1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 办公文档
  5. 规章制度

ISO20000:2018程序文件-信息安全管理程序.docVIP

ISO20000:2018程序文件-信息安全管理程序.doc

    1. 1、本文档共6页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    文档编号:HTPC-ITSM-B-15信息安全管理程序

    版本号:V1.0

    信息安全管理程序

    编制:

    审核:

    批准:

    发布日期:

    实施日期:

    修订履历

    版本

    变更履历

    变更人/变更日期

    审核人/审核日期

    批准人/批准日期

    目录

    TOC\o1-2\h\z\u1目的 3

    2范围 3

    3职责 3

    3.1安全管理负责人 3

    3.2客户服务负责人 3

    4相关文件 3

    5程序 4

    5.1需求识别和分析 4

    5.2确定安全实施范围 4

    5.3信息安全风险评估 4

    5.4设计安全规范 4

    5.5实施安全规范 4

    5.6监控安全状况 5

    5.7维护安全规范 5

    5.8信息安全报告 5

    6记录 6

    1目的

    本程序的目的是在客户服务工作中有效管理信息安全。

    满足信息管理系统运行和客户服务中的安全性需求以及合同、法律和外部政策等外部要求;

    提供一个满足需求的基本的信息系统安全基线;

    确保有效的信息安全措施在公司、技术服务部和服务人员三个层面都得到贯彻。

    2范围

    本程序适用于信息管理系统客户服务覆盖的所有部门。

    3职责

    3.1安全管理负责人

    监控安全管理流程;

    根据组织安全需求,开发与维护安全计划;

    处理与安全相关的问题和事件;

    确保满足SLA中指定的安全需求;

    完成包含流程结果,自评估及内部审计的信息安全风险评估报告;

    人员组成:信息安全员管理员、部门经理等。

    3.2客户服务负责人

    负责安排项目中的信息安全风险评估;

    做好用户的沟通,协调关于信息安全的问题。

    4相关文件

    《服务报告管理程序》

    《事件管理程序》

    《变更管理程序》

    5程序

    5.1需求识别和分析

    根据服务级别协议中签订的关于安全的详细说明,确定安全需求并进行分析。服务级别协议中应该定义安全需求,在可能的情况下还应该以可测度的术语进行定义。该协议的安全部分应当确保客户所有的安全需求和标准能够实现,并且实现的结果能够进行明确的验证。需求识别的范围包括人员安全、数据安全、机房环境、设备安全、系统安全等的安全需求。

    5.2确定安全实施范围

    根据安全需求的识别情况确定安全实施范围。安全实施范围包括列为相应安全等级的数据、人员、机房、设备、系统等。

    5.3信息安全风险评估

    服务管理人员根据确定的安全实施范围进行风险分析与评估工作,并提交风险分析与评估报告。

    风险评估包括识别安全实施范围内的资产状况、资产面临的威胁,现在使用的技术方法和管理规范,并进行总体分析得出风险的等级,编制《风险评估报告》。

    5.4设计安全规范

    根据《风险评估报告》,服务负责人制定和编写《信息安全管理规范》。并根据信息安全规范制定信息安全策略、针对个人的保密协议、岗位职责说明、机房管理制度。

    5.5实施安全规范

    在设计好安全规范后,日常需按照安全规范来实施安全管理。

    在人员安全方面的实施:

    职位说明中的任务和职责;

    安全防护;

    针对个人的保密协议;

    责任划分的实施,以及岗位分离的实施;

    书面的操作指示,内部规章;

    安全问题涉及整个生命周期,应针对系统开发、测试、验收、运营、维护和终止制定安全指南;

    将开发和测试环境与实际的运营环境分离开来;

    处理事件的程序(由事件管理负责处理);

    恢复设施的实施;

    为变更管理提供信息输入,病毒防护措施的实施;

    针对计算机、操作系统、应用系统、数据、网络和网络服务的安全管理措施的实施;

    数据媒介的处理和安全。

    5.6监控安全状况

    对安全规范实施进行监控,在工作周报、服务月报中体现。

    对发生的信息安全事件按照《事件管理程序》执行。

    5.7维护安全规范

    服务管理人员根据系统运行及客户服务的风险变化,必要时对《信息安全管理规范》进行修改。

    由于基础架构、组织和业务流程方面的变化导致相关的风险也随着发生变化,因此安全也需要进行维护。

    安全维护包括服务级别协议中安全部分的维护以及详细的安全规范的维护。

    维护需要根据评估子系统流程的结果以及对风险变化的评估结果进行。这些建议既可以直接被计划子流程所采纳,也可以纳入总体的服务级别协议的维护中。

    安全规范更新通过变更管理实施,参照《变更管理程序》。

    5.8信息安全报告

    信息管理负责人根据信息安全管理的实施状况及日常发生的安全事件等,每季一次巡检,如发生信息安全事件则编写《信息安全服务报告》。

    报告可以提供有关已实现安全绩效方面的信息,并可以了解有关的安全问题。

    正确地了解有关努力(如安全措施的实施)所取得的效率以及实际被采用的安全措施。

    还需要了解所有的安全事件。为报告服务级别协议中定义的安全事件,可通过服务级别管理负责人、事件管理负责人或安全管理负责人与部门经理直接的沟通渠道。

    除了在特殊情形下的例外事项,报告都是通过服务级别管理负责人进行传达的。

    您可能关注的文档

    最近下载

    文档评论(0)

    wuanbds001 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >