信息安全管理流程.docxVIP

信息安全管理流程说明书(S-I) 版本号 版本记录 作者 审核 批准 日期 2010-9-19 修改核对信息安全管理流程说明书 汤笑咪 信息安全管理流程说明书 1信息安全管理 目的 本流程目的在于规范服务管理和提供人员在捉供服务流程中应遵循和执行的相关活 动，保证信息安全管理目标的实现，满足SLA中的信息安全性盂求以及合同、法律和外部 政策等的要求。 1） 在所有的服务活动屮有效地管理信息安全； 2） 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题，识别并跟 踪组织内任何信息安全授权访问： 3） 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求； 4） 执行操作级别协议和基础合同范围内的信息安全需求。 范围 本安全管理流程的规定主要是针对山公司承担完全维护和管理职责的IT系统、技术、 资源所而临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理 体系所设定的安全管理规定，以及客八自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全竹理体系 所设定的安全管理规定。 2 术语和定义 相关IS020000的术语和定义 1） 资产（Asset）：任何对组织冇价值的事物。 2） 可用性（Availability）：需要时，授权实体可以访问和使用的特性。 3） 保密性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4） 完整性（Integrity）：保护资产的正确和完整的特性。 信息安全(Information security)：保护信息的保密性、完整性、町用性及其他加 性，如：真实性、可核查性、可靠性、防抵赖性。 信息安全管理体系(Information security management system ISMS)：整体管理 体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 风险分析(Risk analysis)：系统地使用信息以识别來源和估计风险。 风险评价(Risk evaluation)：将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 风险评估(Risk assessment)：风险分析和风险评价的全流程。 风险处置(Risktreatment)：选择和实施措施以改变风险的流程。 风险管理(Risk management)：指导和控制一个组织的风险的协调的活动。 残余风险(Residual risk)：实施风险处置后仍旧残留的风险。 其他术语和定义 文件(document)：信息和存储信息的媒体： 注仁本标准中，应区分记录少文件，记录是活动的证据，文件是目标的证据； 注2：文件的例子，如策略声明、计划、程序、服务级别协议和合同； 记录(record)：描述完成结果的文件或执行活动的证据； 注1：在木标准屮，应区分记录与文件，记录是活动的证据，文件是目标的证据； 注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录； KPI: Key Performance Indicators 即关键绩绩效指标;也作 Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析，衡最流程绩效的一种目标式最化管理指标，流程绩效管理的基础。 3 角色和职责 信息安全经理 职责： 负责信息安全管理流程的设计、评估和完善； 负责确定用户和业务对IT服务信息安全的详细需求； 负责保证盂求的IT服务信息安全的实现成木是适当的； 负责定义IT服务信息安全目标； 负责调配相关人员实施信息安全管理流程以及相关的方法和技术； 负责建立度量和报告机制； 保证IT服务信息安全管理流程以及相关的方法和技术被定期冋顾和评审。 主要技能： 很强的决策和判断能力 了解组织的文化和政治背景 熟悉国家颁布的安全相关法律法规 很强的技术背景，对IT架构冇总体的了解 项目管理技能 卓冇成效的管理和组织会议、管理和组织人员的能力 对生产环境、组织架构、与业务部门的关系等，冇充分的总体了解 良好的面向客户的沟通技巧 协调和处理多个任务的能力 10）足够的社交技能和信誉，可以和各个高层管理人员和各个支持小组进行协商和沟 信息安全责任人 信息安全流程负责人通过从宏观上监控流程，來确保信息安全流程被正确地执行。当 流程不能够适应公司的情况时，流程负责人必须及时对此进行分析、找出缺陷、进行改进, 从而实现可持续提高。 职责： 1） 确保信息安全流程能够収得管理层的参与和支持 2） 确保信息安全流程符合公司实际状况和公司IT发展战略 3） 总体