ITSS-15-08信息安全管理控制程序

1、信息平安管理控制程序信息平安事件分类表大类小类例子环境事件自然灾害水灾、地震、火灾等外围保障设施故障电力故障、外围网络故障等资产自身故障自然老化、硬件故障、软件故障等人为事件内部员工有意事件偷窃、有意泄密、故意破坏等内部员工无意事件无意泄密、操作失误等外部人员有意事件偷窃、非授权访问等外部人员无意事件误操作、误访问等4. 6. 3处理程序4. 6. 3. 1发现平安事件并报告任何员工发现信息平安事件（如：公司或客户系统被未授权人访问，公司或客户机密信 息被未授权人更改或删除，公司或客户系统与网络出现异常现象，盗窃，硬件设施被损毁， 文档资料丧失或其他方面的事件）时，立即向技术部IT服务管理小组

2、报告并填写信息平安 事件报告。4. 6. 3. 2评估事件类别IT服务管理小组相关人员评估事件的范围、影响、严重性和类别，并初步判断事件等级 按照分级和分类准那么，填写信息平安事件报告中的“事件等级”和“事件分 类“。4. 6. 3. 3判断事件等级和处理IT服务管理小组应充分评估事件类别、性质、严重程度并对事件等级做出判断。当事件定义为二、三、四级时，由服务管理小组协调相关资源和相关人员，组建信息 平安反响小组，并以积极、负责的态度为原那么，制定解决方案并及时处理，确保事件对业务 运行的影响最小化和控制事件的开展和蔓延。当事件定义为一级时，由IT服务管理小组协调相关资源和相关人员，组建信息平

3、安应急 小组，通报公司决策层并指定责任人，制定解决方案及时处理，及时向决策层汇报事件处理进 度及情况。在处理事件的过程中必须权衡各种利弊关系，以对业务运行的最小化影响或损失为原 那么。信息平安反响小组/应急小组相关人员在事件处理完毕后，填写信息平安事件报告 并通报给IT服务管理小组。4. 6. 3. 4事件解决结果评审IT服务管理小组对事件的处理结果审核，审核不通过时可要求重新处理，同时应该保持经常与公司管理层沟通。4. 6. 3. 5事件总结及惩戒处理IT服务管理小组详细分析整个事件的前因后果，充分总结。协调技术部根据信息平安事 件发生的类型和严重程度执行惩戒处理，在处理时应以有责必究为原那

4、么并填在信息平安事 件报告中的“必要的处分“O4. 6. 3. 6判定是否采取纠正措施IT服务管理小组相关人员根据事件处理情况和事件总结，给出建议或纠正措施，填写信 息平安事件报告，将信息平安事件报告提交技术部。如要采取新的纠正措施涉及到利用公司资源的，需要相关部门积极配合，必要时还需上 报给公司管理层决定。序号输入过程步骤输出12345678服务级别需求、j4信息平安需求识别和 分析、法律法规的要求确定平安实施范围F信息平安风险评估4风险评估报告-J、自身需求-、-设计平安规范信息平安 管理规范 - 实施平安规范监控平安状况信息平安事件 记录 、J维护平安规范 和信息平安改进变更管理)T信息

5、平安报告服务报告)信息平安管理流程4. 6. 4处分确定4. 6. 4. 1处分种类 口头警告、书面警告、记过、开除降级、免除或撤消职务减发绩效工资和岗位工资、降低绩效工资和岗位工资级数4. 6. 4. 2违纪种类以下违纪给予口头警告1） 一个自然月内被信息平安管理员平安检查中发现违反公司信息平安制度累 计两次者；2）造成的信息平安事件等级为四级；以下违纪给予书面警告，并可降级降薪、减发当月基础工资的8-10%1）累计两次以上口头警告者；2）违反机密、信息平安管理规定，造成的信息平安事件等级为三级；以下违纪给予记过，并可免除或撤消职务、降薪、减发当月基础工资的11-30%1）累计两次以上书面警

6、告者；2）违反机密、信息平安管理规定，信息平安事件等级为二级；以下违纪给予开除（作违纪解除劳动合同处理）或采取法律诉讼1）累计两次记过者；2）违反机密、信息平安管理规定，信息平安事件等级为一级。7关键绩效指标KPI频度责任部门目标值计算公式/方法重大信息平安事 件数量按季度运维部0次重大信息平安事件发生的次数目录 TOC o 1-5 h z 目的3适用范围3.职责与术语3工作程序3 HYPERLINK l bookmark6 o Current Document 1识别信息平安需求3 HYPERLINK l bookmark8 o Current Document 2资产识别6 HYPERLI

7、NK l bookmark10 o Current Document 3风险评估73. 1风险识别73. 2风险分析及判定73. 3风险评价84风险处置8定期评估和检查86信息平安事件96. 1信息平安事件分级96. 1. 1分级要素96.L2分级描述96. 2事件分类96.3处理程序106. 3.1发现平安事件并报告106. 3. 2评估事件类别106. 3. 3判断事件等级和处理106. 3. 4事件解决结果评审106. 3. 5事件总结及惩戒处理116. 4处分确定116. 4.1处分种类116. 4. 2违纪种类117关键绩效指标12.相关文件错误!未定义书签。.记录错误味定义书签。.

8、目的为建立一个适当的信息平安事态、信息平安事故、薄弱点和故障报告、反响与处理机 制，减少信息平安事故和故障所造成的损失，采取有效的纠正与预防措施，特制定本程序。.适用范围适用活动：运维服务过程中的信息平安事故管理相关内容。.职责与术语1职责：运维部：牵头管理信息平安管理。其他部门：按照公司管理制度实施信息平安管理。2术语：信息平安事件是指由于客户信息资产的可用性、完整性或机密性受损而造成危害 的事件。平安管理是顺应信息平安的需要而产生的，其主要目标是确保信息的平安性。平安管理致力于确保服务的平安性在任何时候都能到达与客户约定的级别。平安性在服务中被视为可用性管理的一局部。平安管理已经成为现代服

9、务管理中一个重要的问题。平安性是指不易遭到风险的侵袭，并且尽可能地规避未知风险的性能。提供 这种性能的工具是平安措施。平安措施的目标是要保护信息的价值，这种价值取决于机密性、完整性和可用性 三个方面。术语定义机密性指保护信息免受未经授权的访问和使用。完整性指信息的准确性、完全性和及时性。可用性是信息在任何约定的时间内都可以被访问，这取决于由信息处理系统所提供 的持续性。4.工作程序0平安策略(1)平安方针遵循公司“统一规划、分级管理、积极防范、人人有责”的原那么，按照公司统一部署, 结合服务/经营活动的特点，采取一切必要的措施，加强信息平安体系的建设和推进管理。（2）平安措施和平安规范公司信息

10、化设备管理：1）严禁将公司配发给员工用于办公的计算机转借给非公司员工使用，严禁利用公司信息化 设备资源为第三方从事兼职工作。2）公司所有硬件服务器统一放置在机房内，由专人承当管理职责，专人负责服务器杀毒、 升级、备份。3）非公司技术人员对我单位的设备、系统等进行维修、维护时，必须由公司相关技术人 员现场全程监督。计算机设备送外维修，必须经过部门负责人批准。4）严格遵守计算机设备使用及平安操作规程和正确的使用方法。任何人不允许私自对信 息化设备进行维修及操作，不得擅自拆卸、更换或破坏信息化设备及其部件。5）计算机的使用部门和个人要保持清洁、平安、良好的计算机设备工作环境，禁止在计 算机应用环境中

11、放置易燃易爆、强腐蚀、强磁性等有害计算机设备平安的物品。6）原那么上公司所有终端电脑、服务器都必须设定开机登录密码和屏幕保护密码，对于交 换机、防火墙、路由器等网络设备也必须设置管理密码。7）公司所有终端电脑、服务器都必须安装正版杀毒软件，公司网络管理员必须对服务器 进行定期杀毒、病毒库升级、补丁修复。（3）密码与权限管理1）密码设置应具有平安性、保密性，不能使用简单的代码和标记。2）密码是保护系统和数据平安的控制代码，也是保护用户自身权益的控制代码。密码设 置不应是名字、生日、重复、顺序、规律数字等容易猜想的数字和字符串；密码如发现或怀 疑密码遗失或泄露应立即修改。3）服务器、防火墙、路由器

12、、交换机等重要设备的管理密码由公司网络管理员（不参与 系统开发和维护的人员）设置和管理，并由密码设置人员将密码妥善保存。4）有关密码授权工作人员调离岗位，公司网络管理员应对密码立即修改或用户删除。（4）公司信息平安管理1）公司每一位员工都有保守公司信息平安防止泄密的责任，任何人不得向任何单位或个人 泄露公司技术和商业机密，如因学术交流或论文发表涉及公司技术或商业机密，应提前向公 司汇报，并在获取批准同意后，方能认可的形式对外发布。2）定期对公司重要信息包括软件代码进行备份，管理人员实施备份操作时.，必须有两人在 场，备份完成后，立即交由研发中心封存保管。3）存放备份数据的介质包括电脑、U盘、移

13、动硬盘、光盘和纸质，所有备份介质必须明确标 识备份内容和事件，并实行异地存放。4）数据恢复前，必须对原环境的数据进行备份，防止有用数据的丧失。数据恢复过程中， 如果出现问题时由工程中心进行现场技术支持。5）数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的 备份数据要进行定期保存或者永久保存，并确保可以随时使用。数据清理的实施应避开业务 高峰期防止对联系业务运行造成影响。6）非本公司技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术 人员现场全程监督。计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设 备存储介质内的应用软件和数据等信息备

14、份后删除，并进行登记。对修复的设备，设备维修 人员对应设备进行验收、病毒检测和登记。7）管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用 的资料和介质，防止泄密。8）运维服务部负责计算机病毒的防范工作，经常进行计算机病毒检查，发现病毒及时清除。 （5）运维工程现场/客户的信息平安管理1）公司每一位员工都有保守客户信息平安，防止泄密的责任，任何人不得向任何单位或个 人泄密客户信息。2）各工程经理应主动向客户提出信息平安的管理服务，假设客户不愿意做，工程经理应向客 户说明利弊，提出合理的信息平安管理服务建议。3）如果为客户提供的数据备份服务，应定期对服务范围内的重要信息

15、进行备份，管理人员 实施备份操作时，必须有两人在场，备份完成后，立即交由客户制定的备份管理人员进行保 管。4）存放备份数据的介质包括电脑、U盘、移动硬盘、光盘和纸质等，涉密单位介质使用参照 客户保密要求。5）数据恢复前，必须对原环境的数据进行备份，防止有用数据的丧失。数据恢复后，必须 进行验证、确认，确保数据恢复的完整性和可用性。6）数据清理前必须对数据进行备份，在确认备份正确后可进行清理操作，历次清理前的备 份数据要定期保存或者永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期 防止对客户业务运行造成影响。7）同意送修的设备，送修前，需将设备存储介质内的应用软件和数据等涉及经营管理

16、的信 息备份后删除，并进行登记。对修复的设备，应进行病毒检测。8）管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用 的资料和介质，防止泄密。9）严禁利用客户的信息化设备资源为第三方提供服务。10）非客户授权人员对服务范围内的设备、系统等进行维修、维护时，必须由相关技术人员 现场全程监督。计算机设备送外维修，必须经过客户相关负责人批准。11）禁止在计算机应用环境中放置易燃易爆、强腐蚀、强磁性等有害计算机设备平安的物品。12）客户的密码管理需由客户指定专人进行管理，工程经理应建议客户定期修改并妥善保管。13）涉及系统管理员的服务工程，系统管理员权限由客户授权。（6）风险

17、识别评估工程经理应组织人员主动检查客户/公司在信息技术的平安方面所面临的风险。针对平安要求高，客户明确运维对象的信息平安属于我方责任范围的工程，信息平安评估遵 循信息平安风险评估实施指南。针对客户明确运维对象的信息平安属于客户责任范围的工程，遵循以下原那么进行列举检查表 形式的风险评估：1）主动识别来自法律法规、行业规定、客户要求（包括服务级别协议）的平安需求，制定平安措施和平安规范满足平安需求；2）制定措施确保服务相关人员遵守客户现场的平安制度；3）应主动识别服务相关人员可能接触到的客户机密和敏感信息，制定措施确保服务相关人 员不会故意或无意泄漏客户的有价值信息；4）应主动识别服务相关人员在

18、服务过程中可能造成客户信息的不完整或不可用，制定服务 规范和相应措施规避此风险；5）应做到“适当勤奋”，识别出服务相关人员接触到的客户信息系统所面临的物理、人员、 管理、设置等方面的平安风险，告知客户并提供相应建议；6）进行适度的平安检查，以确保平安风险和平安事件的暴漏和处理；7）进行全面的信息平安教育，做到信息平安，人人有责；8）主动地进行信息平安方面的评审和改进，确保平安体系的有效。识别信息平安需求识别运行维护过程中应遵守的相关法律法规，与需方进行沟通和协商，了解其对运行维 护服务过程的信息平安需求，同时考虑我方的信息平安需求。4. 2资产识别识别出在信息平安管理体系范围内与被评估的业务运

19、营及信息相关的资产，形成资产 识别清单。资产分类方法如下表:资产分类方法分类例如备注软件应用软件：办公软件、数据库软件、工具软件 系统软件：操作系统、数据库管理系统、开发系统等 源程序：各种共享源代码、自行开发的各种代码硬件存储设备：磁带机、光盘、软盘、移动硬盘等网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等 保障设备：UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等 平安设备：防火墙、入侵检测系统等 其他：打印机、扫描仪、复印机等数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规 程、报告、用户手册、

20、各类纸质的文档等服务网络服务：各种网络设备、设施提供的网络连接服务 信息服务：对外依赖该系统开展的各类服务 办公服务：为提高效率而开发的管理信息系统人员掌握重要信息和核心业务的人员，如管理者代表、体系人员、主机维护主管、网络维护 主管及运维工程经理等4. 3风险评估风险评估过程包括风险识别、风险分析和风险评价。4. 3.1风险识别风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等，形成全面的风 险列表。识别可能发生的或可能存在的影响系统和组织实现信息平安目标的事件或情况。针对已识别的风险进行确认已经存在的控制及管理方法，管理方法包括公司依据存 在和执行的机房环境、系统平安、网络平安

21、、应用系统平安等方面的技术控制和管理措 施。对有效的平安措施继续保持，以防止不必要的工作和费用，防止平安措施的重复实 施。对确认为不适当的平安措施应核实是否应被取消或对其进行修正，或用更合适的安 全措施替代。针对变更对IT基础架构带来的影响，应当对原先的防护和控制措施进行重 新的评估，以使当前的控制措施能够满足组织的信息平安要求。4. 3. 2风险分析及判定在完成了风险识别以及已有平安措施确认后，将采用适当的方法与工具确定导致安 全事件发生的可能性。综合平安事件所作用的资产价值，判断平安事件造成的损失对组 织的影响，从而判断风险的等级。可以依据下表中准那么判断风险的等级。风险等级划分表4. 3

22、. 3风险评价等级描述备注高风险发生对组织信誉严重破坏、严重影响组织的正常经营，影响组织范 围或一定范围，经济损失重大、社会影响恶劣。中风险发生会造成组织一定的经济、生产经营或社会影响，但影响面和影 响程度不大。低风险发生造成的影响程度较低，一般仅限于组织内部，通过一定手段或 简单手段很快能解决。风险评价是将估计后的风险与给定的风险接受准那么比照，以决定风险的水平并确定 控制风险的优先顺序。经过风险评价，确定该风险是可承受还是需进行处理。风险接受的准那么如下表：等级描述高严重不可接受的风险中一般不可接收风险或有条件接受的风险低不需要评审即可接受的风险4. 4风险处置超过可接受风险水平值时可按以

23、下方法进行处理，并形成信息平安风险处置计划：1）风险降低：采用适当的控制措施降低风险；2）风险接受：假设风险明显地符合组织的政策与风险承受准那么，可在掌握状况下客 观地接受风险造成的后果；3）风险转移：即将相关的营运风险转移至其它机构，如保险公司、第三方服务商;4）对于不可接受的风险，经过采取控制措施并实施后，重新评估以确认其风险等 级，确保所采取的控制措施是充分的，直到其风险降至可接受。4. 5定期评估和检查每年至少一次全面审查风险评估内容与状态的适应性，以确定是否存在新的风险及是否 需要增加新的控制措施，对发生以下情况需及时进行风险评估：1）管理层确定有必要时。2）当发生重大信息平安事故时；3）当新增加服务/资