随着国家对战略性新兴产业的重视，IDC市场迎来了前所未有的发展机遇。为拓展新业务发展的空间，适应云计算及内容分发业务的迅速发展，在新《电信业务分类目录》中，将“互联网资源协作服务业务”归入“互联网数据中心业务”。从而使云计算的从业企业可向工信部、各省管理申请真正意义上的资质。
 

一、互联网数据中心业务许可牌照（简称IDC许可牌照）

   1、不含互联网资源协作的互联网数据中心业务：

   互联网数据中心（IDC）业务是指利用相应的机房设施，以外包出租的方式为用户的服务器等互联网或其他网络相关设备提供放置、代理维护、系统配置及管理服务，以及提供数据库系统或服务器等设备的出租及其存储空间的出租、通信线路和出口带宽的代理租用和其他应用服务。

   2、含互联网资源协作的互联网数据中心业务：

   互联网数据中心业务也包括互联网资源协作服务业务。互联网资源协作服务业务是指利用架设在数据中心之上的设备和资源，通过互联网或其他网络以随时获取、按需使用、随时扩展、协作共享等方式，为用户提供的数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。

二、IDC许可牌照分类的政策依据

    2015版《电信业务分类目录》对增值电信业务分类的调整，为拓展新业务发展的空间，适应云计算的迅速发展，将“互联网资源协作服务业务”归入“互联网数据中心业务”。
 

三、IDC办理流程介绍

   （1）评测环节

   　　互联网数据中心业务依新电信业务目录分为二种业务形态:含互联网资源协作及不含互联网资源协作的数据中心业务；上述任意一种业务形态的申请企业，均要通过备案系统、接入资源系统、信息安全管理系统、机房运行安全四项评测。

   （2）申请环节

   　　待评测通过后，申请企业方可进行该项互联网数据中心业务许可牌照“跨地区申请”或“省内申请”。

四、IDC许可牌照审核机关

   依业务开展城市不同，行政机关审核依据如下

   业务开展在该省：由当省通信管理局审批（D网IDC许可牌照）

   业务开展跨二个城市以上：由工信部审核（跨地区IDC许可牌照）

五、IDC许可牌照办理条件

   D网认缴资本金达100万以上的内资企业；

   跨地区认缴资本金1000万以上的内资企业；

六、IDC许可牌照准备材料

   营业执照副本【原件扫描上传，提交时提交执照复印件加盖公章】

   法人身份证【二代身份证正反面】

   股东身份证明【二代身份证正反面】； 股东公司提供营业执照副本、公司章程

   公司章程【加盖工商局档案查询章原件】

   股权结构图【法人签字并公司盖章】

   管理人员与技术身份证【二代身份证正反面】及社保证明原件

   行业主管部门前置审批文件

一、信息安全等级保护概述

        信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。
 

二、信息安全等级保护的划分

   信息系统的安全保护等级分为以下五级：

   第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

   第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

   第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

   第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

三、信息安全等级保护的标准

•《信息安全等级保护管理办法》公通字[2007]43号

•《计算机信息系统安全保护等级划分准则》（GB17859-1999）

•《信息安全等级保护实施指南》（GB/T 25058-2010）

•《信息安全等级保护定级指南》（GB/T 22240-2008）

•《信息安全等级保护基本要求》（GB/T 22239-2008）

•《信息安全等级保护测评要求》（GB/T 28448-2012）

•《信息系统安全等级保护测评过程指南》（GB/T 28449-2012）

•《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）

•《信息安全技术 信息系统通用安全技术要求》GB/T20271-2006）

•《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）

•《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）

四、信息安全等级保护工作流程

1、信息系统定级
   用户根据信息系统的现状，结合信息系统受到破坏后，所侵害的客体及对客体的侵害程度，对信息系统进行自主定级，主要包括信息系统描述、定级报告及备案表撰写、专家评审、主管部门审批等。
2、信息系统备案
   根据信息系统安全等级保护定级备案要求，携带定级报告、备案表等相关材料到公安机关进行备案。
3、系统建设整改
   安全整改建设是信息安全等级保护工作落实的关键，主要工作包括：首先由专业安全服务商进行等级保护安全评估，并依照等级保护相应等级的要求进行差距分析。根据安全评估的结果，对存在的差距进行提出安全整改建设方案，根据安全整改方案对信息系统进行安全整改建设，包括安全加固、制度体系完善、产品采购等相关工作。
4、信息系统测评
   在安全整改完整后，委托具有等级测评资质的测评机构对信息系统进行等级测评。
5、监督检查
   备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制，定期对等级保护制度各项要求的落实情况进行自查和监督检查。

一、服务概述

       安全评估（Security Evaluation) 是指通过模拟黑客攻击的行为，使用黑客的攻击技术和漏洞发现技术，对目标系统的安全作深入的探测，发现系统最脆弱的环节，能够直观的让管理人员知道自己网络所面临的安全问题。
        安全评估是一种专业的安全服务，能够通过识别安全问题来帮助企业了解当前的安全状况，一份客观、真实、具体有效的渗透测试报告，有助于组织IT管理者用案例说明目前的安全现状，从而增加信息安全的认知程度，甚至提高组织在安全方面的长期策划和预算。
 

二、服务内容

       互联互通安全评估是一个专业的、全面的、系统性的安全服务，我们有一套成熟的安全检测流程、测试方案、服务文档，互联互通安全评估服务主要包含以下六个方面的内容：主机系统、网络应用、安全策略、数据库、业务安全、网络设备。
        1) 主机系统
        通过国内外的商业扫描器及自身开发的扫描工具对Windows、Linux、Unix、Aix、Solaris等主流操作系统的已知漏洞进行扫描检测，并使用自研发工具对发现的漏洞实施验证测试。
        2) 网络应用
       通过远程漏洞扫描挖掘常见的网络应用漏洞，对漏洞进行人工验证测试，对于WEB应用程序，根据OWASP提出的安全测试标准对常见的SQL注入、跨站脚本攻击、信息泄露、文件上传等漏洞进行挖掘和测试。
       3) 安全策略
       在安全评估过程中，对于客户已有的网络访问控制、网络攻击防护等安全策略及防护措施，测试专家将尝试通过技术手段，对现有的安全措施进行绕过分析，进而确认这些安全防护策略和措施的有效性和可靠性。
       4) 数据库
       数据安全是企业安全防护的重点对象，也是渗透测试服务的一项主要内容，渗透测试服务可以挖掘数据库软件由于安全补丁未安装、安全配置不当、安全策略失效等问题而导致的安全风险问题并为客户提供安全有效地修复建议。
       5) 业务安全
       无论是系统漏洞扫描还是应用漏洞扫描，都无法直接发现业务系统中的业务安全漏洞，安全365测试服务通过对客户业务流程、逻辑的梳理，将业务安全测试覆盖到每一个业务操作点，深入挖掘业务操作过程中可能存在的业务安全漏洞。
       6) 网络设备
       渗透测试服务将对客户现有网络中的网络设备及网络安全设备进行安全测试，利用已知或者挖掘未知的安全漏洞，突破网络安全防护边界限制和安全控制策略，为客户暴露隐藏的网络安全隐患点。
 

三、服务流程

       客户需要填写安全评估服务委托单，将安全检测的域名、IP、对象信息盖章扫描件提供给互联互通工程师，我们的安全服务团队便会对您的系统开展专业而全面的安全测试服务，为测试发现的安全漏洞提供专业的修复建议，待漏洞修复完毕后，再次对您的系统进行复查测试，项目交付时提供安全评估初测报告及复测报告。

一、现状调研

从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括：
（1）项目启动：前期沟通，实施计划，项目小组，资源支持，启动会议。
（2）前期培训：信息安全管理基础，风险评估方法。
（3）现状评估：初步了解信息安全现状，分析与ISO27001标准要求的差距。
（4）业务分析：访谈调查，核心与支持业务，业务对资源的需求，业务影响分析。
 

二、风险评估

对贵公司信息资产进行资产价值、威胁因素、脆弱性分析，从而评估贵公司信息安全风险，选择适当的措施、方法实现管理风险的目的。
（1）资产识别：识别贵公司的各种信息资产。
（2）风险评估：重要资产、威胁、弱点、风险识别与评估。
 

三、管理策划

根据贵公司对信息安全风险的策略，制定相应信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。
（1）文件编写：编写ISMS各级管理文件，进行Review及修订，管理层讨论确认。
（2）发布实施：ISMS实施计划，体系文件发布，控制措施实施。
（3）中期培训：全员安全意识培训，ISMS实施推广培训，必要的考核。
 

四、体系实施

ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。
（1）认证申请：与认证机构切磋商，准备材料申请认证，制定认证计划，预审核。
（2）后期培训：审核员等角色的专业技能培训。
（3）内部审核：审核计划，Checklist，内部审核，不符合项整改
（4）管理评审：信息安全管理委员会组织ISMS整体评审，纠正预防。
 

五、认证审核

经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。
（1）认证准备：准备送审文件，安排部署审核事项。
（2）协助认证：内部审核小组陪同协助，应对审核问题。