信息安全管理程序（ISO20000-1：2018）.docxVIP

信息安全管理程序 目的 本程序的目的是在客户服务工作中有效管理信息安全。 满足信息系统集成、软件运维项目运行和客户服务中的安全性需求以及合同、法律和外部政策等外部要求； 提供一个满足需求的基本的信息系统安全基线； 确保有效的信息安全措施在公司、系统集成部和服务人员三个层面都得到贯彻。 过程定义 安全管理是顺应信息安全的需要而产生的，其主要目标是确保信息的安全性。 安全管理致力于确保服务的安全性在任何时候都能达到与客户约定的级别。 安全性在服务中被视为可用性管理的一部分。安全管理已经成为现代服务管理中一个重要的问题。 安全性是指不易遭到已知风险的侵袭，并且尽可能地规避未知风险的性能。提供这种性能的工具是安全措施。 安全措施的目标是要保护信息的价值，这种价值取决于机密性、完整性和可用性三个方面。 2.1范围 本程序适用于信息管理系统客户服务覆盖的所有部门。 2.2过程负责人 安全管理负责人 2.3主要输入 输入 来源 服务级别需求 服务级别协议。 配置管理 系统的配置项，记录和报告配置。 2.4主要输出 输出 去向 风险评估报告 信息安全管理负责人、部门经理。 信息安全规范 信息安全管理负责人、部门经理。 变更管理 服务实施过程中，服务交付过程的主要步骤。 服务报告管理 服务实施过程中，服务交付过程的主要步骤。 2.5职责权限 安全管理负责人负责整个安全管理流程的有效运作。 安全管理负责人职责： 监控安全管理流程； 根据组织安全需求，开发与维护安全计划； 处理与安全相关的问题和事件； 确保满足SLA中指定的安全需求； 完成包含流程结果，自评估及内部审计的信息安全风险评估报告； 人员组成：信息安全员管理员、部门经理等。 2.6过程重要控制点 风险评估报告。 信息安全管理规范。 安全事件记录。 2.7过程测量指标 安全事件次数。 术语 术语 定义 机密性 指保护信息免受未经授权的访问和使用。 完整性 指信息的准确性、完全性和及时性。 可用性 是信息在任何约定的时间内都可以被访问。这取决于由信息处理系统所提供的持续性。 流程 过程描述 信息安全活动划分为三个部分，包括规划、实施和监控。规划包括需求识别和分析、确定安全实施范围、信息安全风险评估、安全规范设计；实施包括安全规范实施；监控包括安全状况监控、维护安全规范、信息安全报告。 5.1需求识别和分析 根据服务级别协议中签订的关于安全的详细说明，确定安全需求并进行分析。服务级别协议中应该定义安全需求，在可能的情况下还应该以可测度的术语进行定义。该协议的安全部分应当确保客户所有的安全需求和标准能够实现，并且实现的结果能够进行明确的验证。需求识别的范围包括人员安全、数据安全、机房环境、设备安全、系统安全等的安全需求。 5.2确定安全实施范围 根据安全需求的识别情况确定安全实施范围。安全实施范围包括列为相应安全等级的数据、人员、机房、设备、系统等。 5.3信息安全风险评估 服务管理人员根据确定的安全实施范围进行风险分析与评估工作，并提交风险分析与评估报告。 风险评估包括识别安全实施范围内的资产状况、资产面临的威胁，现在使用的技术方法和管理规范，并进行总体分析得出风险的等级，编制《风险评估报告》。 5.4设计安全规范 根据《风险评估报告》，服务负责人制定和编写《信息安全管理规范》。并根据信息安全规范制定信息安全策略、针对个人的保密协议、岗位职责说明、机房管理制度。 5.5实施安全规范 在设计好安全规范后，日常需按照安全规范来实施安全管理。 在人员安全方面的实施： 职位说明中的任务和职责； 安全防护； 针对个人的保密协议； 责任划分的实施，以及岗位分离的实施； 书面的操作指示，内部规章； 安全问题涉及整个生命周期，应针对系统开发、测试、验收、运营、维护和终止制定安全指南； 将开发和测试环境与实际的运营环境分离开来； 处理事件的程序（由事件管理负责处理）； 恢复设施的实施； 为变更管理提供信息输入，病毒防护措施的实施； 针对计算机、操作系统、应用系统、数据、网络和网络服务的安全管理措施的实施； 数据媒介的处理和安全。 5.6监控安全状况 对安全规范实施进行监控，在工作周报、服务月报中体现。 对发生的信息安全事件按照《事件管理程序》执行。 5.7维护安全规范 服务管理人员根据系统运行及客户服务的风险变化，必要时对《信息安全管理规范》进行修改。 由于基础架构、组织和业务流程方面的变化导致相关的风险也随着发生变化，因此安全也需要进行维护。 安全维护包括服务级别协议中安全部分的维护以及详细的安全规范的维护。 维护需要根据评估子系统流程的结果以及对风险变化的评估结果进行。这些建议既可以直接被计划子流程所采纳，也可以纳入总体的服务级别协议的维护中。 安全规范更新通过变更管理实施,参照《变更管理程序》。 5.