DB54_T 0420-2024 大数据中心 安全管理规范.docxVIP

ICS

CCS

35.240L78

54

西藏自治区地方标准

DB54/T0420—2024

大数据中心

2024-11-18发布

安全管理规范

2024-12-18实施

西藏自治区市场监督管理局发布

I

DB54/T0420—2024

目次

前言 II

1范围 1

2规范性引用文件 1

3术语、定义和缩略语 1

4总体要求 2

4.1目标 2

4.2原则 2

4.3职责 2

5物理安全 2

5.1物理安全管理 2

5.2物理区域安全 3

5.3物理设备安全 3

6信息安全 4

6.1信息系统安全 4

6.2网络安全 4

7消防安全 4

8安全风险与应急 4

9监督与改进 5

9.1安全工作监督 5

9.2安全工作改进 5

参考文献 6

DB54/T0420—2024

II

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由西藏自治区经济和信息化厅（自治区数据管理局）提出并归口。

本文件起草单位：西藏自治区经济和信息化厅（自治区数据管理局）、西藏高驰信息技术服务有限责任公司、国家工业信息安全发展研究中心。

本文件主要起草人：郭翔、旺堆、扎西尼玛、刘勇、宋雪述、兰劭晖、罗宇舟、周文华、曹亮、赵青、贺赟、李云志、蔡长亮、杜洪涛、栾燕、陶炜。

DB54/T0420—2024

3

大数据中心安全管理规范

1范围

本文件规定了西藏自治区大数据中心稳定运行所需的综合安全管理要求，包括总体要求、物理安全、信息安全、消防安全、安全风险与应急等重点领域安全管控要求，以及安全工作监督评估与改进要求，形成系统性的大数据中心安全运行管理机制。

本文件适用于西藏自治区大数据中心的日常安全管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22080

信息技术安全技术信息安全管理体系要求

GB/T22239

信息安全技术网络安全等级保护基本要求

信息安全技术

GB/T25058

信息安全技术网络安全等级保护实施指南

信息安全技术

GB/T25069

术语信息安全技术

术语

GB/T31496

信息技术安全技术信息安全管理体系实施指南

YD_T_2949

电信互联网数据中心（IDC）安全生产管理要求

3术语、定义和缩略语

3.1术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

安全security

对于某一系统，据以获得保密性、可用性、可核查性、真实性以及可靠性的性质。[来源：GB/T25069-2022,3.1]

安全机制securitymechanism

实现安全功能，提供安全服务的基本方法。

[来源：GB/T25069-2022,3.11]

3.2缩略语

DB54/T0420—2024

4

下列缩略语适用于本文件。

UPS：不间断电源（UninterruptedPowerSupply）

4总体要求

4.1目标

通过建立安全机制，制定安全管理制度，实施技防、人防等措施，确保公共数据中心稳定、有序、安全运行，保障大数据中心在数据采集、存储、处理、传输、服务过程中的安全。

4.2原则

在开展大数据中心安全管理工作中，应遵循以下原则：

a)职责明确

安全管理制度中应明确安全管理活动中的有关责任主体及其职责。

b)合法合规

安全管理制度中要求采取的安全防护策略，应符合国家、西藏自治区信息安全法规。同时，满足计算机信息系统安全等级保护要求。

c)确保安全

管理制度要求采取的措施应能够有效保障数据中心的物理安全、数据安全、网络安全。

d)可追溯可审计

应记录安全管理活动中各项操作的相关信息，并保证记录不可篡改、可追溯。

4.3职责

大数据中心在建立安全机制、制定安全管理制度时，可参考GB/T31496-2015和GB/T22080-2016相关规定要求，明确以下活动的责任主体并明确应采取的措施：

a)物理安全防护

保护数据中心设备设施防火、防盗、防损毁、防电磁干扰等。

b)数据安全防护

保护数据中心拥有的数据