信息安全管理程序

信息安全管理程序目的本程序的目的是在所有服務活動中有效管理信息安全。滿足服務級別協(xié)議中的安全性需求以及合同、法律和外部政策等外部要求；提供一個獨立于外部需求的基本的信息系統(tǒng)安全基線；確保有效的信息安全措施在戰(zhàn)略層、戰(zhàn)術層和運營層三個層面都得到貫徹。范圍本程序適用于公司運維項目的信息安全管理。定義安全性在IT服務中被視為可用性管理的一部分。安全管理已經(jīng)成為現(xiàn)代IT服務管理中一個重要的問題。安全性是指不易遭到已知風險的侵襲，并且盡可能地規(guī)避未知風險的性能。提供這種性能的工具是安全措施。安全措施的目標是要保護信息的價值，這種價值取決于機密性、完整性和可用性三個方面。機密性指保護信息免受未經(jīng)授權的訪問和使用。完整性指信息的準確性、完全性和及時性。可用性是信息在任何約定的時間內都可以被訪問。這取決于由信息處理系統(tǒng)所提供的持續(xù)性。職責軟件產(chǎn)品研發(fā)部：根據(jù)組織安全需求，開發(fā)與維護信息安全計劃處理與安全相關的問題和事件確保滿足SLA中指定的安全需求完成包含流程結果，自評估及內部審計相關內容的報告流程輸入SLA中的安全內容定義了用戶關于安全的詳細說明安全政策：安全政策定義了組織層面的安全要求。外部需求：當組織與外部資源相互作用時，需要滿足外部對安全的需求輸出日常安全計劃：是所有流程實施的組成部分異常報告：記錄需要采取特定安全措施的異常情況流程活動：5.1計劃5.1.1計劃包括在與服務級別管理磋商后制定服務級別協(xié)議中的安全部分，以及與安全相關的支撐合同中的活動。5.1.2計劃不僅接收來自服務級別協(xié)議的信息而且還有來自公司的信息安全策略要求，例如：“每個用戶的身份必須可以唯一識別”和“在任何時候必須為客戶提供一個基本的安全級別”。5.1.3服務級別協(xié)議中的安全部分應當確?？蛻羲械陌踩枨蠛蜆藴誓軌驅崿F(xiàn)，并且實現(xiàn)的結果能夠進行明確的驗證。5.1.4結合項目實際情況對項目進行信息安全風險評估，并針對高風險制定應對措施，形成運維服務項目的《信息安全風險評估與處置表》。5.2實施5.2.1實施計劃中規(guī)定的所有安全措施?？砂ㄒ韵聝热荩贺熑蝿澐值膶嵤?，以及崗位分離的實施；處理事件的流程；恢復設施的實施；針對服務器、計算機、應用系統(tǒng)、網(wǎng)絡和網(wǎng)絡服務的管理措施的實施；訪問和訪問控制政策的實施；針對計算機系統(tǒng)、工作站和連接在網(wǎng)絡上的計算機的身份識別和驗證措施的實施。5.3評估5.3.1對安全措施的實施結果進行獨立的評估是非常重要的。5.3.2評估結果可用來更新與客戶協(xié)商約定的安全措施，也可用于改進它們的實施效果。5.3.3根據(jù)評估的結果還可以建議實施某些變更，在這種情況下可以制作一項變更請求并提交給變更管理流程。5.3.4評估的主要活動包括：核實遵循安全政策的情況以及安全計劃的實施情況；對IT系統(tǒng)實施安全審計；找出對IT資源的不正確的使用，并作出相應的處理；承擔其它IT審計的安全方面。5.4維護5.4.1由于IT基礎架構、組織和業(yè)務流程方面的變化導致相關的風險也隨著發(fā)生變化，因此安全也需要進行維護。5.4.2安全維護包括服務級別協(xié)議中安全部分的維護以及詳細的安全計劃的維護。5.4.3維護需要根據(jù)評估的結果以及對風險變化的評估結果進行。這些建議既可以直接被計劃子流程所采納，也可以納入總體的服務級別協(xié)議的維護中。5.5報告5.5.1報告可以提供有關已實現(xiàn)安全績效方面的信息，并可以讓客戶了解有關的安全問題。這些報告通常是在與客戶簽訂的協(xié)議中所要求的。5.5.2客戶還需要了解所有的信息安全事件，針對發(fā)生的信息安全事件，應在事件報告的同時向客戶單獨報告。5.5.3為了報告服務級別協(xié)議中定義的安全事件，可通過項目經(jīng)理與客戶代表建立直接的溝通渠道。5.5.4