信息安全管理程序

信息安全管理程序目的本程序的目的是在所有服务活动中有效管理信息安全。满足服务级别协议中的安全性需求以及合同、法律和外部政策等外部要求；提供一个独立于外部需求的基本的信息系统安全基线；确保有效的信息安全措施在战略层、战术层和运营层三个层面都得到贯彻。范围本程序适用于公司运维项目的信息安全管理。定义安全性在IT服务中被视为可用性管理的一部分。安全管理已经成为现代IT服务管理中一个重要的问题。安全性是指不易遭到已知风险的侵袭，并且尽可能地规避未知风险的性能。提供这种性能的工具是安全措施。安全措施的目标是要保护信息的价值，这种价值取决于机密性、完整性和可用性三个方面。机密性指保护信息免受未经授权的访问和使用。完整性指信息的准确性、完全性和及时性。可用性是信息在任何约定的时间内都可以被访问。这取决于由信息处理系统所提供的持续性。职责软件产品研发部：根据组织安全需求，开发与维护信息安全计划处理与安全相关的问题和事件确保满足SLA中指定的安全需求完成包含流程结果，自评估及内部审计相关内容的报告流程输入SLA中的安全内容定义了用户关于安全的详细说明安全政策：安全政策定义了组织层面的安全要求。外部需求：当组织与外部资源相互作用时，需要满足外部对安全的需求输出日常安全计划：是所有流程实施的组成部分异常报告：记录需要采取特定安全措施的异常情况流程活动：5.1计划5.1.1计划包括在与服务级别管理磋商后制定服务级别协议中的安全部分，以及与安全相关的支撑合同中的活动。5.1.2计划不仅接收来自服务级别协议的信息而且还有来自公司的信息安全策略要求，例如：“每个用户的身份必须可以唯一识别”和“在任何时候必须为客户提供一个基本的安全级别”。5.1.3服务级别协议中的安全部分应当确保客户所有的安全需求和标准能够实现，并且实现的结果能够进行明确的验证。5.1.4结合项目实际情况对项目进行信息安全风险评估，并针对高风险制定应对措施，形成运维服务项目的《信息安全风险评估与处置表》。5.2实施5.2.1实施计划中规定的所有安全措施。可包括以下内容：责任划分的实施，以及岗位分离的实施；处理事件的流程；恢复设施的实施；针对服务器、计算机、应用系统、网络和网络服务的管理措施的实施；访问和访问控制政策的实施；针对计算机系统、工作站和连接在网络上的计算机的身份识别和验证措施的实施。5.3评估5.3.1对安全措施的实施结果进行独立的评估是非常重要的。5.3.2评估结果可用来更新与客户协商约定的安全措施，也可用于改进它们的实施效果。5.3.3根据评估的结果还可以建议实施某些变更，在这种情况下可以制作一项变更请求并提交给变更管理流程。5.3.4评估的主要活动包括：核实遵循安全政策的情况以及安全计划的实施情况；对IT系统实施安全审计；找出对IT资源的不正确的使用，并作出相应的处理；承担其它IT审计的安全方面。5.4维护5.4.1由于IT基础架构、组织和业务流程方面的变化导致相关的风险也随着发生变化，因此安全也需要进行维护。5.4.2安全维护包括服务级别协议中安全部分的维护以及详细的安全计划的维护。5.4.3维护需要根据评估的结果以及对风险变化的评估结果进行。这些建议既可以直接被计划子流程所采纳，也可以纳入总体的服务级别协议的维护中。5.5报告5.5.1报告可以提供有关已实现安全绩效方面的信息，并可以让客户了解有关的安全问题。这些报告通常是在与客户签订的协议中所要求的。5.5.2客户还需要了解所有的信息安全事件，针对发生的信息安全事件，应在事件报告的同时向客户单独报告。5.5.3为了报告服务级别协议中定义的安全事件，可通过项目经理与客户代表建立直接的沟通渠道。5.5.4