亦庄国际数据中心信息安全管理体系建设

摘要

互联网数据中心业务己占据电信运营商互联网增值业务的重要地位，为运营商带来可观的收益。而随着数据中心业务的飞速发展，数据中心的信息安全问题日益严峻，用户对数据中心的依赖性越强，对信息安全的关注也就越高。如何加强数据中心信息安全管理，真正形成一个科学有效的信息安全管理体系来防范信息风险，已成为数据中心当前面临的重大课题。
　　 本文对BS7799理论、风险管理理论做了大量的研究，研究分析了数据中心的现状和安全需求，提出了可行的风险评估方法，设计了风险评估的流程，组织并参与了ISO27001认证项目的全过程。在大量研究BS7799、信息安全管理体系及风险管理等理论的基础上，结合数据中心信息资产特点以及信息安全需求，设计了定性与定量相结合的风险分析方法，将风险量化。采用了以威胁为主线、基于资产的威胁薄弱点识别的方式，以获得丰富的风险信息。制定了详细的威胁分类表、脆弱性列表、威胁风险系数矩阵以及资产分类参考表，使得对威胁和脆弱性的分析具有普遍性，保证各填写人员尺度和理解的一致性，提高了项目实施的效率。在数据中心成功搭建了信息安全管理体系。该信息安全管理系统在运行中收到良好的效果，首次在数据中心成功实施了风险管理，提高了风险控制水平，降低了面临的风险，提高了中心信息安全的保密性、完整性和可用性，形成了一套可持续改进的信息安全管理环境，提升信息系统安全等级。同时，全体员工信息安全意识得以不断提高。本文首先对标准作了一个详细的解读，随后对亦庄国际数据中心的运行现状作了一个简要的描述，最后将亦庄国际数据中心信息安全管理体系部署过程及期间遇到的问题以及解决办法作了详尽的阐述。

目录

文摘

英文文摘

第一章 绪论

第二章 信息安全管理体系标准解读

2.1 标准演变过程

2.2 ISO17799：2005主要内容

2.3 ISO27001：2005主要内容

第三章 亦庄国际数据中心运行现状概述

3.1 亦庄国际数据中心网络情况概述

3.2 亦庄国际数据中心基础动力情况概述

3.3 亦庄国际数据中心运维情况概述

第四章 信息安全管理体系在亦庄国际数据中心的部署

4.1 现状评估分析阶段

4.1.1 资产调查

4.1.2 管理体系现状和优势

4.1.3 管理类风险分析

4.1.4 风险评估结果视图

4.1.5 风险综述

4.1.6 安全建议汇总

4.2 资产清单、风险评估阶段

4.2.1 安全风险评估方法论

4.2.2 风险评估流程

4.2.3 流程的评估及改进

4.3 体系设计及文档编写

4.4 体系运行及持续改进阶段

4.5 体系认证阶段

4.6 体系持续运行

第五章 信息安全管理的成果及延伸思考

参考文献

致 谢