尽管IDC业务近年来一直保持着高速发展的态势,但是IDC运营商对网络安全管理制度部署却远远滞后于前者。为了便利后续的网络安全合规工作,我们建议IDC运营商在数据中心建设之初,就对网络安全合规工作进行同步规划与设计。
根据上文对IDC的定级,我们认为将IDC系统定义为第三级以上更为适宜。因此下文将从“数据中心建设参与人”与“数据中心建设项目管理”两个方面对等保三级及以上的合规要求进行梳理。
数据中心“参与人员”的合规
根据网络运营过程中的参与者获悉数据程度的可能性,等保2.0区分了多种义务主体。从这个角度切入,我们整理了与“参与人员”相关的各种规定:
首先,明确要求网络运营者建立网络安全管理机构,配备相适应的人员。
其次,企业应当建立相应的人员录用、离岗审计,强化日常安全培训,制定相应的业务流程指引。
再者,对于网络运营的关键岗位执行人来说,需要持证上岗,并且需要接受安全背景审查。
除此之外,第三级及以上的网络运营者还需要满足额外的合规要求:
系统管理员、审计管理员和安全管理员不得兼任;
应当指定专门的部门或人员对日志、监测和报警等数据进行分析、统计,及时发现可以行为;
与关键岗位人员签署岗位责任协议及保密协议;
关键岗位人员不得擅自参加境外组织的网络攻防活动;
与离岗人员签署保密承诺;
与获得系统访问授权的外部人员签署保密协议;
对不同岗位的人员进行定期考核。
数据中心“管理”的合规
为做好IDC的网安合规工作,运营商需要及时跟进国家及行业组织最新出台的法律法规及标准,及时更新本单位的制度体系。另外,因所涉业务的差异性,不同的数据中心也需要结合本单位的情况对合规要点进行完善或调整。以下,我们总结了较为常见的合规要点供参考。
等保测评网等已经为医疗、政府、教育等行业客户完成等级保护建设,帮助行业用户持续有效地保持合规状态,为用户带来更大的安全价值。通过一站式、全流程的等保测评服务,帮助用户提供通过“过保”服务,帮助企业快速、省心地通过等保合规建设。