信息安全管理手册

Xxx有限公司ISO20000体系文件信息安全管理手册文档信息文档编号：ITSM-02-IS-01文档名称：信息安全管理规范起草人：审核人：批准人：生效日期：发布范围：版本记录版本号版本日期修改修改章节修改记录目录1 目的和范围 41.1 编写目的 41.2 适用范围 42 制定依据 43 术语定义 44 流程角色及职责 45 具体条款 45.1 信息安全政策 45.1.1信息安全方针 45.1.2信息安全风险评估 55.1.3信息安全内审 55.1.4信息安全外审 55.2 信息安全措施 55.2.1资产分类和保护 55.2.2人力资源安全 65.2.3物理与环境安全 65.2.4通讯和操作安全 65.2.5访问控制 75.2.6法律法规符合性 75.3 信息安全事件 86 相关文件与记录 8目的和范围编写目的本文件编写的目的是为了规范信息安全管理流程的相关策略及活动，确保信息安全管理流程的执行质量和执行有效性。适用范围本文档适用于xxx有限公司技术中心的运维及IT服务部（以下简称“运维及IT服务部”），本文档所规定的IT服务是指运维及IT服务部为公司研发部门所提供的IT服务。制定依据ISO/IEC20000-1:2011。术语定义本文档采用《ITSM标准术语表》中的定义。流程角色及职责相关流程流程活动说明编码活动责任人说明01需求识别与评估信息安全经理根据新应用/服务系统上线、信息安全管理回顾发起需求识别与评估。02发起信息安全风险信息安全经理根据现有状态，分析信息安全相关风险。03信息安全满足业务需求信息安全经理根据分析结果，判断当前信息安全规范是否能够满足业务需求04制定/更新信息安全规范信息安全经理根据业务对信息安规范要求，制定和更新信息安全规范计划。05信息安全规范是否需要实施信息安全经理计划制定完成后，根据计划要求判断是否需要实施。确认需要实施进入变更流程06是否满足业务需求信息安全经理检查实施结果确认是否达到计划要求，满足业务需求。具体流程角色与运维及IT服务部相关岗位/人员的对应关系请参见三级文件《信息安全管理策略》。具体条款信息安全政策信息安全方针安全管理、风险控制、内控外防、快速响应保护信息系统的物理环境、系统软硬件和信息资源，增强信息系统的安全预警能力、保护能力、检测能力及应急处置能力，确保信息系统的安全；增强内部信息安全综合治理能力，实现安全风险可控制、内部操作可审计、措施执行可度量；确保重要业务数据的保密性和完整性，降低信息系统的故障率，提高灾难恢复能力，保证各项业务系统的可持续运行；提高公司信息技术人员的安全思想意识、安全专业素质以及安全管理水平，确保信息技术人员具备与其岗位要求相应的能力。信息安全风险评估频率：至少每年一次；范围：所有系统；目标：确认系统的安全性、找出系统漏洞、对漏洞进行修复。信息安全内审每年进行信息安全的内部审核。信息安全外审重要业务系统通过等保测评，并在网监进行备案。信息安全措施资产分类和保护应明确运维及IT服务部所有重要信息资产的所有者，所有者要确保资产受到合适的保护。信息安全经理应根据信息资产的价值、法规要求、敏感度和对组织的重用程度不同对其进行分类，不同级别的信息资产要有适合其相应安全保护要求的控制措施。人力资源安全建立并将信息安全相关的控制贯穿于运维及IT服务部的人力资源管理中，对于关键岗位需要建立相关的安全监督机制；确保员工、合同方和第三方人员在雇佣前、雇佣中或离职以及雇佣关系变更时都以一种有序的方式进行应根据运维及IT服务部的信息安全管理要求明确定义员工、第三方人员的安全角色和责任，并记录在职责描述中；并且根据相关的职责，制定相关的信息安全基本行为准则和安全操作准则。对所有员工、第三方人员要开展合适的安全意识培训和教育，确保其了解运维及IT服务部的信息安全管理规范，以减少人为错误、偷窃、欺诈及滥用设施所带来的安全风险。如果出现了任何违反信息安全政策的行为并造成损失的，要依照运维及IT服务部规定和国家相关的法律法规进行处罚。物理与环境安全信息资产在物理上应有访问控制和保护，防止偷窃、滥用、损坏或未经授权的访问；办公场所要满足相关的常规安全要求，在物理上应有访问控制和保护。通讯和操作安全网络自身的设计、构建和使用应满足安全控制的要求，并部署必要的基于网络的安全技术和手段。网络设备在运行维护过程中应严格遵照安全技术规范和操作管理规范，所有网络设备接入、配置变更、设备废弃或更换应遵循变更流程，所有变更实施过程都必须记录在案。针对运维及IT服务部目前所维护的所有基础设施及信息系统必须制定相应的安全技术规范和操作管理规范，通过对日常操作的管理、备份管理、信息交换过程的控制以及系统的规划验收等措施，确保运维及IT服务部信息处理设施的正确和安全操作。明确针对第三方组织人员的信息安全管理要求，建立相应的安全控制措施。应保障存储介质使用和保管的安全。废弃的存储介质应确保被安全销毁，其中存储的敏感信息被彻底消除或覆盖，不会造成信息泄漏。将任何含有敏感信息的信息系统设备或存储介质带到集团和运维及IT服务部以外之前必须得到授权，并保障其处于妥善保管和安全控制之中。访问控制基础设施及信息系统都必须具备访问控制机制，防止未经授权的访问和信息泄漏。对信息系统的访问授权，不能超过员工工作所需的范围，以减少信息被滥用的风险。建立完善的用户访问管理规范，引入用户帐号的创建、重设、变更、删除、维护、定期审核和用户口令管理的管理规范，确保用户帐号的安全使用。建立完善运维及IT服务部网络以及和其它组织的网络之间存在必要的接口的访问控制，对用户和网络设备具备必要的访问授权机制，以及对用户访问信息服务的行为进行有效控制。确保信息系统、基础设施具备必要的访问授权机制，以及对用户访问信息服务的行为进行有效控制。建立移动计算和远程工作的访问授权机制，确保在使用移动计算和远程工作设备时信息的安全。法律法规符合性运维及IT服务部的信息安全管理必须遵守运维及IT服务部信息安全管理要求、相关的国家法律法规、行业规范和组织的相关规定。必须建立相关的管理规范以确保遵守版权和知识产权方面的法律法规和合同条款。运维及IT服务部一定要监控基础设施及信息系统并记录信息安全事件、操作日志和违例日志，定期审计日志，检查安全控制的有效性和安全政策的遵守程度，并查处安全违例事件。维及IT服务部必须建立并实施相关的定期审核机制，以确保相关系统符合安全方针和标准。信息安全事件发现安全事件（安全事件包括安全事故和可疑的安全漏洞），员工应立即按照事件管理要求进行处理和报告。信