信息安全管理流程V1.1.docVIP

信息安全管理流程 版 本 记 录 版本 编号 版 本 日 期 修 改 者 说 明 文 件 名 V1.0 2011-11-15 孙小明 初稿 信息安全管理流程 V1.1 2012-3-15 孙小明 修订稿,确认流程执行人员 信息安全管理流程 目　录 信息安全管理流程 1 1 介绍 4 1.1 基本概念 4 1.2 用途和目标 4 1.3 范围 4 1.4 流程运行的前提和时机 5 2 流程详细说明 5 2.1 输入 5 2.2 输出 5 2.3 流程执行 7 2.4 流程质量控制 9 2.4.1 关键绩效指标KPI 9 2.4.2 流程报告 10 3 流程角色和职责 10 4 附录 12 4.1 术语表 12 介绍 基本概念 安全管理流程主要描述为确保企业信息系统中信息资源的安全而制定安全政策和规章制度，并且通过实施一整套适当的控制措施（包括策略、实践、流程、组织结构和工具）来实现企业信息的保密性完整性可用性。availability）：确保被授权的用户在需要时可以访问到相关的信息和资产。 完整性（Integrity）：维护信息的正确性和完全性。 保密性（Confidentiality）：保证信息只能由被授权者访问。 风险评估（Risk Assessment）：对与信息与信息处理机制所面临的威胁、影响和弱点分析以及这些威胁、影响和薄弱环节发生几率的评估。 用途和目标 安全管理流程的目标是通过持续性提高的方式，不断分析、发现潜在的风险，通过成本平衡的手段消除和控制潜在或已经发生的风险与威胁，从而保障远东租赁信息技术服务的保密性、完整性与可用性，其用途在于： 保证满足内部的安全需求，保证远东租赁内部的信息完整性以及其之持续提高。 通过不同的服务级别协议、合同、法律条款以及其它安全策略的贯彻实施来保障外部安全要求的满足。 范围 下表对一些容易混淆的方面作了说明，用来表明安全管理的工作覆盖范围： 包括 不包括 信息和IT服务层次的安全 大楼防窃、防爆炸等物理安全 信息安全风险评估 信息安全策略 信息安全管理规范和流程 信息安全审计和评估流程 流程运行的前提和时机 信息安全管理为公司服务管理体系中的重要管理流程，然而不同的管理流程之间又相互依赖与关联，因此关注安全管理运行的前提与时机就成为流程应用的重要环节，其运行的前提与时机包括： 公司管理层的支持，公司管理层认识到的IT日常运营中对于对于潜在的安全风险和隐患需要采取主动的行动来防范与未然。 为安全管理流程提供相应的组织和技术资源，例如落实流程执行负责人、安全经理、安全分析员、培养一批在相应安全与技术领域独挡一面的专业人才，总结和完善安全管理工具等。 紧密相关流程的实施，特别是配置管理流程、热线支持、突发事件管理流程、问题管理流程、项目管理流程、变更管理流程、连续性管理流程和可用性管理流程，以上这些流程的实施将会为安全管理流程的全面实施带来较好的效果。 流程详细说明 输入 输入项来源 周期 服务级别需求 半年 影响可用性、完整性和机密性的事件报告、问题报告 事件管理、问题管理 日常 可用性计划 变更管理流程、连续性管理流程、容量管理 半年 可用性报告 服务级别管理流程、服务报告流程 每月 可用性事件报告 事件管理 日常 配置数据库 配置管理 日常 输出 输出项 去向 周期 安全事件处理办法和解决方案 事件管理流程 日常 安全问题处理办法和解决方案 问题管理流程 日常 安全管理报告 服务级别管理流程、服务报告流程 服务报告管理 安全系统的配置信息 配置管理流程 日常 安全处置变更申请 变更管理流程 日常 变更的对安全的影响评估 变更管理流程 日常 安全风险评估信息 连续性和可用性管理 一年/变更时 安全管理流程改进建议 服务改进流程 半年 流程执行 图3: 安全管理流程 编号 管理活动 描述 输入/触发条件 输出 3.4.1 计划和维护安全管理框架 启动维护公司的信息安全管理组织、信息安全策略。并全面考虑各方面对于安全性的要求，包括连续性计划、容量计划、现存安全技术标准、各项目的需求说明书、与安全性相关的服务级别协议、运维信息，以及现存的策略和流程等等。其主要活动包括： 评估、维护已有的《信息技术安全策略》 开发并维护安全管理架构（包括组织架构、管理策略等）； 建立信息安全培训机制，并制定总体培训计划。 安全政策的定期维护周期 企业的安全政策的重大改变 《信息安全策略》 3.4.2 制定详细安全管理规范和具体安全管理流程 根据企业安全策略及对安全需求的分析，由安全经理领导、安全分析员协助，针对各管理分类制定详细的安全管理规范和流程，其主要活动包括：