آنچه اپراتورها و مشتریان مرکز داده باید بدانند

تقریباً همه مراکز داده قول می دهند که استانداردهای امنیتی بالایی را حفظ کنند. اما چگونه می توان تایید کرد که امکانات زیرساخت دیجیتال به همان اندازه ای که ادعا می کنند ایمن هستند؟

بخشی از پاسخ، ارزیابی مرکز داده است انطباق با ISO 27001، یک استاندارد اصلی امنیت اطلاعات. به خودی خود، مطابقت با ISO 27001 تضمین نمی کند که مرکز داده تا آنجا که ممکن است ایمن باشد. اما در بیشتر موارد، رعایت استاندارد ISO 27001 از سوی اپراتورهای مرکز داده باید یک انتظار اساسی باشد.

ISO 27001 چارچوبی است که بهترین شیوه های امنیت اطلاعات را تعریف می کند. آخرین بازبینی این چارچوب در سال 2022، توسط سازمان بین المللی استاندارد (ISO) و کمیسیون بین المللی الکتروتکنیکی (IEC) منتشر شده است.

الزامات کلیدی ISO 27001 عبارتند از:

  • ارزیابی خطرات امنیت اطلاعات که بر یک سازمان تأثیر می گذارد.

  • ایجاد سیاست ها و کنترل های امنیت اطلاعات که به اندازه کافی ریسک یک کسب و کار را مدیریت می کند.

  • استقرار یک سیستم مدیریت امنیت اطلاعات (ISMS)، که به طور متمرکز کنترل ها و فرآیندهای امنیت اطلاعات سازمان را ردیابی و مدیریت می کند.

  • مستندسازی کاستی های امنیت اطلاعات و اتخاذ اقداماتی برای کاهش آنها.

بر خلاف بعضی ها استانداردها و چارچوب‌های انطباق که بر مراکز داده تأثیر می‌گذارندمانند GDPR و HIPAA، ISO 27001 یک استاندارد انطباق داوطلبانه است. این بدان معناست که هیچ اجبار قانونی برای اپراتورهای مراکز داده یا هر تجارت دیگری برای رعایت دستورالعمل های ISO 27001 وجود ندارد. با این حال، از آنجا که انطباق با ISO 27001 می تواند به نشان دادن شیوه های امنیت سایبری سالم کمک کند، مطابقت برای ایجاد اعتماد با مشتریان مهم است.

مرتبط:7 روند کلیدی امنیت مرکز داده در سال 2025

آنچه اپراتورها و مشتریان مرکز داده باید بدانند

معنای ISO 27001 برای مراکز داده

ایزو 27001 استانداردی است که در صنعت آگنوستیک ارائه شده است که دستورالعمل آن برای اعمال همه نوع تجارت طراحی شده است. هیچ چیزی در مورد مراکز داده به طور خاص نمی گوید یا قوانینی را که مختص مراکز داده است شامل نمی شود. این بدان معنی است که در تصمیم گیری دقیقاً چگونگی برآورده کردن الزامات ISO 27001 در مرکز داده، فضایی برای تفسیر وجود دارد.

با این حال، اکثر اپراتورهای مرکز داده متوجه خواهند شد که نیازهای انطباق آنها با ISO 27001 در دو حوزه اصلی قرار می گیرد:

  • امنیت فیزیکی: مراکز داده باید پیاده سازی کنند کنترل های امنیتی فیزیکی برای جلوگیری از دسترسی غیرمجاز – از جمله توسط خودی های مخرب و همچنین طرف های خارجی ضروری است.

  • امنیت شبکه: مراکز داده باید مستقر شوند شبکه کنترل های امنیتی برای محافظت از زیرساخت های شبکه و اتصالات در برابر حمله.

این الزامات برای هر مرکز داده اعمال می شود، زیرا همه مراکز داده در معرض خطرات امنیتی فیزیکی و شبکه هستند. فراتر از این، مسئولیت ایمن سازی سخت افزار و نرم افزاری که یک کسب و کار در یک مرکز داده مستقر می کند، عموماً به عهده کسب و کار است، نه ارائه دهنده مرکز داده.

مرتبط:روندهای نظارت بر مقررات مرکز داده در سال 2025

با این حال، ارائه دهندگان مراکز داده که خدمات آنها فراتر از فضای مرکز داده فیزیکی و اتصالات شبکه است، ممکن است با نیازهای اضافی مطابق با ISO 27001 مواجه شوند. به عنوان مثال، اگر شما پیشنهاد دهید سخت افزار به عنوان یک سرویس، اگر می‌خواهید مطابق با ISO 27001 باشد، احتمالاً باید برای محافظت از سخت‌افزاری که از طرف مشتریان استفاده می‌کنید، کنترل‌های امنیتی را اجرا کنید.

راهنمای انطباق با ISO 27001 در میان شرکت های مرکز داده

امروزه، تقریباً تمام شرکت‌های بزرگ مرکز داده – از جمله Equinix، Digital Realty و CyrusOne – مطابقت با ISO 27001 را در امکانات خود ارائه می‌دهند. بسیاری از ارائه دهندگان مرکز داده منطقه ای یا محلی نیز با ISO 27001 مطابقت دارند.

با این حال، چند نکته مهم وجود دارد که باید هنگام ارزیابی وضعیت انطباق با ISO 27001 شرکت های مرکز داده در نظر داشته باشید.

اولین و بزرگترین، این است که اکثر ارائه دهندگان مراکز داده ایزو 27001 را با دریافت گواهی انطباق از حسابرسان خارجی نشان می دهند. این بدان معنی است که تصمیم گیری در مورد اینکه آیا یک مرکز داده فردی یا یک شرکت مرکز داده، مطابق با ISO 27001 است، بر عهده هر حسابرسی است که اپراتور مرکز داده با آن کار کند. برخی از حسابرسان ممکن است سختگیرتر از دیگران باشند.

مرتبط:حاکمیت داده ها: داده های شما در کجا نگهداری می شوند و چه کسی حق دسترسی به آنها را دارد؟

آخرین اخبار امنیت مرکز داده و مدیریت ریسک را بیشتر بخوانید

اگر می‌خواهید جزئیاتی در مورد اینکه ارائه‌دهنده چقدر الزامات ISO 27001 را برآورده می‌کند و روش‌های تفسیری که حسابرسان برای ارزیابی انطباق استفاده می‌کنند، می‌خواهید، کپی‌هایی از گزارش‌های انطباق را بخواهید. همچنین ممکن است جزئیات مربوط به نحوه انجام ممیزی های اخیر را بپرسید.

دومین عاملی که باید در مورد انطباق با ISO 27001 در مراکز داده در نظر داشت این است که انطباق ممکن است از یک مرکز داده به مرکز دیگر متفاوت باشد – بنابراین تصور نکنید که فقط به این دلیل که اپراتور مرکز داده در وب سایت خود به انطباق با ISO 27001 می بالد که تمام تاسيسات به همان اندازه از حفاظت امنيتي دقيقي برخوردار هستند.

این ملاحظات مهم هستند زیرا، اگرچه برای اپراتورهای مراکز داده پست کردن بیانیه‌های انطباق یا گواهینامه ISO 27001 در وب‌سایت‌هایشان آسان است، اما به ندرت پیش می‌آید که جزئیاتی را در مورد اینکه چه کسی ممیزی‌های انطباق خود را انجام می‌دهد، هر چند وقت یک‌بار انجام می‌شود و کدام موارد خاص را برای عموم فاش کنند. کنترل های امنیتی بررسی شد. بدون این اطلاعات، دانستن اینکه گواهینامه ISO 27001 واقعاً چقدر به بهترین شیوه های امنیتی ترجمه می شود، دشوار است.


Source link