信息安全管理作业流程图.docVIP

信息安全管理步骤说明书（S-I） 版本号 版本统计 作者 审核 同意 日期 20XX-9-1 修改查对信息安全管理步骤说明书 汤笑咪 信息安全管理步骤说明书 信息安全管理 目标 本步骤目标在于规范服务管理和提供人员在提供服务步骤中应遵照和实施相关活动，确保信息安全管理目标实现，满足SLA中信息安全性需求和协议、法律和外部政策等要求。 在全部服务活动中有效地管理信息安全； 使用标准方法和步骤有效而快速处理多种和信息安全相关问题，识别并跟踪组织内任何信息安全授权访问； 满足服务等级协议、协议、相关法规所统计各项外部信息安全需求； 实施操作等级协议和基础协议范围内信息安全需求。 范围 本安全管理步骤要求关键是针对由企业负担完全维护和管理职责IT系统、技术、资源所面临风险安全管理。 向用户提供服务相关人员在服务提供步骤中所应遵照规则依据企业信息安全管理体系所设定安全管理要求，和用户本身相关安全管理要求。 企业内部信息、信息系统等信息资产相关安全管理也应遵照企业信息安全管理体系所设定安全管理要求。 术语和定义 相关ISO20XX0术语和定义 资产（Asset）：任何对组织有价值事物。 可用性（Availability）：需要时，授权实体能够访问和使用特征。 保密性（Confidentiality）：信息不可用或不被泄漏给未授权个人、实体和步骤特征。 完整性（Integrity）：保护资产正确和完整特征。 信息安全（Information security）：保护信息保密性、完整性、可用性及其它属性，如：真实性、可核查性、可靠性、防抵赖性。 信息安全管理体系（Information security management system ISMS）：整体管理体系一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改善信息安全。 注：管理体系包含组织机构、策略、策划、活动、职责、通例、程序、步骤和资源。 风险分析（Risk analysis）：系统地使用信息以识别起源和估量风险。 风险评价（Risk evaluation）：将估量风险和既定风险准则进行比较以确定关键风险步骤。 风险评定（Risk assessment）：风险分析和风险评价全步骤。 风险处理（Risk treatment）：选择和实施方法以改变风险步骤。 风险管理（Risk management）：指导和控制一个组织风险协调活动。 残余风险（Residual risk）：实施风险处理后依旧残留风险。 其它术语和定义 文件（document）：信息和存放信息媒体； 注1：本标准中，应区分统计和文件，统计是活动证据，文件是目标证据； 注2：文件例子，如策略申明、计划、程序、服务等级协议和协议； 统计（record）：描述完成结果文件或实施活动证据； 注1：在本标准中，应区分统计和文件，统计是活动证据，文件是目标证据； 注2：统计例子，如审核汇报、变更请求、事故响应、人员培训统计； KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process Indication即关键步骤指标。是经过对组织内部步骤关键参数进行设置、取样、计算、分析，衡量步骤绩效一个目标式量化管理指标，步骤绩效管理基础。 角色和职责 信息安全经理 职责： 负责信息安全管理步骤设计、评定和完善； 负责确定用户和业务对IT服务信息安全具体需求； 负责确保需求IT服务信息安全实现成本是合适； 负责定义IT服务信息安全目标； 负责调配相关人员实施信息安全管理步骤和相关方法和技术； 负责建立度量和汇报机制； 确保IT服务信息安全管理步骤和相关方法和技术被定时回顾和评审。 关键技能： 很强决议和判定能力 了解组织文化和政治背景 熟悉国家颁布安全相关法律法规 很强技术背景，对IT架构有总体了解 项目管理技能 卓有成效管理和组织会议、管理和组织人员能力 对生产环境、组织架构、和业务部门关系等，有充足总体了解 良好面向用户沟通技巧 协调和处理多个任务能力 足够社交技能和信誉，能够和各个高层管理人员和各个支持小组进行协商和沟通 信息安全责任人 信息安全步骤责任人经过从宏观上监控步骤，来确保信息安全步骤被正确地实施。当步骤不能够适应企业情况时，步骤责任人必需立即对此进行分析、找出缺点、进行改善，从而实现可连续提升。 职责： 确保信息安全步骤能够取得管理层参与和支持 确保信息安全步骤符合企业实际情况和企业 IT发展战略 总体上管理和监控步骤，建立信息安全步骤实施、评定和连续优化机制 确保信息安全步骤实用、有效、正确地实施，当步骤不能够适应企业情况时，必需立即对此进行分析、找出缺点、进行改善(比如增加或合并步骤角色)，从而实现可连续提升步骤效率 保持和其它步骤责任人定时沟通 关键技能：