幾乎所有的數據中心都承諾維持高安全標準。但如何確認數字基礎設施設施的安全性確實如其所稱?
答案之一是評估數據中心是否符合 ISO 27001 這一核心資訊安全標準。僅僅符合 ISO 27001 並不能保證數據中心達到最高安全級別,但在大多數情況下,ISO 27001 合規應該是對數據中心運營商的基本要求。
什麼是 ISO 27001?
ISO 27001 是定義資訊安全最佳實踐的框架。該框架由國際標準化組織 (ISO) 和國際電工委員會 (IEC) 發布,最近一次修訂於 2022 年。
ISO 27001 的主要要求包括:
- 評估影響組織的資訊安全風險 - 建立足以管理業務風險的資訊安全政策和控制措施 - 部署資訊安全管理系統 (ISMS),集中跟蹤和管理組織的資訊安全控制和流程 - 記錄資訊安全缺陷並採取措施緩解
與影響數據中心的某些合規標準和框架 (如 GDPR 和 HIPAA) 不同,ISO 27001 是一個自願性合規標準。這意味著數據中心運營商或任何其他企業都沒有遵守 ISO 27001 準則的法律強制要求。但是,由於 ISO 27001 合規有助於展示健康的網路安全實踐,因此獲得合規對於建立客戶信任很重要。
ISO 27001 對數據中心意味著什麼
ISO 27001 是一個適用於各類企業的行業通用標準。它並未專門針對數據中心或包含數據中心特有的規則。這意味著在決定如何在數據中心內滿足 ISO 27001 要求時存在一定解釋空間。
儘管如此,大多數數據中心運營商會發現他們的 ISO 27001 合規需求主要分為兩個領域:
物理安全:數據中心必須實施必要的物理安全控制,以防止未經授權的訪問 – 包括來自內部惡意人員和外部各方。
網路安全:數據中心必須部署網路安全控制措施來保護網路基礎設施和連接免受攻擊。
這些要求適用於每個數據中心,因為所有數據中心都面臨物理和網路安全風險。除此之外,保護企業在數據中心內部署的硬體和軟體的責任通常由企業承擔,而不是數據中心提供商。
然而,如果數據中心提供商的服務超出物理數據中心空間和網路連接範圍,可能會面臨額外的 ISO 27001 合規需求。例如,如果您提供硬體即服務,您可能需要實施安全控制來保護代表客戶部署的硬體,以確保其符合 ISO 27001。
數據中心公司 ISO 27001 合規指南
如今,幾乎所有主要的數據中心公司 – 包括 Equinix、Digital Realty 和 CyrusOne – 都在其設施中提供 ISO 27001 合規性。許多區域性或本地數據中心提供商也符合 ISO 27001。
在評估數據中心公司的 ISO 27001 合規狀態時,需要記住幾個重要提示:
首先,也是最重要的是,大多數數據中心提供商通過獲得外部審計師的合規認證來證明 ISO 27001。這意味著個別數據中心或數據中心公司是否符合 ISO 27001 取決於數據中心運營商選擇與哪些審計師合作。有些審計師可能比其他審計師更嚴格。
如果您想了解提供商如何滿足 ISO 27001 要求以及審計師使用哪些解釋方法來評估合規性,請索要合規報告副本。您也可以詢問最近一次審計的具體時間。
關於數據中心 ISO 27001 合規性需要記住的第二個因素是,合規性可能因數據中心而異 – 因此不要認為僅僅因為數據中心運營商在其網站上宣傳 ISO 27001 合規,其所有設施都具有同樣嚴格的安全保護措施。
這些考慮很重要,因為雖然數據中心運營商很容易在其網站上發布 ISO 27001 合規或認證聲明,但他們很少向公眾披露誰執行其合規審計、審計頻率以及審查了哪些具體安全控制等細節。沒有這些資訊,很難知道 ISO 27001 認證究竟如何轉化為安全最佳實踐。
