信息安全服务管理方案规范.docx

信息安全服务管理规范 XXXXX公 司 文件 名称 文件 编号  信息安全服务管理规范 制定部 PD-WI-0201 门  安全 服务 部  版 本 页 次  2.0 1/3  管 制 印 目的 本文档编写的目的，是帮助公司服务团队明确岗位保密职责，规范信息安全服务操作流程， 确保公司及客户信息资产安全， 并为进一步完善和改进信息安全服务奠定基础，特制定此管理规范。 范围 本程序适用于信息系统安全应急处理项目的服务团队向客户提供约定信息安全应急处理服务级别的管理。 权责 3.1 安全服务部负责策划和制订公司信息安全策 XXXXX公 司 略、监督安全规定的实施， 提出改善要求， 确保 信息系统满足公司业务安全要求。 负责加解密授 权管理、用户申报、开通访问授权和机房管理、 数据备份 3.2 信服部负责依公司的系统安全规定和部门业 务要求，对网络进行维护管理、 计算机维护及故 障处理等，保证系统安全运行。 定义 4.1 公司信息分类： a)技术信息：产品图纸、制造技术、主要存在于技 术部。 b)质量信息：主要保存在质管部。 商务信息：主要存在于采购部、经营部。 d)财务信息：主要存在于财务部。 e)人事信息：公司员工及为公司服务的特殊技能人 才信息资料。 XXXXX公 司 密码信息：个人登录、开机密码及 IT 管理员密码。 内部运作其他信息：包括设备、基础设施、工程等信息资料。 以上信息，根据信息秘密程度，分为可公开信息和保密信息。公司任何员工均不可将公司保密信息（文件）以任何方式传递、泄露给非授权人 4.2 公开信息：此类信息、文件可从公司公开渠 道所获取，如公司广告、网站 分发 制 核 版本 修订日期 修 部门 作 准 订 1.0 2013/06/20 记 2.0 2017/11/30 公司 录 全体 文件 信息安全服务管理规范 版 2.0 管 XXXXX公 司 名称 本 制 安全  印 文件  制定部  页 PD-WI-0201  服务  2/3 编号  门  次 部 中所涉及的公司名称、地址、经营产品等。 4.3 秘密信息：不可从公开渠道所能获取的信息， 如产品技术文件， 包括产品图纸、 客户文件、工 艺技术规范等；人事行政文件、管理程序和规范、 生产经营统计信息和其他记录、文件等。 参考文件 信息技术 信息安全等级保护基本要求 GB/T 22239-2008 信息技术 信息系统安全保护等级定级指南 GB/T22240-2008 信息安全技术 信息安全信息安全 应急处理 规范 GB/T20984-2007 XXXXX公 司 信息安全应急处理服务资质认证实施规则ISCCC-SV002：2010 信息技术 - 安全技术 - 信息安全管理体系要求 ISO/IEC 27001:2013 管理流程图：无 作业内容与要求 7.1 服务合同签订后，销售经理需反馈技术中心进行项目立项，按照公司项目管理规范， 任命项目经理，拟制项目所需的内部其他部门的支持活动，以及需要相关供方提供的服务等。 7.2 项目经理组织销售部、信息安全服务部经理 及项目组代表等， 就相关支持活动进行评审， 评 审确定活动细节后，公司内部其他部门按照评审 中约定的细节给予支持。 7.3 针对项目选择适当的应急处理工具包，及时解决客户网站系统安全故障或事件 （计算机病毒事件、蠕虫病毒事件 、特洛伊木马事件、网页 XXXXX公 司 内嵌恶意代码事件、 拒绝服务攻击事件、 后门攻击事件 、漏洞攻击事件 、网络扫描窃听事件、信息篡改事件 、信息假冒事件、信息窃取事件等），修复网站信息系统，使网站网络系统和信息服务恢复正常运行，尽可能挽回或减少损失；对安全故障或事件发生的系统作安全检查和清理，保证网站信息系统安全； 弥补安全故障或事件发生系统上的安全漏洞，加强安全保护措施，防止类似事件的再次发生； 收集由于安全故障或事件造成的入侵记录、 破坏情况、直接损失情况等证据；并为主机和网络设备安全初始化快照和备份 7.4 制定和实施信息安全服务流程和管理制度， 规范服务过程中的工作行为和 文  版  管 信息安全服务管理规范  2.0 件  本  制 XXXXX公 司 名 印 称 文 安全 件 制定部 页 PD-WI-0201 服务 3/3 编 门 次 号 部 作业规范。 7.5 积极开展各类信息安全服务技术和安全教 育，项目开始前均需组织项目人员进行安全教育 和技术教育。 7.6 保证使用的应急处理工具和测试工具的可用 性、稳定性、安全性。 7.7 安全服务部及时关注国内外权威机构发布的 安全和漏洞公告及时的更新应急处理工具包， 并 了解和掌握相关信息安全技术和国家标准。 相关文件与表单 XXXXX公 司 3.1 相关文件：无 3.2 相关表