大家选择香港数据中心时,其实更多地都在想这个数据中心是否“给力”,放置在内的服务器是否能够稳定高效地运行。
数据中心基本上是一个建筑物或托管公司的所有关键系统的专用空间或信息技术基础设施。随着日益增多的威胁和漏洞,企业的信息安全逐渐成为是最值得关注的问题之一。那么香港数据中心必须保持高标准,以确保其托管IT环境的私密性,完整性和可用性。
那么常见威胁和漏洞有哪些呢?
威胁
- 违反机密信息
- 拒绝服务攻击
- 未经授权访问和使用计算资源
- 身份盗窃
- 数据被盗或更改
漏洞
- 软件和协议,错误的软件设计或不完整的测试等实现中的缺陷。
- 配置缺陷,例如使用默认凭据,未正确配置的元素,已知漏洞,过时系统等。
- 安全设计无效
- 关键系统的冗余实施效率低下
- 物理访问控制无效/缺乏环境控制等。
自2005年首次推出以来,随着数据泄露和安全漏洞的不断增加,ISO系列信息安全管理标准最近受到了更多关注。在本文中,我们将专门讨论ISO 27001,它会影响谁以及对您的公司意味着什么。
什么是ISO 27001?
ISO 27001是一种合规性法规,如PCI或HIPAA。ISO系列中有大约十几个标准,但27001是提供有关信息安全管理系统(ISMS)要求的最常见和最相关的标准。ISO标准于2005年首次推出,但在2013年进行了修订。
什么是ISMS?
ISMS全称是信息安全管理体系(Information Security Management System)。 从本质上讲,ISMS是您决定保护敏感数据的方法。该数据可能包括财务记录,医疗信息,内部员工数据或第三方委托给您的其他信息。您的ISMS不仅仅是数据本身,还包括人员,流程和技术,并包括风险管理流程。ISMS的目标是帮助组织保护其信息安全。
我是否需要符合ISO 27001标准?
ISO 27001不是像HIPAA那样由联邦政府强制执行,也不是像PCI这样的强制执行,但如果当您处理个人身份信息(PII)或使用托管服务提供商,那么您(或他们)应该拥有这些信息。ISO认证向您、您的客户和您的董事会表明您或您使用的托管服务提供商非常重视数据安全性。
ISO 27001审核涵盖哪些内容?
以下是您将要测量的控件:
- ISMS范围
- 信息安全政策
- 信息风险评估过程
- 信息风险处理流程
- 信息安全目标
- 证明信息安全工作人员的能力
- 组织认为必要的其他ISMS相关文件(可选?)
- 运营计划和控制文件
- 信息风险评估结果
- 关于信息风险处理的决定
- 监测和衡量信息安全的证据
- ISMS内部审计计划及其结果
- ISMS高层管理评审的证据
- 确定不合格样式的证据并产生纠正措施
如您所见,ISO 27001涵盖了非常深入的信息安全性。但请记住,您选择的公司会根据这些标准对您进行审核,并就是否满足这些标准提出意见,因此请务必选择能够彻底了解控制措施的信誉良好的审核员。
数据中心拿证书还是团队拿证书?
由于ISO是管理标准,这意味着管理团队中的每个人都参与其中,而不仅仅是IT部门。这包括CEO,CFO以及团队中的任何其他人。让整个管理团队成为流程的一部分,可以更加轻松地应用安全控制和全面合规文化,因为每个部门都积极参与实现合规性。因此除了数据中心可以获得ISO 27001的证书外,管理团队也可获得该证书。而新天域互联NOC团队不但获得该证书,而且其T3+香港数据中心也是有幸获得该ISO认证。所以大家在选择香港数据中心作为合作伙伴时,可以留意下这一方面,因为这是衡量一家香港IDC可靠与否的重要因素之一。