IS&T和BUMC IT数据中心政策

信息服务与技术副总裁Tracy Schroeder于2020年3月25日批准

目的及范围

该政策以大学的数据保护标准为基础，规定了查尔斯河校区和医学校区所有IS&T和BUMC IT数据中心所需的保障措施。

本政策定义了大学遵守NIST 800.53r4物理和环境保护以及映射到NIST网络安全框架（CSFv1.1）的方法，如方括号（[]）所示。

管理控制

数据中心服务所有者应制定、传播和执行实施此政策的程序。此政策每年由信息安全和数据中心服务所有者进行审查。[PE-1, PR.IP-5]

数据中心的无人陪同访问由数据中心服务所有者根据业务需要授权。为了实现职责分离，来自数据中心服务所有者的授权由不同的办公室（如财务管理或公共安全）实现。数据中心服务所有者负责在请求时提供及时的访问，在通知更改时撤销访问，并定期（至少每年一次）进行审查，以确保访问控制的授权和实现的准确性。信息安全部门也应至少每年进行一次审计。[PE-2, PR.AC-2]。

所有物理介质（例如，硬盘驱动器、磁带、USB存储）必须由其所有者清点，并且在使用寿命结束时，由BU或经批准的供应商进行物理销毁。没有信息安全部门的许可，任何失败的媒体都不能返回给供应商，即使是加密的（注意：加密的HIPAA数据仍然需要与供应商签订业务伙伴协议）。此外，设备移除必须得到数据中心服务所有者的批准。[cm-8, pe-16, pr.ds-3]。

所有获得授权、可在无人陪同下访问数据中心的人员都必须接受涵盖数据中心职责的初始和年度培训。培训的完成被记录和审核。[1, 3, 4]。

任何未经授权进入的人都将获得访客徽章，并记录在访问日志中，访客必须被护送到必要的机架/设备。数据中心服务所有者每季度审查访问者访问日志。访客访问日志至少保存一年。[pe-3, pe-8, pr.ac-2, de.cm-7]。

物理和技术控制

数据中心的物理访问由使用多因素认证的电子锁控制。数据中心服务所有者确保进行物理安全的例行检查，包括所有的门都保持安全，访问控制功能正常。密钥很少发放，仅用于紧急访问。强行进入或把门打开会引起警报，并要求立即响应，视频监控记录数据中心入口每天所有时间的活动。将任何问题报告给适当的响应人员，包括事件响应团队（irt@bu.edu）。此工作由信息安全审核。[PE-3, PE-6 PE-6 (1) PE-8, PR.AC-2, DE.CM-2, DE.CM-7, DE.DP-3, RS.AN-1]。

配电和输电线路由导管或电缆托盘保护，并通过钥匙或电子锁控制对网络壁橱和电力设备的访问。紧急电源关闭位于数据中心内，以防止未经授权的激活。[pe-4, pe-9, pe-10, pr.ac-2]。

监控电源和环境条件，并向适当的响应者（如数据中心运营或公共安全）发出警报。短期电源问题，如浪涌或暂降，可以通过不间断电源（UPS）单元或同等设备进行管理。数据中心设施的出口和疏散路线的应急照明在停电时自动打开。[PE-11, PE-12]。

温度和湿度由冗余系统控制，如空调机组、机架内冷却或排内冷却机制。[PE-14]。

灭火系统的安装和操作无需人员在场，并且不依赖于建筑物的电力进行操作。激活后，将向BU和紧急响应人员发送通知。定期测试二氧化碳（CO2）罐和其他灭火系统。[PE-13 PE-13(1)(2)(3)]。