ISO 27001 合规：数据中心运营商和客户需要了解的内容

几乎所有的数据中心都承诺维持高安全标准。但如何确认数字基础设施设施的安全性确实如其所称？

答案之一是评估数据中心是否符合 ISO 27001 这一核心信息安全标准。仅仅符合 ISO 27001 并不能保证数据中心达到最高安全级别，但在大多数情况下，ISO 27001 合规应该是对数据中心运营商的基本要求。

什么是 ISO 27001？

ISO 27001 是定义信息安全最佳实践的框架。该框架由国际标准化组织 (ISO) 和国际电工委员会 (IEC) 发布，最近一次修订于 2022 年。

ISO 27001 的主要要求包括：

- 评估影响组织的信息安全风险 - 建立足以管理业务风险的信息安全政策和控制措施 - 部署信息安全管理系统 (ISMS)，集中跟踪和管理组织的信息安全控制和流程 - 记录信息安全缺陷并采取措施缓解

与影响数据中心的某些合规标准和框架 (如 GDPR 和 HIPAA) 不同，ISO 27001 是一个自愿性合规标准。这意味着数据中心运营商或任何其他企业都没有遵守 ISO 27001 准则的法律强制要求。但是，由于 ISO 27001 合规有助于展示健康的网络安全实践，因此获得合规对于建立客户信任很重要。

ISO 27001 对数据中心意味着什么

ISO 27001 是一个适用于各类企业的行业通用标准。它并未专门针对数据中心或包含数据中心特有的规则。这意味着在决定如何在数据中心内满足 ISO 27001 要求时存在一定解释空间。

尽管如此，大多数数据中心运营商会发现他们的 ISO 27001 合规需求主要分为两个领域：

物理安全：数据中心必须实施必要的物理安全控制，以防止未经授权的访问 – 包括来自内部恶意人员和外部各方。

网络安全：数据中心必须部署网络安全控制措施来保护网络基础设施和连接免受攻击。

这些要求适用于每个数据中心，因为所有数据中心都面临物理和网络安全风险。除此之外，保护企业在数据中心内部署的硬件和软件的责任通常由企业承担，而不是数据中心提供商。

然而，如果数据中心提供商的服务超出物理数据中心空间和网络连接范围，可能会面临额外的 ISO 27001 合规需求。例如，如果您提供硬件即服务，您可能需要实施安全控制来保护代表客户部署的硬件，以确保其符合 ISO 27001。

数据中心公司 ISO 27001 合规指南

如今，几乎所有主要的数据中心公司 – 包括 Equinix、Digital Realty 和 CyrusOne – 都在其设施中提供 ISO 27001 合规性。许多区域性或本地数据中心提供商也符合 ISO 27001。

在评估数据中心公司的 ISO 27001 合规状态时，需要记住几个重要提示：

首先，也是最重要的是，大多数数据中心提供商通过获得外部审计师的合规认证来证明 ISO 27001。这意味着个别数据中心或数据中心公司是否符合 ISO 27001 取决于数据中心运营商选择与哪些审计师合作。有些审计师可能比其他审计师更严格。

如果您想了解提供商如何满足 ISO 27001 要求以及审计师使用哪些解释方法来评估合规性，请索要合规报告副本。您也可以询问最近一次审计的具体时间。

关于数据中心 ISO 27001 合规性需要记住的第二个因素是，合规性可能因数据中心而异 – 因此不要认为仅仅因为数据中心运营商在其网站上宣传 ISO 27001 合规，其所有设施都具有同样严格的安全保护措施。

这些考虑很重要，因为虽然数据中心运营商很容易在其网站上发布 ISO 27001 合规或认证声明，但他们很少向公众披露谁执行其合规审计、审计频率以及审查了哪些具体安全控制等细节。没有这些信息，很难知道 ISO 27001 认证究竟如何转化为安全最佳实践。