60云服务安全管理程序.doc

云服务安全管理程序

文档编号

XXXX-IP-2041

文档版本号

V1.0

当前版本日期

2023.1.10

文档负责人

综合部

文档审核人

XXX

文档批准人

XXX

密级

受控

XXXX有限公司

该文档的最新版本保存在文件服务器上，在使用该文档前使用者有责任从文件服务器中获取最新版本。

该文档的打印版本仅用来参考。

文档信息

文档的保存

主控文档（masterdocument）存放在文件服务器上。

文档修订信息

版本号

修订日期

修订人

修订说明

备注

V1.0

2023.1.10

XXX

按照ISO/IEC27001:2022和ISO/IEC20000-1:2018标准编写

文档的审批

该文档需要以下的审批：

姓名

职位

是否批准

XXX

总经理

是

文档的分发

该文档的主控版本存放于文件服务器上，该文档的打印版本仅用作参考并且不在控制范围内。该文档的使用者有责任确保使用的是最新版本。

目录

TOC\o1-3\h\z1. 目的和范围 3

2. 适用范围 3

3. 职责和权限 3

4. 管理内容及控制要求 3

4.1安全要求 3

4.2安全控制 3

4.3信息系统常规安全保障和监控预警工作 4

4.4资源管理 4

4.5操作管理 4

5. 相关记录 4

目的和范围

为强化云平台服务的安全管理，切实保障企业云平台安全稳定运行，提高其使用效益，特制定本程序。

适用范围

适用于公司内部配置及其外部购买的所有云平台服务。云资源，含云主机、云数据库、云存储、云网络、云安全等。

职责和权限

技术部：负责基于公司云平台进行企业信息系统部署、管理维护等管理活动；负责负责公司云平台的安全管理，支撑上云信息系统和数据资源进行安全管理。

综合部：负责和云服务提供商签署协议。明确和云服务提供商的需求。

管理内容及控制要求

4.1安全要求

4.1.1应建立公司云平台安全管理机制，针对企业自身配置的云平台，定期开展网络安全等级保护评测，针对外购云平台，必须选购国内主要云平台或者运营商的云平台。

4.1.2应定期对云平进行风险评估，定期进行平台巡检、日志审计、数据备份等定期查看安全运行报告。

4.2安全控制

公司通过云服务申请、巡检、安全、资源、操作管理等确保云服务的信息安全4.2.1云服务申请

使用部门要申请云服务资源时，一般进行内部前置评审，提交使用申请，经相关部门会签之后，由信息安全管理者代表审批后才能够由云服务主管部门开通云服务资源。涉及信息系统的部署，需通过开通测试资源，进行入云信息系统的测试和部署，使用部门对测试结果进行调整，通过后，正式部署上线

4.2.2云平台巡检

云平台主管部门定期巡检云资源使用情况、操作情况等日志记录及审计服务，定期向使用单位提供监测报表与报告，每年需向公司提交云平台的监测报告。

4.2.3安全管理

使用单位应加强入云信息系统自身的安全管理，至少包括:建立信息系统运维和安全管理制度。

信息系统日常运行维护管理。例如:应用开发、故障处理、配置变更、安全策略优化、运行监控等。

4.3信息系统常规安全保障和监控预警工作

信息安全保障和监控预警工作包括例如：操作系统防病毒管理、渗透测试、漏洞扫描、源代码审计、安全巡检、应急响应等。当云使用单位出现严重影响云平台安全稳定运行的事件时，云服务主管部门可暂时中断该部门的云服务并同步通知该部门和管理者代表，事件处理完毕后恢复服务。

4.4资源管理

云服务主管部门每月对使用部门《云服务资源表》进行汇总，同时进行资源变更或系统退出管理，使用涉及云服务资源不足时，进行内部增加ICT基础设施的资源或外购新的资源。

4.5操作管理

云平台的信息安全事件应急处置应参照公司信息系统信息安全事件应急管理相关规定。

制定公司云平台总体应急预案，并做好预案修订工作，定期组织应急演练重大活动和突发事件期间，入云信息系统的运行保障按信息系统应急预案进行处呢

相关记录

序号

记录编号

记录名称

保管

场所

保存期限

保存形式

备注

1

XXXX-IP-2041-R01

《云资源申请表》

技术部

长期

电子

2

XXXX-IP-2041-R02

《云服务资源表》

技术部

长期

纸质、电子

3

XXXX-IP-2041-R03

《云服务临时中断申请表》

技术部

长期

纸质、电子

4

《云服务协议》

综合部

长期

纸质、电子