險評估過程
- 信息風險處理流程
- 信息安全目標
- 證明信息安全工作人員的能力
- 組織認為必要的其他ISMS相關文件(可選?)
- 運營計劃和控制文件
- 信息風險評估結果
- 關于信息風險處理的決定
- 監測和衡量信息安全的證據
- ISMS內部審計計劃及其結果
- ISMS高層管理評審的證據
- 確定不合格樣式的證據并產生糾正措施
如您所見,ISO 27001涵蓋了非常深入的信息安全性。但請記住,您選擇的公司會根據這些標準對您進行審核,并就是否滿足這些標準提出意見,因此請務必選擇能夠徹底了解控制措施的信譽良好的審核員。
數據中心拿證書還是團隊拿證書?
由于ISO是管理標準,這意味著管理團隊中的每個人都參與其中,而不僅僅是IT部門。這包括CEO,CFO以及團隊中的任何其他人。讓整個管理團隊成為流程的一部分,可以更加輕松地應用安全控制和全面合規文化,因為每個部門都積極參與實現合規性。因此除了數據中心可以獲得ISO 27001的證書外,管理團隊也可獲得該證書。而新天域互聯NOC團隊不但獲得該證書,而且其T3+香港數據中心也是有幸獲得該ISO認證。所以大家在選擇香港數據中心作為合作伙伴時,可以留意下這一方面,因為這是衡量一家香港IDC可靠與否的重要因素之一。