这些标准的成本很低(约150美元)。而NIST最近推出的网络安全框架，以及人们更熟悉且广泛采用的业务连续性标准如NPFA 1600 则是免费的。既然如此，我们为什么还要不厌其烦的在北美地区采用成本昂贵，且又不被广泛应用的标准呢?

　　ISO 27001和ISO 22301均是一个国际标准大家庭的成员，也许人们最熟悉的还是ISO 9000(质量管理体系)。虽然这些标准在世界各地的不同国家都适用，包括日本和中国，但这些标准并不与特定的国家法律或条例绑定。此功能对于国际化的商业和贸易，以及互操作性服务、人员和系统(例如，通过离岸服务和云计算)的变化是越来越重要。

　　l ISO 27001 始于上世纪90年代英国的信息安全标准。自那时以来，其不断发展，最新的迭代版本是去年发布的。

　　l ISO 22301 是ISO 27001标准的兄弟版本。其也是由英国最初的标演变而来，其主要关注业务连续性问题，比ISMS覆盖的范围更详细。

　　ISO 27001和ISO 22301有何不同?

　　关于这两个标准最引人注目的是其要求企业评估他们资产的风险。这种对于风险管理的关注现在也得到了NIST网络安全架构的认可。具体来说，ISO标准要求风险处于高级管理的控制范围内。另一个要求是持续的评估和改进企业的安全管理和业务连续性安排，通过定期的内部和外部审计(通过第三方认证)实现。

　　与其他标准的另外一个显著不同是其要求考虑每个控件，并对每一个适用或不适用该标准的具体情况编制案例。与基于具体的立法的标准不同，这些ISO标准允许将地方性立法和规章进行整合。最后，参与机构也必须声明他们业务运营的哪些部分是兼容的。这种情况可以防止企业宣称整个企业均符合标准，但事实上只有一部分是模糊符合标准的。

　　这种灵活性，再加上以证据为基础的正式认证，避免了简单对着安全达标表格打勾的审核方法和业务连续性管理的陷阱。附加功能使这些具体的规范从持续和严格的审核要求中脱颖而出;正式的认证只能通过独立的评估，而有时限的认证保证了受持续的正式观察和审计。

　　ISO 27001和ISO 22301如何帮助数据中心?

　　关于这些标准所带来的最大的好处莫过于他们解决了对于资产的管理，无论这些资产是在文件柜中发现的文档，还是台式机、智能手机、或者云中的文档，当然，也包括在数据中心。这些标准是独立于特定的系统或计算机的。在理论上可以全部通过纸质系统和过程部署。

　　让我们考虑数据中心的一些大的安全问题以及ISMS与BCMS的方法可能提供怎样的帮助。

　　信息安全(ISMS)

　　新技术允许管理员通过互联网访问。因此，现在要求管理员驻守在现场进行安全控制实际上是多余的。

　　ISO 27001要求采用高级管理人员，而不仅仅是安全专家批准的持续的风险评估方法。ISMS勤于维护，将确保新兴的安全漏洞，可以看作是一个变更控制过程的一部分。在最坏的情况下，一家企业可能会决定禁止远程网络管理，因为它带来太多的业务风险。但是，一个ISMS的灵活操作将为风险管理带来别的备选方案。而不是简单地回避他们——那就是通过验收(例如，制定具体的责任人);通过缓解(例如，投资于新的安全产品);或通过其他风险转移(例如，迫使想要一个特定服务的第三方自己承担风险) 。

　　同一家企业托管在同一处数据中心的服务器具有不同的风险偏好。

　　ISMS审核可能提醒企业，其数据的风险在增加，这可能促使企业寻找更安全的场所。这样做会花费更多的开销，但是ISMS维护应该也有助于证明任何额外支出都是有价值的。相反，审核也有可能会导致另一家企业得出其实际支付高于其安全措施需要的结论。ISMS方法并不强调要坚持采用 “强”的安全级别，只是要求与其安全风险相称的措施。所以在这种情况下，企业可能会通过减少昂贵的安全措施来控制成本。

　　员工和承包商的问题

　　这些问题在ISO 27001中完全得到了解决;该标准确保了一致的方法，允许企业申请审批水平以及相称的风险善后。

　　业务连续性(BCMS)

　　对设备或零部件的损坏

　　ISO 22301不，当然，防止损坏，但坚持控制应减少风险。但是，应用程序的标准使组织评估的努力和资源应该投入的弹性和恢复他们的服务，例如规划量的良好平台，同意更换关键部件上的突发事件的重要供应商。随着主义的方法，对另外的关键是有效的风险管理，使用由最高管理者批准的方法。

　　当然，ISO 22301并不能防止对设备的损坏，但坚持该标准的控制应该能够帮助企业减少这种风险。但应用程序的标准为企业提供了一个良好的平台，以评估企业应该投入到容量规划和确保服务投资回报的精力和资源。例如，针对突发事件让重要供应商同意更换关键部件。作为ISMS方法，BCMS的关键是采用经高层管理者批准的方法有效进行风险管理。

　　自然灾害

　　并非所有的灾难都是可以预见的，但仔细的制定应急计划，并在平时定期进行训练有助于企业及时在发生灾难后及时恢复重要组成部分的运行。BCMS的要素之一是业务影响分析评估，得出企业业务恢复的红色警戒线。这种方法将使企业能够建立有效和适当的应急安排，从恢复阶段的初始事件响应。应急计划的效果是与平时定期进行训练成正比的。

　　结论

　　读者在实际工作中会碰到许多其他的安全问题，但我相信，上述这些标准的控制都是不能被忽视的。这些标准不能做到的是一个专业人员对于企业业务的管理。然而，专业人员所能做的只是能够增强企业利益相关者的信心，通过安全操作的管理为企业业务提供安全支持和应急服务，其与企业对于安全风险的规避是成正比的、动态相关的。