8-信息安全管理程序.docxVIP

PAGE 2 信息安全管理程序 文档版本号 V1.0 文档编写日期 2020/01/18 版本审批日期 2020/01/20 文档生效日期 2020/01/20 文档修订人 刘元 文档审批人 王珏 文件变更 版本号 版本说明/变更理由/变更内容摘要 编写人 审批人 生效日期 备注 V1.0 发布 刘元 王珏 2020/01/20 无  目 录 TOC \o 1-3 \h \z \u 1 目的 3 2 适用范围 3 3 角色职责 3 3.1 运维服务中心经理 3 3.2 信息安全经理 3 3.3 运维工程师 3 4 过程描述 3 4.1 需求识别和分析 3 4.2 确定安全实施范围 4 4.3 信息安全风险评估 4 4.4 设计安全规范 4 4.5 实施安全规范 4 4.6 监控安全状况 4 4.7 维护安全规范 5 4.8 信息安全报告 5 5 信息安全方针策略 5 5.1信息安全方针 5 5.2风险识别评估 6 5.3安全措施和规范 6 5.4网络管理员安全管理 6 5.5密码与权限管理 7 5.6公司信息安全管理 7 5.7运维项目信息安全管理 8 5 相关文件或记录 9 目的 为有效管理运维服务活动中信息安全相关工作，特制订本制度。 适用范围 本制度适用于运维服务活动中信息安全管理相关部门。 角色职责 运维服务中心经理 监控安全管理流程； 根据组织安全需求，开发与维护安全计划； 处理与安全相关的问题和事件； 确保满足 SLA 中指定的安全需求； 完成包含流程结果，自评估及内部审计的信息安全风险评估报告。 信息安全经理 负责评估项目中的信息安全风险评估； 做好用户的沟通，协调关于信息安全的问题。 运维工程师 严格按照此制度执行，规避风险； 为完善修订信息安全管理制度提供有效建议。 过程描述 信息安全活动划分为三个部分，包括规划、实施和监控。 规划包括需求识别和分析、确定安全实施范围、信息安全风险评估、安全规范设计； 实施包括安全规范实施； 监控包括安全状况监控、维护安全规范、信息安全报告。 需求识别和分析 根据服务级别协议中签订的关于安全的详细说明，确定安全需求并进行分析。服务级别协议中应该定义安全需求，在可能的情况下还应该以可测度的术语进行定义。该协议的安全部分应当确保客户所有的安全需求和标准能够实现，并且实现的结果能够进行明确的验证。需求识别的范围包括人员安全、数据安全、机房环境、设备安全、系统安全等的安全需求。 确定安全实施范围 根据安全需求的识别情况确定安全实施范围。安全实施范围包括列为相应安全等级的数据、人员、机房、设备、系统等。 信息安全风险评估 运维服务中心经理根据确定的安全实施范围进行风险分析与评估工作，并提交风险分析与评估报告。 风险评估包括识别安全实施范围内的资产状况、资产面临的威胁，现在使用的技术方法和管理规范，并进行总体分析得出风险的等级，编制《风险评估报告》。 设计安全规范 根据《风险评估报告》，运维服务中心经理制定和编写《信息安全管理规范》。并根据信息安全规范制定信息安全策略、针对个人的必威体育官网网址协议、岗位职责说明、机房管理制度。 实施安全规范 在设计好安全规范后，日常需按照安全规范来实施安全管理。在人员安全方面的实施： 职位说明中的任务和职责； 安全防护； 针对个人的必威体育官网网址协议； 责任划分的实施，以及岗位分离的实施； 书面的操作指示，内部规章； 安全问题涉及整个生命周期，应针对系统开发、测试、验收、运营、维护和终止制定安全指南； 将开发和测试环境与实际的运营环境分离开来； 处理事件的程序； 恢复设施的实施； 为变更管理提供信息输入，病毒防护措施的实施； 针对计算机、操作系统、应用系统、数据、网络和网络服务的安全管理措施的实施； 数据媒介的处理和安全。 监控安全状况 对安全规范实施进行监控，在工作周报、服务月报中体现。对发生的信息安全事件按照《事件和服务请求管理程序》执行。 维护安全规范 运维服务中心经理根据系统运行及客户服务的风险变化，必要时要对《信息安全管理规范》进行修改。由于基础架构、组织和业务流程方面的变化导致相关的风险也随着发生变化，因此安全也需要进行维护。 安全维护包括服务级别协议中安全部分的维护以及详细的安全规范的维护。维护需要根据评估子系统流程的结果以及对风险变化的评估结果进行。这些建议既可以直接被计划子流程所采纳，也可以纳入总体的服务级别协议的维护中。 信息安全报告 运维服务中心经理根据信息安全管理的实施状况及日常发生的安全事件等，每季一次巡检，编写《信息安全服务报告》。 报告可以提供有关已实现安全绩效方面的信息，并可以了解有关的