01.信息安全管理过程手册.docx

版本修改原因修改内容发起人生效日期A首次发行初稿彭涛2015年7月10日制作人彭涛部门实施与服务部制作日期2015年7月8日文件发行管制类别批准签名日期受控文件审查核准目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。范围本程序适用运维服务范围内信息安全风险评估活动的管理。职责信息安全管理负责人由公司技术线副总裁担任，主要具有以下职责：信息安全管理目标体系的负责人；确保信息安全管理目标体系的实现，并为信息安全经理协调必要的资源。信息安全经理公司信息安全经理由实施服务部指定项目经理担任，运维服务项目的信息安全经理由各项目的运维项目经理担任，主要具有以下职责：对信息安全员识别的风险项进行评估，并决定处置和改进的风险项；对处置和改进的风险项，以及改进带来的影响，形成安全信息服务报告；公司信息安全经理主管公司内部的信息安全工作，以及所有项目客户信息及合同的信息安全管理；运维项目信息安全经理负责运维服务项目的信息安全工作。信息安全员由实施与服务部的资深工程师担任，主要具有以下职责：识别公司内部与运维服务有关的、以及运维项目中的风险项；对信息安全经理评估审批完的风险项进行处置和改进，并就结果向信息安全经理汇报。信息安全管理概述信息安全管理战略是信息安全的根本原则和总体目标，主要内容是阐述国云科技股份有限公司（以下简称：公司）信息安全工作的总体要求和目标展望。信息安全管理的战略目标是： 提高员工整体的信息安全意识，提高信息系统技术维护人员的安全技能水平和规范操作意识；培养出一批专业的信息安全管理和技术人员，为公司信息化的健康、持续发展提供储备力量；同时充分借助外部力量；在保障运行和处理性能的基础上，开展信息安全保障工作；注重标准化建设，把安全建设作为标准化建设的一部分，提高新建项目的安全水平。信息安全管理基本原则在公司政策和法规的要求下，包括对业务需求的分析和支持，信息安全管理必须遵循的基本原则包括：必须遵从政策法规的要求，满足相应的法规、流程和技术标准；关键业务优先级原则，有限的资源必须保证关键业务流程的支持和恢复；风险管理原则，树立风险无处不在的意识，有效地分析和管理风险；面向流程的管理原则，制定和实施完善的IT服务流程：公司层面主要管理相应法规和业务需求性管理流程，并遵从流程进行活动和管理，尤其是灾难发生时的行为。项目层面主要是管理业务实施过程中的流程，确保客户信息的安全性。在信息安全管理流程中，合适授权的管理者必须批准、发布一个信息安全策略，在适当的时候与所有相关人员和客户进行沟通。适当的安全控制必须实施信息安全策略要求以及管理和服务、系统访问相关的风险。安全控制必须被文档化，文档必须描述与控制相关的风险、控制操作和维护的方式。变更对控制产生的影响必须在变更实施前被评估。当外部组织对信息系统和服务有访问权时，相关安排必须建立在一个正式的协议的基础上，该协议定义了所有必须的安全需求。安全事件必须遵循事件管理流程，尽快被报告和记录。相关流程应保证所有的安全突发事件的调查和相应管理行动的执行。必须有相关机制确保安全突发事件和故障的类型、数量和影响得到量化和监控。本流程识别出的改进行动必须被记录，并输入到一个服务改进计划。信息安全管理体系策略生命周期管理策略信息安全管理是由一系列活动组成，并持续进行改进和完善，具有向前进化演变的特性，因此，在公司的信息安全管理中，将其一系列活动定义为生命周期进行管理。信息安全管理的生命周期包括以下几个部分：安全规划（Plan）按照风险评估和业务需求，制定安全控制目标体系。安全管理规划完成后，如需要变更，则须遵循变更管理的流程。安全实施（Implementation）安全实施是协调安全管理过程和指标的部署，通过必要的培训和教育让相关人员具备需要的意识和技能，协调安全相关事件和问题的处理流程和记录，协调对安全协议指标的数据收集和监督，协调对安全资源和设备的监控和数据报告。安全体系维护（Maintain）安全维护是根据安全变更请求，修改安全管理体系相关流程、文档或计划，维护服务级别协议中的安全部分以及维护详细的安全计划。安全管理体系进行变更后，需要协调必要的培训和评审，并参考变更的结果准备下一期的安全计划。安全管理报告（Report）安全管理报告是整理安全相关的事件、记录信息，进行总结和分析，提出改进和控制的建议，最终生成报告，其目的是希望提供与当前已实现安全水平相关的信息，同时通知客户与IT资源安全相关的问题，并提交管理层的关注和决策。信息安全管理组织和管理层策略目的建设和健全企业的信息安全组织/部门建设，明确其工作职责，优化工作流程。策略安全组织建设策略包括：设置信息安全经理负责信息安全管理工作，公司信息安全项目经理主管公司内部的信息安全工作