228华为IT安全管理流程.docVIP

1 目的 确保访问受保护的资产的用户被严格限制； 为用户提出的IT安全需求提供解决途径； 及时发现和排除IT安全隐患，减少IT安全事故发生次数。 2 范围 本流程适用于涉及公司IT安全的逻辑访问控制的活动 3 流程提要 用户根据IT规划与控制部门制定的IT安全标准提出安全需求，IT热线将其中的安全问题转给安全控制办，对应用系统的问题，按《IT立项管理流程》处理，对非应用系统的问题，由技术支持人员提出解决方案并实施，改进IT安全管理系统，由安全控制办负责其日常管理与维护。日常IT安全监控由系统操作人员负责，并报告发现的安全隐患。审计人员执行IT安全审计并输出设计报告，对发现的问题按上述办法处理。 4 输入 4.1 IT安全标准 5 输出 5.1 IT安全审计报告 5.2 IT安全控制工作月报 5.3 IT安全监控月报 5.4 系统维护手册 5.5 系统监控手册 5.6 用户手册 6 职责 6.1 用户 6.1.1 提出应用和数据安全需求 6.1.2 提出日常安全申请 6.2 IT规划与控制部门 6.2.1 制定IT安全标准（现由NI项目提供）； 6.3 IT热线 判断是否安全问题 6.4 安全控制人员 6.4.1 判断安全问题类型； 6.4.2 执行日常安全管理和维护； 6.5 技术支持人员 6.5.1 分析问题、提出解决方案； 6.5.2 实施解决方案 6.6 系统操作人员 6.5.1 监控IT安全标准； 6.5.2 报告IT安全隐患 6.7 审计人员 6.5.1 执行IT安全审计； 6.5.2 报告IT安全状况和隐患 7 技能要求 无 8 信息系统 本流程需以下信息系统支持：网络安全管理系统，各应用系统的安全管理功能，NOTES平台的《信息系统服务申请》等。 9 设备 标准办公设备 10 流程图 11 流程说明 01 制定IT安全标准 IT规划控制人员根据相关规章制度和公司业务与IT管理上的特定要求制定IT安全标准。 02 提出应用和数据安全需求 用户根据IT安全标准，分析自身的业务需要，在其二级部门负责人的签字同意后，通过联络单或签名邮件的形式向IT热线提出应用和数据方面的安全需求。 03 判断是否安全问题 IT热线接到用户问题后，对不属于IT安全的问题（如：ID丢失、修改密码等）按提供IT运作支持流程予以答复，对属于IT安全的问题转交安全控制人员，同时抄送知识产权部。 04 IT安全审计 IT安全审计人员（知识产权部）根据工作计划，对日常IT安全控制、安全监控工作或针对公司某一应用、服务器、部门的IT安全等进行专项审计和例行审计。 05 报告IT安全状况和隐患 IT安全审计报告在描述IT安全状况的同时，也要着重指出IT安全隐患，并就主要的安全性问题提出相应的改进建议。IT安全审计报告主送安全控制人员。 06 判断安全问题类型 IT安全控制人员分析该安全问题是否属于应用系统，对属于应用的问题请用户按IT立项管理流程处理，否则提交技术支持。 07 分析问题、提出解决方案 技术支持人员在充分理解、分析用户需求后，可以调集相关的安全控制人员、系统操作人员、技术顾问、技术专家、网络安全专家、规划控制人员、IT安全审计人员等制定实施方案。 08 实施解决方案 技术支持人员按照《IT生产环境变更管理流程》要求实施解决方案，并针对实施结果制定相关系统维护手册、监控手册、用户手册等文档。 09 提出日常安全申请 用户对于日常工作中的安全问题，如：MRPII、NOTES等系统的开户、设置权限、修改口令等，可通过《信息系统服务申请》电子流提交申请 10 执行日常安全管理与维护 安全控制人员在现有IT安全管理系统环境中按规定执行日常安全管理和维护（包括：ID管理、口令管理、权限管理等），并根据业务需要制定、修订有关的安全制度、流程、操作指导书等文件（详见参考文件14.2-14.6）。 11 监控IT安全标准 系统操作人员根据系统安全监控手册监控IT安全标准的执行情况，并定期递交IT安全监控报告。 12 报告IT安全隐患 一旦发现IT系统的安全隐患和问题，系统操作人员应报告安全控制人员处理。 12 例外原则 无 13 表格与记录 无 14 参考文件 14.1 提供IT运作支持流程 14.1 IT立项管理流程 14.2 MRPII用户ID管理规定 14.3 NOTES用户ID管理规定 14.4 SAP用户ID管理规定 14.5 E-MAIL使用管理规定 14.6 PRO