ABCD-ITSMS-P25 信息安全管理程序

信息安全管理程序文档编号SC-ITSMS-P25文档版本号V1.0当前版本日期2021/09/05下次文档回顾日期2022/09/04文档编制后勤部文档审核张言文档批准苟彬密级内部公开杭州世拓创意智能科技有限公司该文档的最新版本保存在文件服务器上，在使用该文档前使用者有责任从文件服务器中获取最新版本。该文档的打印版本仅用来参考。文档信息文档的保存主控文档(masterdocument)存放在文件服务器上。文档修订信息版本号修订日期修订人修订说明备注V1.0后勤部按照18020000-1:2018版标准新建体系文件文档的审批该文档需要以下的审批:姓名职位是否批准苟彬总经理是文档的分发该文档的主控版本存放于文件服务器上，该文档的打印版本仅用作参考并且不在控制范围内。该文档的使用者有责任确保使用的是最新版本。1目的满足SLA中的安全性需求以及合同、法律和外部政策等的要求。2范围适用于公司提供IT服务的部门，以及与信息安全和风险防范有关的活动的管理。3职责编号角色职责1信息安全经理负责组织建立信息安全方针、制度，计划、实施信息安全要求，监控、报告和响应信息安全事件。负责协助处理信息安全事件，制订信息安全解决方案，组织评价变更对信息安全的影响，参与信息安全管理的改进。2评审组负责定期评审信息安全执行情况及其绩效。4工作程序组织制订信息安全方针信息安全经理根据公司IT服务工作的特点收集相应的信息安全需求。根据公司的业务需求，信息安全经理组织各部门根据服务级别协议（SLA）的要求,对信息安全的要求进行讨论，制订公司《信息安全管理规范》，经管理者代表批准后发放相关部门。其中应包括：a）信息安全活动的方针。b）信息安全管理的范围、目标、策略和要求。c）安全的职能和职责。d）风险评价标准。制定信息安全管理计划421信息安全经理负责组织评估信息安全风险。评估风险时应考虑：a）风险发生可能带来的业务影响和后果。b）风险发生的现实可能性。c）资产的主要威胁、脆弱点和影响以及已经实施的安全控制措施。d）根据可接受风险的准则，判断风险的处理办法。制定信息安全管理计划信息安全经理根据所识别的风险，制订相关的信息安全控制措施，经管理者代表批准后执行。其中应明确：技术要求（物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等），管理要求（安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等）。运行监控431信息安全经理应实施和监控控制措施，开展信息安全管理的活动，以达到安全控制的目标。信息安全经理负责信息安全日常的运行监控，检查与信息安全有关的活动是否满足方针、合同、法律法规要求。如不符合要求，则制定纠正预防措施。信息安全经理负责安排信息安全培训，对与信安全相关的人员实施安全培训。信息安全事件处理信息安全事件按照事件管理流程处理，其优先级别与信息安全风险相适应。当发生信息安全事件时信息安全经理应组织相关人员分析信息安全事件的类型、数量和影响，以识别改进的机会。信息安全的变更当发生变更请求后，信息安全经理需要参与变更管理程序的执行，负责评估变更对信息安全的影响，并采取控制措施。包括：a）引入新的或变更的信息安全风险；b）变更对已有信息安全方针和控制措施的潜在