互联网数据中心(IDC,Internet Data Center)业务和互联网接入服务(ISP,Internet Service Provider)业务,依据我国《电信业务分类目录》应属于增值电信业务,并归属为第一类增值电信业务,其业务的定义与界定详见下表0。按照《中华人民共和国电信条例》和《互联网信息服务管理办法》的要求,提供IDC业务与ISP业务的经营者,应建立其信息安全管理系统(ISMS,Information Security Management System)。信息安全管理系统(ISMS)即IDC业务与ISP业务经营者建设的符合相关标准所规定信息安全管理系统要求的所有软、硬件系统的集合。该系统具有基础数据管理、访问日志管理、信息安全管理(违法违规网站及违法信息发现处置等)等功能,以满足业务经营者和电信主管部门的信息安全管理要求。每个IDC业务与ISP业务经营者应建设一个统一的ISMS,并应与电信管理部门建设的安全监管系统(SMMS,Security Monitor Management System)通过信息安全管理接口(ISMI,Information Security Management Interface)进行通信。ISMS与SMMS之间的关系详见下图0。
表 0:IDC业务与ISP业务的定义与界定
图 0:ISMS与SMMS关系示意图
欲具体了解我国《电信业务分类目录》内容的请进入。
特别指出的是:属于增值电信业务的IDC业务与ISP业务,不仅基础电信运营商可以经营,国家还大力鼓励和引导民营企业及外商企业也可以经营。因此,所有IDC业务与ISP业务经营提供着,均应按照下述介绍的标准要求建立其信息安全管理系统(ISMS)。
欲具体了解民营企业经营IDC业务与ISP业务要求的请进入。
鉴于此,对于IDC业务与ISP业务的信息安全管理系统(ISMS),我国有关通信行业标准提出了应有的技术要求,包括系统的功能要求、性能要求以及ISMI的接口要求。下述对该类的通信行业标准情况做一介绍。
一、标准的基本情况
关于IDC业务与ISP业务信息安全管理系统(ISMS)技术要求类的通信行业标准的首个标准是发布于2011年的通信技术规定(原邮电内部标准)YDN 2248《互联网数据中心信息安全管理系统技术要求》,后在2012年修订为正式通信行业标准YD/T 2248《互联网数据中心和互联网接入服务信息安全管理系统技术要求》;目前又在2015年进行了第2次修订。在2012年还发布了ISMI的接口规范要求YD/T 2405、ISMS 与ISMI的测试方法要求YD/T 2406,YD/T 2405 和YD/T 2406分别在2015年和2017年进行了第1次修订。下表1汇总了IDC业务与ISP业务的信息安全管理系统(ISMS)技术要求与测试方法类标准的基本情况,包括各版本的标准编号与标准名称、标准的发布日期与实施日期、标准的摘要与适用范围等。
表 1:IDC业务与ISP业务的信息安全管理系统要求类标准的基本情况
二、标准的修订情况
1、ISMS 技术要求:YD/T 2248
YD/T 2248标准是信息安全管理系统(ISMS) 技术要求的标准,它的第1个版本是原邮电内部标准YDN,称之为通信技术规范,目前已经历了2012年和2015年的两次修订。下表2-1列出了两次修订的变化内容。YD/T 2248-2015标准已代替了其早期版本。
表 2-1:YD/T 2248标准两次修订的内容变化
2、ISMI接口规范要求:YD/T 2405
YD/T 2405标准是信息安全管理接口(ISMI)规范要求的标准,通过该接口可以实现ISMS与SMMS的互连。它的第1个版本发布于2012年,目前在2015年对YD/T 2405-2012进行了第1次修订,其修订变化的内容详见下表2-2。YD/T 2405-2015标准已代替了YD/T 2405-2012标准。
表 2-2:YD/T 2405标准与YD/T 2406标准第1次修订变化的内容
3、ISMS与ISMI接口的测试方法:YD/T 2406
YD/T 2406标准规定的是信息安全管理系统(ISMS)和信息安全管理接口(ISMI)的测试方法,其首个标准发布于2012年,目前在2017年对YD/T 2406-2012进行了第1次修订,其修订变化的内容也列于表2-2中。YD/T 2406-2017标准已代替了YD/T 2406-2012标准.
三、标准的内容构成情况
1、ISMS 技术要求:YD/T 2248
YDN 2248-2011《互联网数据中心信息安全管理系统技术要求》仅对IDC业务的信息安全管理系统(ISMS)进行了规定,YDN 2248-2011的编制是与YDN 126-2009《增值电信业务网络信息系统安全保障基本要求》相一致的。因此,YDN 2248-2011标准的主要内容是由8章所组成,其章、节名称详见下表3-1-1。
表 3-1-1:YDN 2248-2011标准的目录
欲具体了解YDN 126-2009标准具体内容的请进入。
YD/T 2405-2012《互联网数据中心和互联网接入服务信息安全管理系统接口规范》标准规定了IDC业务与ISP业务的信息安全管理系统(ISMS)的基本技术要求,因此,该标准的主要内容是由9章和2个附录所组成,其章、节和附录名称详见下表3-1-2中。
表 3-1-2:YD/T 2405-2012标准的目录
YD/T 2248-2015《互联网数据中心和互联网接入服务信息安全管理系统技术要求》标准是对YD/T 2248-2012标准某些章中的小节的内容进行了调整补充,因此,该标准的主要内容仍是由9章和2个附录所组成,其章、节和附录名称与YD/T 2405-2012标准基本相同,具体可详见表3-1-2。若要详细了解该版本标准具体内容的请查阅下附件3-1。
附件 3-1:YD/T 2248-2015《互联网数据中心和互联网接入服务信息安全管理系统技术要求》
2、ISMI接口规范要求:YD/T 2405
YD/T 2405-2012《互联网数据中心和互联网接入服务信息安全管理系统接口规范》规定了IDC业务与ISP业务的信息安全管理系统(ISMS)接口的技术要求。该接口(ISMI)用于ISMS与电信管理部门依照国家法律法规授权建设的信息安全监管系统(SMMS)之间的连通。因此,该标准的主要内容是由11章和1个规范性附录所组成,其章、节和附录名称详见下表3-2-1中。修订版的YD/T 2405-2015标准的内容构成与YD/T 2405-2012标准基本相同,只是最后两章增加了节的内容,具体详见下表3-2-2;若要详细了解该标准具体内容的请查阅下附件3-2。
表 3-2-1:YD/T 2405-2012标准的目录
表 3-2-2:YD/T 2405-2015标准的目录
附件 3-2:YD/T 2405-2015《互联网数据中心和互联网接入服务信息安全管理系统接口规范》
3、ISMS与ISMI的测试方法:YD/T 2406
YD/T 2406-2012《互联网数据中心和互联网接入服务信息安全管理系统及接口测试方法》规定了IDC业务与ISP业务的信息安全管理系统(ISMS)及其接口(ISMI)的测试方法的相关要求,为此,该标准的主要内容是由8章所组成,其章、节名称详见下表3-3-1中。修订后的YD/T 2406-2017标准的主要内容是仍然是由8章所组成,只是在第7章增加了ISMS技术要的相关测试内容,具体详见下表3-3-2;若要详细了解该标准具体内容的请查阅下附件3-3。
表 3-3-1:YD/T 2406-2012表的目录
表 3-3-2:YD/T 2406-2017表的目录
附录 3-3:YD/T 2406-2017《互联网数据中心和互联网接入服务信息安全管理系统及接口测试方法》
欲进一步了解互联网数据中心(IDC)安全防护要求的通信行业标准情况的请进入。
