企业采购香港机房服务商时必须核查的合规与安全清单

1.

合规资质与法律要求

1) 核验机房是否具备ISO 27001或等同信息安全管理体系证书。
2) 要求服务商提供最近12个月内的第三方审计报告或SOC2/ISAE 3402报告。
3) 检查是否遵循香港个人资料（私隐）条例（PDPO），并询问数据处理与跨境传输政策。
4) 确认合同中包含数据主权、日志保留期限与法律应答流程（法院命令响应）。
5) 评估供应商的隐私影响评估（PIA）与数据泄露通报机制，确认通知时限与责任划分。
6) 要求提供可用于合规证明的样板合同和保密协议（NDA/ DPA）。 2.

物理与网络安全基础设施

1) 核查机房Tier等级、冗余UPS与N+1/2N发电机配置的实际运行记录。
2) 要求现场视频监控、门禁日志（至少保留90天）与定期安全巡检记录。
3) 确认机柜锁、双因素物理访问控制与访客登记流程。
4) 网络互联是否为多运营商BGP直连，带宽峰值及单点故障切换时间（应≤60秒）。
5) 检查是否有独立安全区（隔离租户、VLAN/QoS策略与物理隔离可选项）。
6) 验证环境监控（温湿度、烟感、灭火系统）的告警与自动化应对流程。 3.

主机/VPS/虚拟化与备份策略

1) 明确宿主机硬件规格、CPU型号、内存配置与虚拟化平台（KVM/Xen/VMware）。
2) 要求快照与备份频率说明：日备、周备与异地备份的保留策略（建议至少7日增量+90日全备）。
3) 核验快照恢复演练记录与RTO/RPO指标（RTO≤1小时、RPO≤4小时为优）。
4) 检查是否支持磁盘加密（静态/传输中）与密钥管理（KMS/HSM）。
5) 询问是否开放控制面板API、监控接口（Prometheus/CloudWatch兼容）与告警阈值配置。
6) 验证系统补丁治理流程与漏洞通告响应时间（高危48小时内修复或缓解）。 4.

网络防护、CDN与DDoS防御能力

1) 询问DDoS清洗容量与峰值记录（单位Gbps），是否有按流量计费或包含在套餐内。
2) 确认是否支持DDoS黑洞/清洗/分流策略与应用层（L7）防护（WAF）。
3) CDN节点覆盖、回源策略与缓存穿透保护，是否支持TLS 1.3与TLS自动证书管理。
4) 检查是否支持DNSSEC、Anycast DNS与多地域加速，防止DNS放大攻击。
5) 要求提供历史攻击案例与防护效果数据（含事件响应时间SLA）。
6) 示例服务器配置比较表（供参考）如下：

机房/实例	CPU	内存	带宽	DDoS清洗	年费(示例)
HK-DC-至强独享	8 x E5	32 GB	1 Gbps 保底	≥10 Gbps	HKD 24,000
HK-VPS-标准	4 vCPU	8 GB	500 Mbps	按需清洗（含额度）	HKD 6,000

5.

域名、证书与接入层安全检查

1) 确认域名注册信息（WHOIS）受控并启用锁定，避免域名劫持。
2) 要求证书管理流程：自动续签、证书透明日志监控与私钥保护。
3) 验证是否支持TLS强制、HSTS、完善的中间证书链与OCSP Stapling。
4) 检查DNS解析冗余、TTL策略与DNS查询日志保留期限。
5) 评估接入层WAF策略、速率限制与Bot管理能力，是否提供自定义规则。
6) 要求测试环境下进行DDOS演练与渗透测试并出具可执行的整改报告。 6.

真实案例与采购建议

1) 真实案例：2018年GitHub遭遇峰值约1.35 Tbps的Memcached放大攻击，显示了无准备环境下的巨量风险，建议评估清洗能力。
2) 真实案例（本地化经验）：某香港电商在促销日因仅部署单一机房与无CDN，遭受流量突增导致3小时不可用，损失估算数十万港元——启示是必须有跨区备份与CDN冗余。
3) 采购建议：合同应写明SLA（可用性99.95%+）、事件响应时间与罚责条款。
4) 技术建议：优先选择支持混合部署（本地+云+CDN+多机房）的供应商，并验证演练记录。
5) 最后一步：进行POC测试（压力/攻击演练/恢复演练），并留存所有测试结果作为供应商合规证明。
6) 若涉及金融或敏感数据，建议引入第三方安全评估机构做年度复审并在合同中约定复审频率。

来源：企业采购香港机房服务商时必须核查的合规与安全清单