信息安全管理过程
ITSS管理体系文件
信息安全管理过程
文 件 修 订 记 录 版本
修订人
修订内容 修订日期 审核人 1
信息安全管理过程 目录
1. 目的 .................................................................................................... 1 2. 适用范围 ............................................................................................ 1 3. 定义和术语 ........................................................................................ 1 4. 职责 .................................................................................................... 1 4.1 信息安全过程负责人 ................................................................ 1 4.2 运维服务部经理 ........................................................................ 2 5. 流程策略 ............................................................................................ 2 5.1 公司信息安全方针 .................................................................... 2 5.2 安全资源管理策略 .................................................................... 2 6. 流程描述 ............................................................................................ 2 6.1 流程图 ........................................................................................ 3 6.2 需求识别和分析 ........................................................................ 3 6.3 确定安全实施范围 .................................................................... 4 6.4 信息安全风险评估 .................................................................... 4 6.5 设计安全规范 ............................................................................ 4 6.6 实施安全规范 ............................................................................ 4 6.7 监控安全状况 ............................................................................ 5 6.8 维护安全规范和信息安全改进 ................................................. 5 6.9 信息安全报告 ............................................................................ 6 7. 质量控制 ............................................................................................ 7 7.1 关键绩效指标(KPI) .............................................................. 7 7.2 质量监控和改进 ........................................................................ 7 8. 参考文件 ............................................................................................ 8 9. 相关记录 ............................................................................................ 8 10. 附件 ................................................................................................. 8
2
信息安全管理过程 1. 目的
为建立一个适当的信息安全事态、信息安全事故、薄弱点和故障报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。 2. 适用范围
适用组织:A信息技术有限公司;
适用活动:运维服务过程中的信息安全事故管理相关内容。 3. 定义和术语
机密性:指保护信息免受未经授权的访问和使用。 完整性:指信息的准确性、完全性和及时性。
可用性:是信息在任何约定的时间内都可以被访问,这取决于由信息处理系统所提供的持续性。 4. 职责
4.1 信息安全过程负责人 ➢ 监控安全管理流程;
➢ 根据组织安全需求,开发与维护安全计划; ➢ 处理与安全相关的问题和事件; ➢ 确保满足运维服务指定的安全需求;
1
信息安全管理过程 ➢ 完成包含流程结果,自评估及内部审计的信息安全风险评估报告;
➢ 人员组成:信息安全管理员、部门经理等。 4.2 运维服务部经理
➢ 负责安排项目中的信息安全风险评估; ➢ 做好用户的沟通,协调关于信息安全的问题。 5. 流程策略
5.1 公司信息安全方针
安全意识,控制风险,积极预防,持续改进。 5.2 安全资源管理策略
➢ 提供建立、实施、运营和维护安全管理体系所需的资源,确保信息安全管理能够支持业务需求;
➢ 应按法律法规要求以及合同安全职责规定提供资源; ➢ 应提供资源进行正确的应用软件操作控制措施满足安全需求; ➢ 在必要时应提供资源实施回顾,并针对回顾结果采取必要的措施;
➢ 在必要时应提供资源以提高信息安全管理体系的效率。 6. 流程描述
信息安全活动划分为三个部分,包括规划、实施和监控。规划包
2
信息安全管理过程 括需求识别和分析、确定安全实施范围、信息安全风险评估、安全规范设计;实施包括安全规范实施;监控包括安全状况监控、维护安全规范、信息安全报告。 6.1 流程图
6.2 需求识别和分析
根据服务级别协议中签订的关于安全的详细说明,确定安全需求并进行分析。服务级别协议中应该定义安全需求,在可能的情况下还应该以可测度的术语进行定义。该协议的安全部分应当确保客户所有
3
信息安全管理过程 的安全需求和标准能够实现,并且实现的结果能够进行明确的验证。需求识别的范围包括人员安全、数据安全、机房环境、设备安全、系统安全等的安全需求。 6.3 确定安全实施范围
根据安全需求的识别情况确定安全实施范围。安全实施范围包括列为相应安全等级的数据、人员、机房、设备、系统等。 6.4 信息安全风险评估
运维服务部经理根据确定的安全实施范围进行风险分析与评估工作,并提交风险分析与评估报告。
风险评估包括识别安全实施范围内的资产状况、资产面临的威胁,现在使用的技术方法和管理规范,并进行总体分析得出风险的等级,编制《风险评估报告》。 6.5 设计安全规范
根据《风险评估报告》,运维服务部经理制定和编写《信息安全管理规范》。并根据信息安全规范制定信息安全策略、针对个人的保密协议、岗位职责说明、机房管理制度。 6.6 实施安全规范
在设计好安全规范后,日常需按照安全规范来实施安全管理。 1.在人员安全方面的实施: (1)岗位说明书中的任务和职责;
4
信息安全管理过程 (2)安全防护教育;
(3)员工个人电脑及涉密文档需做加密处理; (4)针对个人的保密协议。
2.责任划分的实施,以及岗位分离的实施。 3.书面的操作指示,内部规章。
4.安全问题涉及整个生命周期,应针对系统开发、测试、验收、运营、维护和终止制定安全指南。
5.将开发和测试环境与实际的运营环境分离开来。 6.处理事件的程序(由事件管理负责处理)。 7.恢复设施的实施。
8.为变更管理提供信息输入,病毒防护措施的实施。
9.针对计算机、操作系统、应用系统、数据、网络和网络服务的安全管理措施的实施。
10.数据媒介的处理和安全。 6.7 监控安全状况
对安全规范实施进行监控,在工作周报、服务月报中体现。 对发生的信息安全事件按照《事件管理程序》执行。 6.8 维护安全规范和信息安全改进
信息安全过程负责人根据系统运行及客户服务的风险变化,必要
5
信息安全管理过程 时对《信息安全管理规范》进行修改。
由于基础架构、组织和业务流程方面的变化导致相关的风险也随着发生变化,因此安全也需要进行维护。
安全维护包括服务级别协议中安全部分的维护以及详细的安全规范的维护。
维护需要根据评估子系统流程的结果以及对风险变化的评估结果进行。这些建议既可以直接被计划子流程所采纳,也可以纳入总体的服务级别协议的维护中。
安全规范更新通过变更管理实施。
通过安全检查记录和相关信息,分析企业或客户是否存在信息安全风险或信息安全风险隐患,针对发现的问题,制定相应的改进计划和改进措施。 6.9 信息安全报告
信息安全过程负责人根据信息安全管理的实施状况及日常发生的安全事件等,每季一次巡检,编写《信息安全服务报告》。
报告可以提供有关已实现安全绩效方面的信息,并可以了解有关的安全问题。
正确地了解有关努力(如安全措施的实施)所取得的效率以及实际被采用的安全措施。
还需要了解所有的安全事件。为报告服务级别协议中定义的安全
6
信息安全管理过程 事件,可通过服务级别管理负责人、事件管理负责人或安全管理负责人与部门经理直接的沟通渠道。
除了在特殊情形下的例外事项,报告都是通过服务级别管理负责人进行传达的。
根据信息安全管理需要报告信息安全的实施情况,并提交给《服务报告》中。问题来源:
1.需要找出根本原因的事件防止其再次发生的事件需要上升到问题管理;
2.重复发生的事件需要上升到问题管理;
3.通过对事件的趋势分析得出需要彻底解决的问题,如重复发生的事件。
问题可以从事件管理流程、运维和趋势分析等方面发现问题,可以通过事件提交与其相关联的问题记录。 7. 质量控制
7.1 关键绩效指标(KPI)
KPI 指标 衡量方式 报告周期 负责人 信息安全过程负责人 重大信息安全事故 0 信息安全泄漏或核心业务系统停机、数据丢失等被客户通报季度 的重大事故数量。 7.2 质量监控和改进
7
信息安全管理过程 过程负责人负责本流程的改进,应按照PDCA持续改进方法,定期对本流程及其情况进行回顾。将识别的改进事项记录到「改进计划表」并定期跟踪进度。流程改进按照服务改进管理流程。 8. 参考文件
序号 文件名称 信息技术服务运行维护服务能力成熟度模型 事件及服务请求管理过程 变更管理过程 服务报告管理过程 文件编码 参考类型 1 ITSS.1-2015 适用法规 2 3 4 执行参考 执行参考 执行参考 9. 相关记录
序号 1 2 3 4 记录名称 风险评估报告 信息安全服务报告 安全事件记录 个人保密协议 保存形式 电子 电子 电子 电子 保存期限 3年 3年 3年 3年 保存部门/单位 运维服务部 运维服务部 运维服务部 运维服务部 10. 附件 无。
8
