账户信息安全管理程序.docxVIP

账户信息安全管理程序样式编号编制审核批准密级内部版本V1.0发布日期2009年1月5日变更履历序号版本更改处·更改内容更改人/日期审核人/日期批准人/日期V1.0新建目录1.1目的31.2适用范围31.3术语表32.职责32.1技术部33.具体内容43.1组织制订账户信息安全策略43.2制定信息安全管理计划43.3运行监控43.4实施账户信息安全评估4简介目的满足公司业务的安全性需求以及合同、法律和外部政策等的要求。适用范围适用于公司提供IT服务的部门，以及与信息安全和风险防范有关的活动的管理。术语表可用性：需要时，被授权的使用者能够访问和使用相关资产。保密性：信息不被未授权的个人、实体、流程访问或泄漏。完整性：保护资产的准确和完整。账户信息安全：保护账户信息的保密性、完整性、可用性及其他属性。账户信息安全事件：识别系统、服务或网络状态发生的事件其违背了账户信息安全策略，或使安全措施失效，或以前未知的与安全相关的情况。账户信息安全事故：单个或一系列的意外账户信息安全事件可能严重影响业务运作并威胁信息安全。风险：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性。风险评估：对账户信息和账户信息处理设施的威胁、影响和脆弱性及三者发生的可能性评估。职责技术部负责制订信息安全策略和方针，组织建立、改进信息安全管理体系。负责组织建立账户信息安全管理制度和方法，计划、实施账户信息安全要求，监控、报告和响应信息安全事件。负责协助处理账户信息安全事件，制订账户信息安全解决方案，组织评价变更对账户信息安全的影响，参与账户信息安全管理的改进。具体内容组织制订账户信息安全策略技术部根据IT服务工作的特点收集相应的信息安全需求。根据公司的业务需求，对账户信息安全的要求进行讨论，制订公司《账户信息安全管理规范》，经管理者代表批准后发放相关部门。其中应包括：账户信息安全活动的总方向及总则框架。账户信息安全管理的范围、目标、策略和要求。安全的职能和职责。风险评价标准。制定信息安全管理计划负责识别账户信息安全风险，识别风险时应考虑：风险发生可能带来的业务影响和后果。风险发生的现实可能性。资产的主要威胁、脆弱点和影响以及已经实施的安全控制措施。根据可接受风险的准则，判断风险的处理办法。制定账户信息安全管理计划根据所识别的风险，制订相关的账户信息安全管理计划，经管理人员批准后执行。其中应明确：技术要求（物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复），管理要求（安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理）。运行监控根据风险处置计划的内容实施和检测控制措施，开展账户信息安全管理的活动，以达到安全控制的目标。负责账户信息安全系统日常的运行监控，检查与账户信息安全有关的活动是否满足公司的要求。如不符合要求，则制定服务改进计划。根据安全意识培训安排，对与账户信息安全相关的人员实施安全培训。实施账户信息安全评估所有账户信息安全管理过程中的改进结果，由技术部具体实施，技术部组织验证，并监控改进的实施。按照相关规定，进行账户信息安全评估，确保：及时检测过程结果中的错误。及时识别失败的和成功的安全违规和事故。监控安全活动是否按期望实施。使用通知提示帮助检测安全事件。确定解决安全违规的行动是否有效。