تقریباً همه مراکز داده قول می دهند که استانداردهای امنیتی بالایی را حفظ کنند. اما چگونه می توان تایید کرد که امکانات زیرساخت دیجیتال به همان اندازه ای که ادعا می کنند ایمن هستند؟
بخشی از پاسخ، ارزیابی مرکز داده است انطباق با ISO 27001، یک استاندارد اصلی امنیت اطلاعات. به خودی خود، مطابقت با ISO 27001 تضمین نمی کند که مرکز داده تا آنجا که ممکن است ایمن باشد. اما در بیشتر موارد، رعایت استاندارد ISO 27001 از سوی اپراتورهای مرکز داده باید یک انتظار اساسی باشد.
ISO 27001 چارچوبی است که بهترین شیوه های امنیت اطلاعات را تعریف می کند. آخرین بازبینی این چارچوب در سال 2022، توسط سازمان بین المللی استاندارد (ISO) و کمیسیون بین المللی الکتروتکنیکی (IEC) منتشر شده است.
الزامات کلیدی ISO 27001 عبارتند از:
-
ارزیابی خطرات امنیت اطلاعات که بر یک سازمان تأثیر می گذارد.
-
ایجاد سیاست ها و کنترل های امنیت اطلاعات که به اندازه کافی ریسک یک کسب و کار را مدیریت می کند.
-
استقرار یک سیستم مدیریت امنیت اطلاعات (ISMS)، که به طور متمرکز کنترل ها و فرآیندهای امنیت اطلاعات سازمان را ردیابی و مدیریت می کند.
-
مستندسازی کاستی های امنیت اطلاعات و اتخاذ اقداماتی برای کاهش آنها.
بر خلاف بعضی ها استانداردها و چارچوبهای انطباق که بر مراکز داده تأثیر میگذارندمانند GDPR و HIPAA، ISO 27001 یک استاندارد انطباق داوطلبانه است. این بدان معناست که هیچ اجبار قانونی برای اپراتورهای مراکز داده یا هر تجارت دیگری برای رعایت دستورالعمل های ISO 27001 وجود ندارد. با این حال، از آنجا که انطباق با ISO 27001 می تواند به نشان دادن شیوه های امنیت سایبری سالم کمک کند، مطابقت برای ایجاد اعتماد با مشتریان مهم است.
ISO 27001، استاندارد شناخته شده جهانی برای امنیت اطلاعات، توسط سازمان بین المللی استاندارد نظارت می شود (تصویر: Alamy)
معنای ISO 27001 برای مراکز داده
ایزو 27001 استانداردی است که در صنعت آگنوستیک ارائه شده است که دستورالعمل آن برای اعمال همه نوع تجارت طراحی شده است. هیچ چیزی در مورد مراکز داده به طور خاص نمی گوید یا قوانینی را که مختص مراکز داده است شامل نمی شود. این بدان معنی است که در تصمیم گیری دقیقاً چگونگی برآورده کردن الزامات ISO 27001 در مرکز داده، فضایی برای تفسیر وجود دارد.
با این حال، اکثر اپراتورهای مرکز داده متوجه خواهند شد که نیازهای انطباق آنها با ISO 27001 در دو حوزه اصلی قرار می گیرد:
-
امنیت فیزیکی: مراکز داده باید پیاده سازی کنند کنترل های امنیتی فیزیکی برای جلوگیری از دسترسی غیرمجاز – از جمله توسط خودی های مخرب و همچنین طرف های خارجی ضروری است.
-
امنیت شبکه: مراکز داده باید مستقر شوند شبکه کنترل های امنیتی برای محافظت از زیرساخت های شبکه و اتصالات در برابر حمله.
این الزامات برای هر مرکز داده اعمال می شود، زیرا همه مراکز داده در معرض خطرات امنیتی فیزیکی و شبکه هستند. فراتر از این، مسئولیت ایمن سازی سخت افزار و نرم افزاری که یک کسب و کار در یک مرکز داده مستقر می کند، عموماً به عهده کسب و کار است، نه ارائه دهنده مرکز داده.
با این حال، ارائه دهندگان مراکز داده که خدمات آنها فراتر از فضای مرکز داده فیزیکی و اتصالات شبکه است، ممکن است با نیازهای اضافی مطابق با ISO 27001 مواجه شوند. به عنوان مثال، اگر شما پیشنهاد دهید سخت افزار به عنوان یک سرویس، اگر میخواهید مطابق با ISO 27001 باشد، احتمالاً باید برای محافظت از سختافزاری که از طرف مشتریان استفاده میکنید، کنترلهای امنیتی را اجرا کنید.
راهنمای انطباق با ISO 27001 در میان شرکت های مرکز داده
امروزه، تقریباً تمام شرکتهای بزرگ مرکز داده – از جمله Equinix، Digital Realty و CyrusOne – مطابقت با ISO 27001 را در امکانات خود ارائه میدهند. بسیاری از ارائه دهندگان مرکز داده منطقه ای یا محلی نیز با ISO 27001 مطابقت دارند.
با این حال، چند نکته مهم وجود دارد که باید هنگام ارزیابی وضعیت انطباق با ISO 27001 شرکت های مرکز داده در نظر داشته باشید.
اولین و بزرگترین، این است که اکثر ارائه دهندگان مراکز داده ایزو 27001 را با دریافت گواهی انطباق از حسابرسان خارجی نشان می دهند. این بدان معنی است که تصمیم گیری در مورد اینکه آیا یک مرکز داده فردی یا یک شرکت مرکز داده، مطابق با ISO 27001 است، بر عهده هر حسابرسی است که اپراتور مرکز داده با آن کار کند. برخی از حسابرسان ممکن است سختگیرتر از دیگران باشند.
آخرین اخبار امنیت مرکز داده و مدیریت ریسک را بیشتر بخوانید
اگر میخواهید جزئیاتی در مورد اینکه ارائهدهنده چقدر الزامات ISO 27001 را برآورده میکند و روشهای تفسیری که حسابرسان برای ارزیابی انطباق استفاده میکنند، میخواهید، کپیهایی از گزارشهای انطباق را بخواهید. همچنین ممکن است جزئیات مربوط به نحوه انجام ممیزی های اخیر را بپرسید.
دومین عاملی که باید در مورد انطباق با ISO 27001 در مراکز داده در نظر داشت این است که انطباق ممکن است از یک مرکز داده به مرکز دیگر متفاوت باشد – بنابراین تصور نکنید که فقط به این دلیل که اپراتور مرکز داده در وب سایت خود به انطباق با ISO 27001 می بالد که تمام تاسيسات به همان اندازه از حفاظت امنيتي دقيقي برخوردار هستند.
این ملاحظات مهم هستند زیرا، اگرچه برای اپراتورهای مراکز داده پست کردن بیانیههای انطباق یا گواهینامه ISO 27001 در وبسایتهایشان آسان است، اما به ندرت پیش میآید که جزئیاتی را در مورد اینکه چه کسی ممیزیهای انطباق خود را انجام میدهد، هر چند وقت یکبار انجام میشود و کدام موارد خاص را برای عموم فاش کنند. کنترل های امنیتی بررسی شد. بدون این اطلاعات، دانستن اینکه گواهینامه ISO 27001 واقعاً چقدر به بهترین شیوه های امنیتی ترجمه می شود، دشوار است.