ICS35.240 CCSL 7854 西 藏 自 治 区 地 方 标 准 DB54/T 0420—2024 大数据中心 安全管理规范 2024-11-18发布 2024-12-18实施 西藏自治区市场监督管理局  发 布 DB54/T 0420—2024 I目 次 前言...................................................................................II 1　范围.................................................................................1 2　规范性引用文件.......................................................................1 3　术语、定义和缩略语...................................................................1 4　总体要求.............................................................................2 4.1　目标...........................................................................2 4.2　原则...........................................................................2 4.3　职责...........................................................................2 5　物理安全.............................................................................2 5.1　物理安全管理...................................................................2 5.2　物理区域安全...................................................................3 5.3　物理设备安全...................................................................3 6　信息安全.............................................................................4 6.1　信息系统安全...................................................................4 6.2　网络安全.......................................................................4 7　消防安全.............................................................................4 8　安全风险与应急.......................................................................4 9　监督与改进...........................................................................5 9.1　安全工作监督...................................................................5 9.2　安全工作改进...................................................................5 参考文献................................................................................6DB54/T 0420—2024 II前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由西藏自治区经济和信息化厅（自治区数据管理局）提出并归口。 本文件起草单位：西藏自治区经济和信息化厅（自治区数据管理局）、西藏高驰信息技术服务有限 责任公司、国家工业信息安全发展研究中心。 本文件主要起草人：郭翔、旺堆、扎西尼玛、刘勇、宋雪述、兰劭晖、罗宇舟、周文华、曹亮、赵 青、贺赟、李云志、蔡长亮、杜洪涛、栾燕、陶炜。DB54/T 0420—2024 3大数据中心 安全管理规范 1　范围 本文件规定了西藏自治区大数据中心稳定运行所需的综合安全管理要求， 包括总体要求、 物理安全、 信息安全、消防安全、安全风险与应急等重点领域安全管控要求，以及安全工作监督评估与改进要求， 形成系统性的大数据中心安全运行管理机制。 本文件适用于西藏自治区大数据中心的日常安全管理。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22080 信息技术 安全技术 信息安全管理体系 要求 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25058 信息安全技术 网络安全等级保护实施指南 GB/T 25069 信息安全技术 术语 GB/T 31496 信息技术 安全技术 信息安全管理体系实施指南 YD_T_2949 电信互联网数据中心（IDC）安全生产管理要求 3　术语、定义和缩略语 3.1　术语和定义 GB/T 25069 界定的以及下列术语和定义适用于本文件。 安全 security 对于某一系统，据以获得保密性、可用性、可核查性、真实性以及可靠性的性质。 [来源：GB/T 25069-2022, 3.1] 安全机制 security mechanism 实现安全功能，提供安全服务的基本方法。 [来源：GB/T 25069-2022, 3.11] 3.2　缩略语DB54/T 0420—2024 4下列缩略语适用于本文件。 UPS：不间断电源（Uninterrupted Power Supply） 4　总体要求 4.1　目标 通过建立安全机制，制定安全管理制度，实施技防、人防等措施，确保公共数据中心稳定、有序、 安全运行，保障大数据中心在数据采集、存储、处理、传输、服务过程中的安全。 4.2　原则 在开展大数据中心安全管理工作中，应遵循以下原则： a)职责明确 安全管理制度中应明确安全管理活动中的有关责任主体及其职责。 b)合法合规 安全管理制度中要求采取的安全防护策略，应符合国家、西藏自治区信息安全法规。同时，满足计 算机信息系统安全等级保护要求。 c)确保安全 管理制度要求采取的措施应能够有效保障数据中心的物理安全、数据安全、网络安全。 d)可追溯可审计 应记录安全管理活动中各项操作的相关信息，并保证记录不可篡改、可追溯。 4.3　职责 大数据中心在建立安全机制、制定安全管理制度时，可参考GB/T 31496-2015和GB/T 22080-2016 相关规定要求，明确以下活动的责任主体并明确应采取的措施： a)物理安全防护 保护数据中心设备设施防火、防盗、防损毁、防电磁干扰等。 b)数据安全防护 保护数据中心拥有的数据防丢失、防泄密、防篡改、防非授权访问等。 c)网络安全防护 保护数据中心在数据传输中防窃取、防篡改，以及信息系统防入侵等。 d)安全机制运行 统筹安全管理活动，制定安全管理制度，实施相关防护措施。 e)更新优化 定期组织大数据中心安全机制和管理制度实施成效评价，识别存在的风险，有针对性地完善改进，DB54/T 0420—2024 5不断提升安全管理水平。 5　物理安全 5.1　物理安全管理 为保障大数据中心运行安全可靠，面向物理设施和环境安全，应制定和完善以下物理防护及安全保 卫管理制度，并监督实施： a)功能区域安全等级划分、边界划分； b)人员出入授权审批和门禁管理； c)外来人员访问陪同策略； d)防火防盗设施管理； e)易燃易爆品防控管理； f)周边社会环境信息收集与安全防控制度； g)周边自然环境灾害信息收集与安全防控制度等。 5.2　物理区域安全 应防止对环境区域的非授权物理访问、损坏和干扰，采取包括但不限于以下措施： a)物理安全边界 定义和使用安全边界来保护关键、敏感设施。 b)物理入口控制 通过保卫管理和门禁管理保障人员出入权限受控。 c)办公及机房设施 办公及机房设施的安全保护措施。 d)外界和环境威胁的安全防护措施 应设计和应用物理保护以防自然灾害、恶意攻击和意外。 e)机房区域工作规程 宜建立机房区域工作规程。 f)交接区域的控制措施 交接区域的控制措施以防止物理设备设施和安全区域的未授权