信息安全管理流程分析.pdfVIP

-

信息平安管理流程说明书

〔S-I〕

版本号版本记录作者审核批准日期

2010-9-19修改核对信息平安管理流程说明书汤笑咪

信息平安管理流程说明书

.z.

-

1信息平安管理

1.1目的

本流程目的在于规效劳管理和提供人员在提供效劳流程中应遵循和执行的相关活动，

保证信息平安管理目标的实现，满足SLA中的信息平安性需求以及合同、法律和外部政策

等的要求。

1)在所有的效劳活动中有效地管理信息平安；

2)使用标准的方法和步骤有效而迅速的处理各种与信息平安相关的问题，识别并跟

踪组织任何信息平安授权访问；

3)满足效劳级别协议、合同、相关法规所记录的各项外部信息平安需求；

4)执行操作级别协议和根底合同围的信息平安需求。

1.2围

本平安管理流程的规定主要是针对由公司承当完全维护和管理职责的IT系统、技术、

资源所面临的风险的平安管理。

向客户提供效劳的相关人员在效劳提供流程中所应遵循的规则依据公司信息平安管理

体系所设定的平安管理规定，以及客户自身的相关平安管理规定。

公司部信息、信息系统等信息资产相关的平安管理也应遵循公司信息平安管理体系所

设定的平安管理规定。

2术语和定义

.z.

-

2.1相关ISO20000的术语和定义

1)资产〔Asset〕：任何对组织有价值的事物。

2)可用性〔Availability〕：需要时，授权实体可以访问和使用的特性。

3)**性〔Confidentiality〕：信息不可用或不被泄漏给未授权的个人、实体和流程的

特性。

4)完整性〔Integrity〕：保护资产的正确和完整的特性。

5)信息平安〔Informationsecurity〕：保护信息的**性、完整性、可用性及其他属性，

如：真实性、可核查性、可靠性、防抵赖性。

6)信息平安管理体系〔InformationsecuritymanagementsystemISMS〕：整体管

理体系的一局部，基于业务风险方法以建立、实施、运行、监视、评审、保持和

改良信息平安。

7)注：管理体系包括组织机构、策略、筹划、活动、职责、惯例、程序、流程和资

源。

8)风险分析〔Riskanalysis〕：系统地使用信息以识别来源和估计风险。

9)风险评价〔Riskevaluation〕：将估计的风险与既定的风险准则进展比拟以确定重

要风险的流程。

10)风险评估〔Riskassessment〕：风险分析和风险评价的全流程。

11)风险处置〔Risktreatment〕：选择和实施措施以改变风险的流程。

12)风险管理〔Riskmanagement〕：指导和控制一个组织的风险的协调的活动。

13)剩余风险〔Residualrisk〕：实施风险处置后仍旧残留的风险。

.z.

-

2.2其他术语和定义

1)文件〔document〕：信息和存储信息的媒体；

注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；

注2：文件的例子，如策略声明、方案、程序、效劳级别协议和合同；

2)记录〔record〕：描述完成结果的文件或