信息安全管理流程解析.doc

信息安全管理流程说明书（S-I） 版本号 版本记录 作者 审核 批准 日期 2010-9-19 修改核对信息安全管理流程说明书 汤笑咪 信息安全管理流程说明书 信息安全管理 目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动，保证信息安全管理目标的实现，满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 在所有的服务活动中有效地管理信息安全； 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题，识别并跟踪组织内任何信息安全授权访问； 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求； 执行操作级别协议和基础合同范围内的信息安全需求。 范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定，以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 术语和定义 相关ISO20000的术语和定义 资产（Asset）：任何对组织有价值的事物。 可用性（Availability）：需要时，授权实体可以访问和使用的特性。 保密性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的特性。 完整性（Integrity）：保护资产的正确和完整的特性。 信息安全（Information security）：保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。 信息安全管理体系（Information security management system ISMS）：整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源。 风险分析（Risk analysis）：系统地使用信息以识别来源和估计风险。 风险评价（Risk evaluation）：将估计的风险与既定的风险准则进行比较以确定重要风险的流程。 风险评估（Risk assessment）：风险分析和风险评价的全流程。 风险处置（Risk treatment）：选择和实施措施以改变风险的流程。 风险管理（Risk management）：指导和控制一个组织的风险的协调的活动。 残余风险（Residual risk）：实施风险处置后仍旧残留的风险。 其他术语和定义 文件（document）：信息和存储信息的媒体； 注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据； 注2：文件的例子，如策略声明、计划、程序、服务级别协议和合同； 记录（record）：描述完成结果的文件或执行活动的证据； 注1：在本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据； 注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录； KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、计算、分析，衡量流程绩效的一种目标式量化管理指标，流程绩效管理的基础。 角色和职责 信息安全经理 职责： 负责信息安全管理流程的设计、评估和完善； 负责确定用户和业务对IT服务信息安全的详细需求； 负责保证需求的IT服务信息安全的实现成本是适当的； 负责定义IT服务信息安全目标； 负责调配相关人员实施信息安全管理流程以及相关的方法和技术； 负责建立度量和报告机制； 保证IT服务信息安全管理流程以及相关的方法和技术被定期回顾和评审。 主要技能： 很强的决策和判断能力 了解组织的文化和政治背景 熟悉国家颁布的安全相关法律法规 很强的技术背景，对IT架构有总体的了解 项目管理技能 卓有成效的管理和组织会议、管理和组织人员的能力 对生产环境、组织架构、与业务部门的关系等，有充分的总体了解 良好的面向客户的沟通技巧 协调和处理多个任务的能力 足够的社交技能和信誉，可以和各个高层管理人员和各个支持小组进行协商和沟通 信息安全责任人 信息安全流程负责人通过从宏观上监控流程，来确保信息安全流程被正确地执行。当流程不能够适应公司的情况时，流程负责人必须及时对此进行分析、找出缺陷、进行改进，从而实现可持续提高。 职责：