返回本章节索引    阅读下一篇

IT服务管理体系—信息安全管理程序

1  简介

1.1 目的

满足SLA中的安全性需求以及合同、法律和外部政策等的要求。

1.2  适用范围

适用于公司提供IT服务的部门，以及与信息安全和风险防范有关的活动的管理。

1.3  术语表

可用性：需要时，被授权的使用者能够访问和使用相关资产。

保密性：信息不被未授权的个人、实体、流程访问或泄漏。

完整性：保护资产的准确和完整。

信息安全：保护信息的保密性、完整性、可用性及其他属性。

信息安全事件：识别系统、服务或网络状态发生的事件其违背了信息安全策略，或使安全措施失效，或以前未知的与安全相关的情况。

信息安全事故：单个或一系列的意外信息安全事件可能严重影响业务运作并威胁信息安全。

风险：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性。

风险评估：对信息和信息处理设施的威胁、影响和脆弱性及三者发生的可能性评估。

1.4  引用文件

1. ISO/IEC 20000-1：2005
2. 《IT服务管理手册》

2  职责

2.1  技术服务事业部

负责制订信息安全策略和方针，组织建立、改进信息安全管理体系。

2.2  服务部

负责组织建立信息安全管理制度和方法，计划、实施信息安全要求，监控、报告和响应信息安全事件。负责协助处理信息安全事件，制订信息安全解决方案，组织评价变更对信息安全的影响，参与信息安全管理的改进。

流程图

3  具体内容

3.1 组织制订信息安全策略

3.1.1 服务部根据IT服务工作的特点收集相应的信息安全需求。

3.1.2 根据公司的业务需求，在技术服务事业部的安排下，管理者代表组织服务部、销售部门、研发部门根据服务级别协议（SLA）的要求，对信息安全的要求进行讨论，制订公司《信息安全管理规范》，经管理者代表批准后发放相关部门。其中应包括：

3.1.2.1 信息安全活动的总方向及总则框架。

3.1.2.2 信息安全管理的范围、目标、策略和要求。

3.1.2.3 安全的职能和职责。

3.1.2.4 风险评价标准。

3.2  分析客户安全需求

3.2.1 服务部根据与客户签订的SLA中的信息安全要求以及客户系统运行的特点，分析客户信息系统的安全要求。

3.3 制定信息安全管理计划

3.3.1 服务部负责识别信息安全风险，识别风险时应考虑：

3.3.1.1 风险发生可能带来的业务影响和后果。

3.3.1.2 风险发生的现实可能性。

3.3.1.3 资产的主要威胁、脆弱点和影响以及已经实施的安全控制措施。

3.3.1.4 根据可接受风险的准则，判断风险的处理办法。

3.3.2 制定信息安全管理计划

◆服务部根据所识别的风险，制订相关的信息安全管理计划，经服务部批准后执行。其中应明确：技术要求（物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复）， 管理要求（安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理）。

3.4  运行监控

3.4.1 服务部根据《项目策划书》中风险处置计划的内容实施和检测控制措施，开展信息安全管理的活动，以达到安全控制的目标。

3.4.2 服务部负责信息安全系统日常的运行监控，检查与信息安全有关的活动是否满足SLA的要求。如不符合要求，则制定服务改进计划。

3.4.3 服务部根据《项目策划书》中的安全意识培训安排，对与信息安全相关的人员实施安全培训。

3.5 实施信息安全评估

3.5.1 所有信息安全管理过程中的改进结果，由服务部具体实施，服务部组织验证，并监控改进的实施。

3.5.2 服务部按照《项目策划书》中的规定，进行信息安全评估，确保：

3.5.2.1 及时检测过程结果中的错误。

3.5.2.2 及时识别失败的和成功的安全违规和事故。

3.5.2.3 监控安全活动是否按期望实施。

3.5.2.4 使用通知提示帮助检测安全事件。

3.5.2.5 确定解决安全违规的行动是否有效。

4  输出的文件和记录

返回本章节索引    阅读下一篇