信息安全管理流程图

1、.PAGE . 标 题： 工程方法文件名：SPC-M工程方法页数： NUMPAGES 5页信息平安管理流程说明书S-I版本号版本记录作者审核批准日期2010-9-19修改核对信息平安管理流程说明书汤笑咪信息平安管理流程说明书信息平安管理目的本流程目的在于规效劳管理和提供人员在提供效劳流程中应遵循和执行的相关活动，保证信息平安管理目标的实现，满足SLA中的信息平安性需求以及合同、法律和外部政策等的要求。在所有的效劳活动中有效地管理信息平安；使用标准的方法和步骤有效而迅速的处理各种与信息平安相关的问题，识别并跟踪组织任何信息平安授权访问；满足效劳级别协议、合同、相关法规所记录的各项外部信息平安需求

2、；执行操作级别协议和根底合同围的信息平安需求。围本平安管理流程的规定主要是针对由公司承当完全维护和管理职责的IT系统、技术、资源所面临的风险的平安管理。向客户提供效劳的相关人员在效劳提供流程中所应遵循的规则依据公司信息平安管理体系所设定的平安管理规定，以及客户自身的相关平安管理规定。公司部信息、信息系统等信息资产相关的平安管理也应遵循公司信息平安管理体系所设定的平安管理规定。术语和定义相关ISO20000的术语和定义资产Asset：任何对组织有价值的事物。可用性Availability：需要时，授权实体可以访问和使用的特性。性Confidentiality：信息不可用或不被泄漏给未授权的个人、

3、实体和流程的特性。完整性Integrity：保护资产的正确和完整的特性。信息平安Information security：保护信息的性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。信息平安管理体系Information security management system ISMS：整体管理体系的一局部，基于业务风险方法以建立、实施、运行、监视、评审、保持和改良信息平安。注：管理体系包括组织机构、策略、筹划、活动、职责、惯例、程序、流程和资源。风险分析Risk analysis：系统地使用信息以识别来源和估计风险。风险评价Risk evaluation：将估计的风险与既定

4、的风险准则进展比拟以确定重要风险的流程。风险评估Risk assessment：风险分析和风险评价的全流程。风险处置Risk treatment：选择和实施措施以改变风险的流程。风险管理Risk management：指导和控制一个组织的风险的协调的活动。剩余风险Residual risk：实施风险处置后仍旧残留的风险。其他术语和定义文件document：信息和存储信息的媒体；注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；注2：文件的例子，如策略声明、方案、程序、效劳级别协议和合同；记录record：描述完成结果的文件或执行活动的证据；注1：在本标准中，应区分记录与文件

5、，记录是活动的证据，文件是目标的证据；注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录；KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process Indication即关键流程指标。是通过对组织部流程的关键参数进展设置、取样、计算、分析，衡量流程绩效的一种目标式量化管理指标，流程绩效管理的根底。角色和职责信息平安经理职责：负责信息平安管理流程的设计、评估和完善；负责确定用户和业务对IT效劳信息平安的详细需求；负责保证需求的IT效劳信息平安的实现本钱是适当的；负责定义IT效劳信息平安目标；负责调配相关人员实施信息平安管理流程以及相关

6、的方法和技术；负责建立度量和报告机制；保证IT效劳信息平安管理流程以及相关的方法和技术被定期回忆和评审。主要技能：很强的决策和判断能力了解组织的文化和政治背景熟悉国家公布的平安相关法律法规很强的技术背景，对IT架构有总体的了解工程管理技能卓有成效的管理和组织会议、管理和组织人员的能力对生产环境、组织架构、与业务部门的关系等，有充分的总体了解良好的面向客户的沟通技巧协调和处理多个任务的能力足够的社交技能和信誉，可以和各个高层管理人员和各个支持小组进展协商和沟通信息平安责任人信息平安流程负责人通过从宏观上监控流程，来确保信息平安流程被正确地执行。当流程不能够适应公司的情况时，流程负责人必须及时对此

7、进展分析、找出缺陷、进展改良，从而实现可持续提高。职责：确保信息平安流程能够取得管理层的参与和支持确保信息平安流程符合公司实际状况和公司 IT开展战略总体上管理和监控流程，建立信息平安流程实施、评估和持续优化机制确保信息平安流程实用、有效、正确地执行，当流程不能够适应公司的情况时，必须及时对此进展分析、找出缺陷、进展改良(比方增加或合并流程的角色)，从而实现可持续提高流程效率保持与其他流程负责人的定期沟通主要技能：深刻了解信息平安管理流程，熟悉信息平安管理流程和其他流程之间的关系；具有很强的方案、组织、领导和控制才能，能够综合各方意见，按时制订和定期优化流程；具有很好的沟通协调技能，能够取得公

8、司高层的支持，获得所需资源；具有流程设计经历；具有良好的团队合作精神和跨部门沟通协调能力；有很强的分析和处理问题的能力，能够分析流程执行中的问题，并提出改良意见；有决策权，能够确保信息平安管理流程设计要求在实施工程中得到贯彻和执行；信息平安分析员职责：对系统的信息平安进展分析和评估，并提出修改建议；按照信息平安规划中对信息平安目标的要求，进展信息平安具体监控指标的定义。主要技能：很强的技术背景，对IT架构有总体的了解有较好的风险分析能力信息平安监视员信息平安监视员的职责包括：按照信息平安要求，对监控对象进展信息平安监视；对信息平安监控流程、相关行为和监控结果进展记录、存档；定期对信息平安监控结

9、果进展分析，并生成信息平安监控报告。主要技能：熟悉信息平安监视工具熟悉信息平安管理流程信息平安管理流程信息平安管理概要流程为方便理解信息平安管理流程，信息平安管理流程将采用分级的方式进展表述。信息平安管理概要流程主要从整体上描述可用性的处理流程，不会表达具体的细节和涵盖所有的人员。参见图1 信息平安管理概要流程图。图1 信息平安管理流程风险规划输入：效劳管理规划。信息平安风险评估程序为风险规划提供了资产识别、风险评估的指南。图2 风险规划.1确定平安需求识别客户对IT信息平安的需求和目标，进展信息平安需求分析。信息平安需求要求的来源主要包括：效劳合同或SLA相关条款中约定；法律法规的要求；客户

10、业务特点或所在行业业务特性所确定的平安要求；公司部的平安要求。.2风险评估信息平安分析员根据资产识别情况制定风险评估方法，通过识别信息资产、风险等级评估认知本公司的平安风险，在考虑控制本钱与风险平衡的前提下选择适宜控制目标和控制方式将平安风险控制在可承受的水平。风险评估方法可以参考信息平安管理体系的风险评估方法和程序。.3信息平安改良建议将风险分析的结果进展现状AS IS和目标系统(TO BE)之间的差距分析，为弥补差距，提出适当的解决方案，并进展本钱估算。信息平安改良建议应由信息平安经理会同客户进展评审和批准。2控制措施实施根据风险规划中的相关容，信息平安经理组织协调控制措施实施，包括一些设

11、备采购申请、安装等活动的执行。主要通过变更管理、发布管理和供给商管理执行。3控制措施监视信息平安管理和监视流程是指按照信息平安方案实施控制措施，并对控制措施进展管理和维护的活动。4风险评审与建议信息平安分析专家根据信息平安的运行和管理状况，对平安状态状况进展评价和分析，对信息平安方案中的一些不合理的要点进展汇总，并整理出信息平安优化方案。将信息平安改良建议整合入整体信息平安改良方案中，作为今后改良的指导，并提交给信息平安主管会同客户进展评审和批准。信息平安优化方案在批准后应通过变更管理流程进展优化方案的实施。与其他流程的关系下列图为信息平安管理流程与其他流程的之间的强相关流程。强相关流程是指，

12、在信息平安管理流程中，可能需要直接触发其他管理流程， 或直接向*些流程获取必要数据。对于信息平安管理流程没有直接影响的其他管理流程，则不在本流程中进展描述。图3与其他流程的关系效劳级别管理平安管理根据平安协议，制定平安控制措施，确保效劳到达平安协议标准，供其进展SLA的协商、签订动作，当完成SLA签订之后，平安管理流程负责平安的实施、监控。平安管理流程必须保证SLA目标可以完成，并进展持续的改良动作。连续性管理信息平安管理和效劳连续性管理密切相关，两种流程均以化解 IT 效劳可用性风险为努力目标。信息平安管理规程以应对人们意料之中的常见可用性风险如硬件故障等为第一要务。而效劳连续性管理则集中致力于化解较为极端且相对罕见的可用性风险如火灾和洪水。连续性管理的重要输出是关键业务清单，其中定义了所有的关键业务、每个关键业务的最终用户等信息。 当确定可用性需求时，必须以关键业务清单作为重要输入，从而真正满足最终业务部门的需求。变更管理变更管理应考虑对平安的影响，平安管理需参与CAB会议并提出意见；平安改良方案的实施应当通过变更管理流程控制。事件/问题管理平安监视流程中，发现的信息平安事件需要上报给事件管理流程，由事件管理/问题管理流程负责解决。另外，平安管理需要对问题数据库及事件数据库进展分析，来