信息安全管理流程.doc

信息安全管理流程说明书（S-I） 版本号 版本记录 作者 审核 批准 日期 2010-9-19 修改核对信息安全管理流程说明书 汤笑咪 信息安全管理流程说明书 信息安全管理 目的 范围 术语和定义 相关ISO20000的术语和定义 Availability）：需要时，授权实体可以访问和使用的特性。 必威体育官网网址性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的特性。 完整性（Integrity）：保护资产的正确和完整的特性。 信息安全（Information security）：保护信息的必威体育官网网址性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。 信息安全管理体系（Information security management system ISMS）：整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源。 风险分析（Risk analysis）：系统地使用信息以识别来源和估计风险。 风险评价（Risk evaluation）：将估计的风险与既定的风险准则进行比较以确定重要风险的流程。 风险评估（Risk assessment）：风险分析和风险评价的全流程。 风险处置（Risk treatment）：选择和实施措施以改变风险的流程。 风险管理（Risk management）：指导和控制一个组织的风险的协调的活动。 残余风险（Residual risk）：实施风险处置后仍旧残留的风险。 其他术语和定义 文件（document）：信息和存储信息的媒体； 注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据； 注2：文件的例子，如策略声明、计划、程序、服务级别协议和合同； 记录（record）：描述完成结果的文件或执行活动的证据； 注1：在本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据； 注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录； KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process Indication即关键指标。是通过对组织内部流程的关键参数进行设置、取样、计算、分析，衡量流程绩效的一种目标式量化管理指标，绩效管理的基础。 角色和职责 了解组织的文化和政治背景 熟悉国家颁布的安全相关法律法规 很强的技术背景，对IT架构有总体的了解 项目管理技能 卓有成效的管理和组织会议、管理和组织人员的能力 对生产环境、组织架构、与业务部门的关系等，有充分的总体了解 良好的面向客户的沟通技巧 协调和处理多个任务的能力 足够的社交技能和信誉，可以和各个高层管理人员和各个支持小组进行协商和沟通 信息安全责任人 信息安全流程负责人通过从宏观上监控流程，来确保信息安全流程被正确地执行。当流程不能够适应公司的情况时，流程负责人必须及时对此进行分析、找出缺陷、进行改进，从而实现可持续提高。 职责： 确保信息安全流程能够取得管理层的参与和支持 确保信息安全流程符合公司实际状况和公司 IT发展战略 总体上管理和监控流程，建立信息安全流程实施、评估和持续优化机制 确保信息安全流程实用、有效、正确地执行，当流程不能够适应公司的情况时，必须及时对此进行分析、找出缺陷、进行改进(比如增加或合并流程的角色)，从而实现可持续提高流程效率 保持与其他流程负责人的定期沟通 主要技能： 深刻了解信息安全管理流程，熟悉信息安全管理流程和其他流程之间的关系； 具有很强的计划、组织、领导和控制才能，能够综合各方意见，按时制订和定期优化流程； 具有很好的沟通协调技能，能够取得公司高层的支持，获得所需资源； 具有流程设计经验； 具有良好的团队合作精神和跨部门沟通协调能力； 有很强的分析和处理问题的能力，能够分析流程执行中的问题，并提出改进意见； 有决策权，能够确保信息安全管理流程设计要求在实施项目中得到贯彻和执行； 信息安全分析员 职责： 对系统的信息安全进行分析和评估，并提出修改建议； 按照信息安全规划中对信息安全目标的要求，进行信息安全具体监控指标的定义。 主要技能： 很强的技术背景，对IT架构有总体的了解 有较好的风险分析能力 信息安全监视员 信息安全监视员的职责包括： 按照信息安全要求，对监控对象进行信息安全监视； 对信息安全监控流程、相关行为和监控结果进行记录、存档； 定期对信息安全监控结果进行分析，并生成信息安全监