收藏 分享(赏)
下载资源 加入VIP,免费下载

01.信息安全管理过程手册.doc

上传人:tangtianxu1 文档编号:3035512 上传时间:2018-10-02 格式:DOC 页数:9 大小:189.82KB
下载 相关 举报
01.信息安全管理过程手册.doc_第1页
第1页 / 共9页
01.信息安全管理过程手册.doc_第2页
第2页 / 共9页
01.信息安全管理过程手册.doc_第3页
第3页 / 共9页
01.信息安全管理过程手册.doc_第4页
第4页 / 共9页
01.信息安全管理过程手册.doc_第5页
第5页 / 共9页
点击查看更多>>
资源描述

1、国云科技股份有限公司 文件编号 ITSS-15-07-01IT 运维服务管理体系 版 本 A信息安全管理过程手册 页 码 第 1 页,共 9 页文件发行管制类别 批准 签名 日期审查受控文件核准版本 修改原因 修改内容 发起人 生效日期A 首次发行 初稿 彭涛 2015 年 7 月 10 日制作人 彭涛 部门 实施与服务部 制作日期 2015 年 7 月 8 日国云科技股份有限公司 文件编号 ITSS-15-07-01IT 运维服务管理体系 版 本 A信息安全管理过程手册 页 码 第 2 页,共 9 页目录1. 目的 32. 范围 33. 职责 34. 信息安全管理概述 45. 信息安全管理基

2、本原则 46. 信息安全管理体系策略 56.1 生命周期管理策略 56.2 信息安全管理组织和管理层策略 66.2.1 目的 .66.2.2 策略 .66.2.3 范围 .66.3 信息安全资源管理策略 66.4 信息安全突发事件管理策略 66.4.1 策略 .66.4.2 分类 .77. 信息安全管理流程 88. 过程描述 89. 相关文件 9国云科技股份有限公司 文件编号 ITSS-15-07-01IT 运维服务管理体系 版 本 A信息安全管理过程手册 页 码 第 3 页,共 9 页1. 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平

3、,特制定本程序。2. 范围本程序适用运维服务范围内信息安全风险评估活动的管理。3. 职责信息安全管理负责人由公司技术线副总裁担任,主要具有以下职责:1) 信息安全管理目标体系的负责人;2) 确保信息安全管理目标体系的实现,并为信息安全经理协调必要的资源。信息安全经理公司信息安全经理由实施服务部指定项目经理担任,运维服务项目的信息安全经理由各项目的运维项目经理担任,主要具有以下职责:1) 对信息安全员识别的风险项进行评估,并决定处置和改进的风险项;2) 对处置和改进的风险项,以及改进带来的影响,形成安全信息服务报告;3) 公司信息安全经理主管公司内部的信息安全工作,以及所有项目客户信息及合同的信

4、息安全管理;4) 运维项目信息安全经理负责运维服务项目的信息安全工作。信息安全员由实施与服务部的资深工程师担任,主要具有以下职责:1) 识别公司内部与运维服务有关的、以及运维项目中的风险项;2) 对信息安全经理评估审批完的风险项进行处置和改进,并就结果向信息安全经理汇报。国云科技股份有限公司 文件编号 ITSS-15-07-01IT 运维服务管理体系 版 本 A信息安全管理过程手册 页 码 第 4 页,共 9 页4. 信息安全管理概述信息安全管理战略是信息安全的根本原则和总体目标,主要内容是阐述国云科技股份有限公司(以下简称:公司)信息安全工作的总体要求和目标展望。信息安全管理的战略目标是:

5、提高员工整体的信息安全意识,提高信息系统技术维护人员的安全技能水平和规范操作意识; 培养出一批专业的信息安全管理和技术人员,为公司信息化的健康、持续发展提供储备力量;同时充分借助外部力量; 在保障运行和处理性能的基础上,开展信息安全保障工作; 注重标准化建设,把安全建设作为标准化建设的一部分,提高新建项目的安全水平。5. 信息安全管理基本原则在公司政策和法规的要求下,包括对业务需求的分析和支持,信息安全管理必须遵循的基本原则包括: 必须遵从政策法规的要求,满足相应的法规、流程和技术标准; 关键业务优先级原则,有限的资源必须保证关键业务流程的支持和恢复; 风险管理原则,树立风险无处不在的意识,有

6、效地分析和管理风险; 面向流程的管理原则,制定和实施完善的 IT 服务流程:公司层面主要管理相应法规和业务需求性管理流程,并遵从流程进行活动和管理,尤其是灾难发生时的行为。项目层面主要是管理业务实施过程中的流程,确保客户信息的安全性。在信息安全管理流程中,合适授权的管理者必须批准、发布一个信息安全策略,在适当的时候与所有相关人员和客户进行沟通。适当的安全控制必须实施信息安全策略要求以及管理和服务、系统访问相关的风险。安全控制必须被文档化,文档必须描述与控制相关的风险、控制操作和维护的方式。变更对控制产生的影响必须在变更实国云科技股份有限公司 文件编号 ITSS-15-07-01IT 运维服务管

7、理体系 版 本 A信息安全管理过程手册 页 码 第 5 页,共 9 页施前被评估。当外部组织对信息系统和服务有访问权时,相关安排必须建立在一个正式的协议的基础上,该协议定义了所有必须的安全需求。安全事件必须遵循事件管理流程,尽快被报告和记录。相关流程应保证所有的安全突发事件的调查和相应管理行动的执行。必须有相关机制确保安全突发事件和故障的类型、数量和影响得到量化和监控。本流程识别出的改进行动必须被记录,并输入到一个服务改进计划。6. 信息安全管理体系策略6.1 生命周期管理策略信息安全管理是由一系列活动组成,并持续进行改进和完善,具有向前进化演变的特性,因此,在公司的信息安全管理中,将其一系列

8、活动定义为生命周期进行管理。信息安全管理的生命周期包括以下几个部分:安全规划(Plan)按照风险评估和业务需求,制定安全控制目标体系。安全管理规划完成后,如需要变更,则须遵循变更管理的流程。安全实施(Implementation)安全实施是协调安全管理过程和指标的部署,通过必要的培训和教育让相关人员具备需要的意识和技能,协调安全相关事件和问题的处理流程和记录,协调对安全协议指标的数据收集和监督,协调对安全资源和设备的监控和数据报告。安全体系维护(Maintain)安全维护是根据安全变更请求,修改安全管理体系相关流程、文档或计划,维护服务级别协议中的安全部分以及维护详细的安全计划。安全管理体系进

9、行变更后,需要协调必要的培训和评审,并参考变更的结果准备下一期的安全计划。安全管理报告(Report)安全管理报告是整理安全相关的事件、记录信息,进行总结和分析,提出改进和控制的建议,最终生成报告,其目的是希望提供与当前已实现安全水平相关的信息,同时通知客户与 IT 资源安全相关的问题,并提交管理层的关注和决策。国云科技股份有限公司 文件编号 ITSS-15-07-01IT 运维服务管理体系 版 本 A信息安全管理过程手册 页 码 第 6 页,共 9 页6.2 信息安全管理组织和管理层策略6.2.1 目的建设和健全企业的信息安全组织/部门建设,明确其工作职责,优化工作流程。6.2.2 策略安全

10、组织建设策略包括: 设置信息安全经理负责信息安全管理工作,公司信息安全项目经理主管公司内部的信息安全工作,运维服务项目的信息安全工作由运维项目的项目经理负责。 明确定义所有信息安全职责,建立和实施对于新的信息处理设施的管理授权过程; 运维服务项目的信息安全指标包括:信息安全控制目标、控制措施、策略、流程和程序等;6.2.3 范围面向企业管理层,尤其是主管信息化工作的高层人员。6.3 信息安全资源管理策略公司安全资源管理的策略是: 提供建立、实施、运行维护安全管理体系所需的资源,确保信息安全管理能够支持业务需求; 应按法律法规要求以及合同安全职责规定提供资源; 应提供资源进行正确的应用软件操作控

11、制措施满足安全需求; 在必要时应提供资源实施回顾,并针对回顾结果采取必要的措施; 在必要时应提供资源以提高信息安全管理体系的效率。国云科技股份有限公司 文件编号 ITSS-15-07-01IT 运维服务管理体系 版 本 A信息安全管理过程手册 页 码 第 7 页,共 9 页6.4 信息安全突发事件管理策略6.4.1 策略公司对于信息安全突发事件的管理纳入到信息安全突发事件管理流程中管理,其基本策略是: 定义安全类突发事件的分类体系; 定义突发事件管理与安全管理的接口,安全类突发事件定期通知安全经理; 安全经理通过定期安全类事件的通知,查看安全事件记录,并进行分析和总结; 安全经理协调安全类突发

12、事件的处理; 安全经理根据安全突发事件记录定期回顾,生成安全管理报告。6.4.2 分类以下属于信息安全事件:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、对信息造成损害的设备设施故障、灾害性事件和其他信息安全事件等。改进的基本策略: 流程执行过程中发现的不足; 流程自检过程中发现的不足; 内部审核及外部审核中,发现的与 ITSS 运维通用要求的不符合项; 管理评审过程中发现的服务/流程改进点。改进方法: 组织流程改进讨论会议,与各方就改进需求、改进目标、改进方案沟通讨论; 组织人员根据讨论结果提出服务管理改进计划及方案; 服务管理体系负责人审批改进计划; 对服务改进过程进行监控,

13、对人事和资源做出合理安排;国云科技股份有限公司 文件编号 ITSS-15-07-01IT 运维服务管理体系 版 本 A信息安全管理过程手册 页 码 第 8 页,共 9 页 向管理体系负责人汇报改进结果;根据服务改进结果安排相应的知识转移工作,包括文档的更新发放、培训课程的安排等。7. 信息安全管理流程信息安全管理流程图1.识别风险2.评估风险3.风险处置与改进4.形成信息安全报告产出物其他流程信息安全经理信息安全员0 1 识别风险项0 2 评估0 3 处置0 4 改进 变更流程0 5 信息安全服务报告风险评估报告服务报告8. 过程描述序号 活动 责任人 说明01 识别风险项 信息安全员信息安全

14、员根据IT运维服务项目的信息安全要求,参考合同于SLA相关信国云科技股份有限公司 文件编号 ITSS-15-07-01IT 运维服务管理体系 版 本 A信息安全管理过程手册 页 码 第 9 页,共 9 页息,识别出本项目的信息安全风险。02 评估信息安全经理信息安全经理收到项目组识别出的信息安全风险项,对信息安全的风险项及风险分类等进行评估,产生信息安全风险评估报告。03 处置 信息安全员信息安全员根据风险评估报告执行相关的信息安全工作。04 改进 信息安全员信息安全员在运维服务过程中不断改进信息安全的维护方法及补充信息安全风险项等信息。05 信息安全服务报告信息安全经理信息安全经理收集到的公司信息安全数据,在本年度的公司运维业务服务报告中体现本年度信息安全的服务情况。9. 相关文件事件管理过程变更管理过程信息安全控制措施

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高等教育 > 专业基础教材

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报