1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

itil体系管理信息安全管理流程v.docx

itil体系管理信息安全管理流程v.docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    信息安全管理流程

    版本记录

    版本

    编号

    版本日期

    修改者

    说明

    文件名

    V1.0

    2011-11-15

    孙小明

    初稿

    信息安全管理流程

    V1.1

    2012-3-15

    孙小明

    修订稿,确认流程执行人员

    信息安全管理流程

    目 录

    信息安全管理流程 1

    介绍 4

    基本概念 4

    用途和目标 4

    范围 4

    流程运行的前提和时机 5

    流程详细说明 5

    输入 5

    输出 5

    流程执行 7

    流程质量控制 9

    关键绩效指标KPI 9

    流程报告 10

    流程角色和职责 10

    4 附录 12

    4.1 术语表 12

    介绍

    基本概念

    安全管理流程主要描述为确保企业信息系统中信息资源的安全而制定安全政策和规章制度,并且通过实施一整套适当的控制措施(包括策略、实践、流程、组织结构和工具)来实现企业信息的保密性、完整性、可用性的整个过程。

    安全管理中的关键词汇定义如下:

    信息安全(InformationSecurity):对于信息的保密性、完整性和可用性的保证。

    可用性(availability):确保被授权的用户在需要时可以访问到相关的信息和资产。

    完整性(Integrity):维护信息的正确性和完全性。

    保密性(Confidentiality):保证信息只能由被授权者访问。

    风险评估(RiskAssessment):对与信息与信息处理机制所面临的威胁、影响和弱点分析以及这些威胁、影响和薄弱环节发生几率的评估。

    用途和目标

    安全管理流程的目标是通过持续性提高的方式,不断分析、发现潜在的风险,通过成本平衡的手段消除和控制潜在或已经发生的风险与威胁,从而保障远东租赁信息技术服务的保密性、完整性与可用性,其用途在于:

    保证满足内部的安全需求,保证远东租赁内部的信息完整性以及其之持续提高。

    通过不同的服务级别协议、合同、法律条款以及其它安全策略的贯彻实施来保障外部安全要求的满足。

    范围

    下表对一些容易混淆的方面作了说明,用来表明安全管理的工作覆盖范围:

    包括

    不包括

    信息和IT服务层次的安全

    大楼防窃、防爆炸等物理安全

    信息安全风险评估

    信息安全策略

    信息安全管理规范和流程

    信息安全审计和评估流程

    流程运行的前提和时机

    信息安全管理为公司服务管理体系中的重要管理流程,然而不同的管理流程之间又相互依赖与关联,因此关注安全管理运行的前提与时机就成为流程应用的重要环节,其运行的前提与时机包括:

    公司管理层的支持,公司管理层认识到的IT日常运营中对于对于潜在的安全风险和隐患需要采取主动的行动来防范与未然。

    为安全管理流程提供相应的组织和技术资源,例如落实流程执行负责人、安全经理、安全分析员、培养一批在相应安全与技术领域独挡一面的专业人才,总结和完善安全管理工具等。

    紧密相关流程的实施,特别是配置管理流程、热线支持、突发事件管理流程、问题管理流程、项目管理流程、变更管理流程、连续性管理流程和可用性管理流程,以上这些流程的实施将会为安全管理流程的全面实施带来较好的效果。

    流程详细说明

    输入

    输入项

    来源

    周期

    服务级别需求

    服务级别管理

    半年

    影响可用性、完整性和机密性的事件报告、问题报告

    事件管理、问题管理

    日常

    可用性计划

    变更管理流程、连续性管理流程容量管理

    半年

    可用性报告

    服务级别管理流程、服务报告流程

    每月

    可用性事件报告

    事件管理

    日常

    配置数据库

    配置管理

    日常

    输出

    输出项

    去向

    周期

    安全事件处理办法和解决方案

    事件管理流程

    日常

    安全问题处理办法和解决方案

    问题管理流程

    日常

    安全管理报告

    服务级别管理流程、服务报告流程

    服务报告管理

    安全系统的配置信息

    配置管理流程

    日常

    输出项

    去向

    周期

    安全处置变更申请

    变更管理流程

    日常

    变更的对安全的影响评估

    变更管理流程

    日常

    安全风险评估信息

    连续性和可用性管理

    一年/变更时

    安全管理流程改进建议

    服务改进流程

    半年

    流程执行

    安全性管理流程

    安全性管理流程

    服务级别经理

    安全管理委员会

    服务级别协议

    安全管理要求

    3.4.4

    安全审计

    安全经理

    3.4.1

    计划和维护安全管理框架

    3.4.2

    制订详细安全管理规范和具体安全管理流程

    3.4.6

    安全管理报告

    安全分析员

    3.4.3

    风险评估

    3.4.5

    安全管理的操作与监控

    安全管理员

    工单 变更请求

    变更经理

    图3:安全管理流程

    编号

    管理活动

    描述

    输入/触发条件

    输出

    3.4.1

    计划和维护安全管理框架

    启动维护公司的信息安全管理组织、信息安全策略。并全面考虑各方面对于安全性的要求,包括连续性计划、容量计划、现存安全技术标准、各项目的需求说明书、与安全性相关的服务级别协议、运维信息,以及现存的策略和流程等等。其主要活动包括:

    安全

    您可能关注的文档

    最近下载

    文档评论(0)

    159****1944 + 关注
    实名认证
    内容提供者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >