版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第第页信息安全管理流程说明书(S-I)版本号版本记录作者审核批准日期2010-9-19修改核对信息安全管理流程说明书信息安全管理流程说明书信息安全管理目的本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。在所有的服务活动中有效地管理信息安全;使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟踪组织内任何信息安全授权访问;满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求;执行操作级别协议和基础合同范围内的信息安全需求。范围本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。术语和定义相关ISO20000的术语和定义资产(Asset):任何对组织有价值的事物。可用性(Availability):需要时,授权实体可以访问和使用的特性。保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的特性。完整性(Integrity):保护资产的正确和完整的特性。信息安全(Informationsecurity):保护信息的保密性、完整性、可用性及其他属性,如:真实性、可核查性、可靠性、防抵赖性。信息安全管理体系(InformationsecuritymanagementsystemISMS):整体管理体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源。风险分析(Riskanalysis):系统地使用信息以识别来源和估计风险。风险评价(Riskevaluation):将估计的风险与既定的风险准则进行比较以确定重要风险的流程。风险评估(Riskassessment):风险分析和风险评价的全流程。风险处置(Risktreatment):选择和实施措施以改变风险的流程。风险管理(Riskmanagement):指导和控制一个组织的风险的协调的活动。残余风险(Residualrisk):实施风险处置后仍旧残留的风险。其他术语和定义文件(document):信息和存储信息的媒体;注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据;注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同;记录(record):描述完成结果的文件或执行活动的证据;注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据;注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录;KPI:KeyPerformanceIndicators即关键绩绩效指标;也作KeyProcessIndication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。角色和职责信息安全经理职责:负责信息安全管理流程的设计、评估和完善;负责确定用户和业务对IT服务信息安全的详细需求;负责保证需求的IT服务信息安全的实现成本是适当的;负责定义IT服务信息安全目标;负责调配相关人员实施信息安全管理流程以及相关的方法和技术;负责建立度量和报告机制;保证IT服务信息安全管理流程以及相关的方法和技术被定期回顾和评审。主要技能:很强的决策和判断能力了解组织的文化和政治背景熟悉国家颁布的安全相关法律法规很强的技术背景,对IT架构有总体的了解项目管理技能卓有成效的管理和组织会议、管理和组织人员的能力对生产环境、组织架构、与业务部门的关系等,有充分的总体了解良好的面向客户的沟通技巧协调和处理多个任务的能力足够的社交技能和信誉,可以和各个高层管理人员和各个支持小组进行协商和沟通信息安全责任人信息安全流程负责人通过从宏观上监控流程,来确保信息安全流程被正确地执行。当流程不能够适应公司的情况时,流程负责人必须及时对此进行分析、找出缺陷、进行改进,从而实现可持续提高。职责:确保信息安全流程能够取得管理层的参与和支持确保信息安全流程符合公司实际状况和公司IT发展战略总体上管理和监控流程,建立信息安全流程实施、评估和持续优化机制确保信息安全流程实用、有效、正确地执行,当流程不能够适应公司的情况时,必须及时对此进行分析、找出缺陷、进行改进(比如增加或合并流程的角色),从而实现可持续提高流程效率保持与其他流程负责人的定期沟通主要技能:深刻了解信息安全管理流程,熟悉信息安全管理流程和其他流程之间的关系;具有很强的计划、组织、领导和控制才能,能够综合各方意见,按时制订和定期优化流程;具有很好的沟通协调技能,能够取得公司高层的支持,获得所需资源;具有流程设计经验;具有良好的团队合作精神和跨部门沟通协调能力;有很强的分析和处理问题的能力,能够分析流程执行中的问题,并提出改进意见;有决策权,能够确保信息安全管理流程设计要求在实施项目中得到贯彻和执行;信息安全分析员职责:对系统的信息安全进行分析和评估,并提出修改建议;按照信息安全规划中对信息安全目标的要求,进行信息安全具体监控指标的定义。主要技能:很强的技术背景,对IT架构有总体的了解有较好的风险分析能力信息安全监视员信息安全监视员的职责包括:按照信息安全要求,对监控对象进行信息安全监视;对信息安全监控流程、相关行为和监控结果进行记录、存档;定期对信息安全监控结果进行分析,并生成信息安全监控报告。主要技能:熟悉信息安全监视工具熟悉信息安全管理流程信息安全管理流程信息安全管理概要流程为方便理解信息安全管理流程,信息安全管理流程将采用分级的方式进行表述。信息安全管理概要流程主要从整体上描述可用性的处理流程,不会体现具体的细节和涵盖所有的人员。参见图1信息安全管理概要流程图。图1信息安全管理流程风险规划输入:服务管理规划。信息安全风险评估程序为风险规划提供了资产识别、风险评估的指南。图2风险规划.1确定安全需求识别客户对IT信息安全的需求和目标,进行信息安全需求分析。信息安全需求要求的来源主要包括:服务合同或SLA相关条款中约定;法律法规的要求;客户业务特点或所在行业业务特性所确定的安全要求;公司内部的安全要求。.2风险评估信息安全分析员根据资产识别情况制定风险评估方法,通过识别信息资产、风险等级评估认知本公司的安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将安全风险控制在可接受的水平。风险评估方法可以参考信息安全管理体系的风险评估方法和程序。.3信息安全改进建议将风险分析的结果进行现状(ASIS)和目标系统(TOBE)之间的差距分析,为弥补差距,提出适当的解决方案,并进行成本估算。信息安全改进建议应由信息安全经理会同客户进行评审和批准。2.07.02控制措施实施根据风险规划中的相关内容,信息安全经理组织协调控制措施实施,包括一些设备采购申请、安装等活动的执行。主要通过变更管理、发布管理和供应商管理执行。2.07.03控制措施监视信息安全管理和监视流程是指按照信息安全计划实施控制措施,并对控制措施进行管理和维护的活动。2.07.04风险评审与建议信息安全分析专家根据信息安全的运行和管理状况,对安全状态状况进行评价和分析,对信息安全计划中的一些不合理的要点进行汇总,并整理出信息安全优化方案。将信息安全改进建议整合入整体信息安全改进计划中,作为今后改进的指导,并提交给信息安全主管会同客户进行评审和批准。信息安全优化方案在批准后应通过变更管理流程进行优化方案的实施。与其他流程的关系下图为信息安全管理流程与其他流程的之间的强相关流程。强相关流程是指,在信息安全管理流程中,可能需要直接触发其他管理流程,或直接向某些流程获取必要数据。对于信息安全管理流程没有直接影响的其他管理流程,则不在本流程中进行描述。图3与其他流程的关系服务级别管理安全管理根据安全协议,制定安全控制措施,确保服务达到安全协议标准,供其进行SLA的协商、签订动作,当完成SLA签订之后,安全管理流程负责安全的实施、监控。安全管理流程必须保证SLA目标可以完成,并进行持续的改进动作。连续性管理信息安全管理和服务连续性管理密切相关,两种流程均以化解IT服务可用性风险为努力目标。信息安全管理规程以应对人们意料之中的常见可用性风险(如硬件故障等)为第一要务。而服务连续性管理则集中致力于化解较为极端且相对罕见的可用性风险(如火灾和洪水)。连续性管理的重要输出是关键业务清单,其中定义了所有的关键业务、每个关键业务的最终用户等信息。当确定可用性需求时,必须以关键业务清单作为重要输入,从而真正满足最终业务部门的需求。变更管理变更管理应考虑对安全的影响,安全管理需参与CAB会议并提出意见;安全改进计划的实施应当通过变更管理流程控制。事件/问题管理安全监视流程中,发现的信息安全事件需要上报给事件管理流程,由事件管理/问题管理流程负责解决。另外,安全管理需要对问题数据库及事件数据库进行分析
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 员工离职协议模板
- 配电室维护协议书
- 权威加工合同范文合辑
- 大学新生入学法律协议范文
- 全面服装代理合同范本
- 消防工程专业承包合同
- 广告位承包协议范本
- 美术作品购买协议范本2024年
- 个人税收居民证明委托申请
- 准合同补充协议范本2024年
- 越南整形行业趋势分析
- 主要领导与分管领导廉政谈话记录
- 蒸汽锅炉可行性方案
- 煤焦酚-安全技术说明书MSDS
- 【课件】第二课时光合作用的原理和应用课件-2023-2024学年高一上学期生物人教版(2019)必修1
- 焚烧炉RTO操作规程
- 数据库安全事件响应机制
- 少先队辅导员笔试题
- NCCN成人癌痛指南
- 地面沉降干涉雷达监测规范
- 浙江财经大学文华校区改扩建工程项目环境影响报告
评论
0/150
提交评论