信息安全管理手冊(cè)

Xxx有限公司ISO20000體系文件信息安全管理手冊(cè)文檔信息文檔編號(hào)：ITSM-02-IS-01文檔名稱(chēng)：信息安全管理規(guī)范起草人：審核人：批準(zhǔn)人：生效日期：發(fā)布范圍：版本記錄版本號(hào)版本日期修改修改章節(jié)修改記錄目錄1 目的和范圍 41.1 編寫(xiě)目的 41.2 適用范圍 42 制定依據(jù) 43 術(shù)語(yǔ)定義 44 流程角色及職責(zé) 45 具體條款 45.1 信息安全政策 45.1.1信息安全方針 45.1.2信息安全風(fēng)險(xiǎn)評(píng)估 55.1.3信息安全內(nèi)審 55.1.4信息安全外審 55.2 信息安全措施 55.2.1資產(chǎn)分類(lèi)和保護(hù) 55.2.2人力資源安全 65.2.3物理與環(huán)境安全 65.2.4通訊和操作安全 65.2.5訪問(wèn)控制 75.2.6法律法規(guī)符合性 75.3 信息安全事件 86 相關(guān)文件與記錄 8目的和范圍編寫(xiě)目的本文件編寫(xiě)的目的是為了規(guī)范信息安全管理流程的相關(guān)策略及活動(dòng)，確保信息安全管理流程的執(zhí)行質(zhì)量和執(zhí)行有效性。適用范圍本文檔適用于xxx有限公司技術(shù)中心的運(yùn)維及IT服務(wù)部（以下簡(jiǎn)稱(chēng)“運(yùn)維及IT服務(wù)部”），本文檔所規(guī)定的IT服務(wù)是指運(yùn)維及IT服務(wù)部為公司研發(fā)部門(mén)所提供的IT服務(wù)。制定依據(jù)ISO/IEC20000-1:2011。術(shù)語(yǔ)定義本文檔采用《ITSM標(biāo)準(zhǔn)術(shù)語(yǔ)表》中的定義。流程角色及職責(zé)相關(guān)流程流程活動(dòng)說(shuō)明編碼活動(dòng)責(zé)任人說(shuō)明01需求識(shí)別與評(píng)估信息安全經(jīng)理根據(jù)新應(yīng)用/服務(wù)系統(tǒng)上線、信息安全管理回顧發(fā)起需求識(shí)別與評(píng)估。02發(fā)起信息安全風(fēng)險(xiǎn)信息安全經(jīng)理根據(jù)現(xiàn)有狀態(tài)，分析信息安全相關(guān)風(fēng)險(xiǎn)。03信息安全滿足業(yè)務(wù)需求信息安全經(jīng)理根據(jù)分析結(jié)果，判斷當(dāng)前信息安全規(guī)范是否能夠滿足業(yè)務(wù)需求04制定/更新信息安全規(guī)范信息安全經(jīng)理根據(jù)業(yè)務(wù)對(duì)信息安規(guī)范要求，制定和更新信息安全規(guī)范計(jì)劃。05信息安全規(guī)范是否需要實(shí)施信息安全經(jīng)理計(jì)劃制定完成后，根據(jù)計(jì)劃要求判斷是否需要實(shí)施。確認(rèn)需要實(shí)施進(jìn)入變更流程06是否滿足業(yè)務(wù)需求信息安全經(jīng)理檢查實(shí)施結(jié)果確認(rèn)是否達(dá)到計(jì)劃要求，滿足業(yè)務(wù)需求。具體流程角色與運(yùn)維及IT服務(wù)部相關(guān)崗位/人員的對(duì)應(yīng)關(guān)系請(qǐng)參見(jiàn)三級(jí)文件《信息安全管理策略》。具體條款信息安全政策信息安全方針安全管理、風(fēng)險(xiǎn)控制、內(nèi)控外防、快速響應(yīng)保護(hù)信息系統(tǒng)的物理環(huán)境、系統(tǒng)軟硬件和信息資源，增強(qiáng)信息系統(tǒng)的安全預(yù)警能力、保護(hù)能力、檢測(cè)能力及應(yīng)急處置能力，確保信息系統(tǒng)的安全；增強(qiáng)內(nèi)部信息安全綜合治理能力，實(shí)現(xiàn)安全風(fēng)險(xiǎn)可控制、內(nèi)部操作可審計(jì)、措施執(zhí)行可度量；確保重要業(yè)務(wù)數(shù)據(jù)的保密性和完整性，降低信息系統(tǒng)的故障率，提高災(zāi)難恢復(fù)能力，保證各項(xiàng)業(yè)務(wù)系統(tǒng)的可持續(xù)運(yùn)行；提高公司信息技術(shù)人員的安全思想意識(shí)、安全專(zhuān)業(yè)素質(zhì)以及安全管理水平，確保信息技術(shù)人員具備與其崗位要求相應(yīng)的能力。信息安全風(fēng)險(xiǎn)評(píng)估頻率：至少每年一次；范圍：所有系統(tǒng)；目標(biāo)：確認(rèn)系統(tǒng)的安全性、找出系統(tǒng)漏洞、對(duì)漏洞進(jìn)行修復(fù)。信息安全內(nèi)審每年進(jìn)行信息安全的內(nèi)部審核。信息安全外審重要業(yè)務(wù)系統(tǒng)通過(guò)等保測(cè)評(píng)，并在網(wǎng)監(jiān)進(jìn)行備案。信息安全措施資產(chǎn)分類(lèi)和保護(hù)應(yīng)明確運(yùn)維及IT服務(wù)部所有重要信息資產(chǎn)的所有者，所有者要確保資產(chǎn)受到合適的保護(hù)。信息安全經(jīng)理應(yīng)根據(jù)信息資產(chǎn)的價(jià)值、法規(guī)要求、敏感度和對(duì)組織的重用程度不同對(duì)其進(jìn)行分類(lèi)，不同級(jí)別的信息資產(chǎn)要有適合其相應(yīng)安全保護(hù)要求的控制措施。人力資源安全建立并將信息安全相關(guān)的控制貫穿于運(yùn)維及IT服務(wù)部的人力資源管理中，對(duì)于關(guān)鍵崗位需要建立相關(guān)的安全監(jiān)督機(jī)制；確保員工、合同方和第三方人員在雇傭前、雇傭中或離職以及雇傭關(guān)系變更時(shí)都以一種有序的方式進(jìn)行應(yīng)根據(jù)運(yùn)維及IT服務(wù)部的信息安全管理要求明確定義員工、第三方人員的安全角色和責(zé)任，并記錄在職責(zé)描述中；并且根據(jù)相關(guān)的職責(zé)，制定相關(guān)的信息安全基本行為準(zhǔn)則和安全操作準(zhǔn)則。對(duì)所有員工、第三方人員要開(kāi)展合適的安全意識(shí)培訓(xùn)和教育，確保其了解運(yùn)維及IT服務(wù)部的信息安全管理規(guī)范，以減少人為錯(cuò)誤、偷竊、欺詐及濫用設(shè)施所帶來(lái)的安全風(fēng)險(xiǎn)。如果出現(xiàn)了任何違反信息安全政策的行為并造成損失的，要依照運(yùn)維及IT服務(wù)部規(guī)定和國(guó)家相關(guān)的法律法規(guī)進(jìn)行處罰。物理與環(huán)境安全信息資產(chǎn)在物理上應(yīng)有訪問(wèn)控制和保護(hù)，防止偷竊、濫用、損壞或未經(jīng)授權(quán)的訪問(wèn)；辦公場(chǎng)所要滿足相關(guān)的常規(guī)安全要求，在物理上應(yīng)有訪問(wèn)控制和保護(hù)。通訊和操作安全網(wǎng)絡(luò)自身的設(shè)計(jì)、構(gòu)建和使用應(yīng)滿足安全控制的要求，并部署必要的基于網(wǎng)絡(luò)的安全技術(shù)和手段。網(wǎng)絡(luò)設(shè)備在運(yùn)行維護(hù)過(guò)程中應(yīng)嚴(yán)格遵照安全技術(shù)規(guī)范和操作管理規(guī)范，所有網(wǎng)絡(luò)設(shè)備接入、配置變更、設(shè)備廢棄或更換應(yīng)遵循變更流程，所有變更實(shí)施過(guò)程都必須記錄在案。針對(duì)運(yùn)維及IT服務(wù)部目前所維護(hù)的所有基礎(chǔ)設(shè)施及信息系統(tǒng)必須制定相應(yīng)的安全技術(shù)規(guī)范和操作管理規(guī)范，通過(guò)對(duì)日常操作的管理、備份管理、信息交換過(guò)程的控制以及系統(tǒng)的規(guī)劃驗(yàn)收等措施，確保運(yùn)維及IT服務(wù)部信息處理設(shè)施的正確和安全操作。明確針對(duì)第三方組織人員的信息安全管理要求，建立相應(yīng)的安全控制措施。應(yīng)保障存儲(chǔ)介質(zhì)使用和保管的安全。廢棄的存儲(chǔ)介質(zhì)應(yīng)確保被安全銷(xiāo)毀，其中存儲(chǔ)的敏感信息被徹底消除或覆蓋，不會(huì)造成信息泄漏。將任何含有敏感信息的信息系統(tǒng)設(shè)備或存儲(chǔ)介質(zhì)帶到集團(tuán)和運(yùn)維及IT服務(wù)部以外之前必須得到授權(quán)，并保障其處于妥善保管和安全控制之中。訪問(wèn)控制基礎(chǔ)設(shè)施及信息系統(tǒng)都必須具備訪問(wèn)控制機(jī)制，防止未經(jīng)授權(quán)的訪問(wèn)和信息泄漏。對(duì)信息系統(tǒng)的訪問(wèn)授權(quán)，不能超過(guò)員工工作所需的范圍，以減少信息被濫用的風(fēng)險(xiǎn)。建立完善的用戶訪問(wèn)管理規(guī)范，引入用戶帳號(hào)的創(chuàng)建、重設(shè)、變更、刪除、維護(hù)、定期審核和用戶口令管理的管理規(guī)范，確保用戶帳號(hào)的安全使用。建立完善運(yùn)維及IT服務(wù)部網(wǎng)絡(luò)以及和其它組織的網(wǎng)絡(luò)之間存在必要的接口的訪問(wèn)控制，對(duì)用戶和網(wǎng)絡(luò)設(shè)備具備必要的訪問(wèn)授權(quán)機(jī)制，以及對(duì)用戶訪問(wèn)信息服務(wù)的行為進(jìn)行有效控制。確保信息系統(tǒng)、基礎(chǔ)設(shè)施具備必要的訪問(wèn)授權(quán)機(jī)制，以及對(duì)用戶訪問(wèn)信息服務(wù)的行為進(jìn)行有效控制。建立移動(dòng)計(jì)算和遠(yuǎn)程工作的訪問(wèn)授權(quán)機(jī)制，確保在使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)備時(shí)信息的安全。法律法規(guī)符合性運(yùn)維及IT服務(wù)部的信息安全管理必須遵守運(yùn)維及IT服務(wù)部信息安全管理要求、相關(guān)的國(guó)家法律法規(guī)、行業(yè)規(guī)范和組織的相關(guān)規(guī)定。必須建立相關(guān)的管理規(guī)范以確保遵守版權(quán)和知識(shí)產(chǎn)權(quán)方面的法律法規(guī)和合同條款。運(yùn)維及IT服務(wù)部一定要監(jiān)控基礎(chǔ)設(shè)施及信息系統(tǒng)并記錄信息安全事件、操作日志和違例日志，定期審計(jì)日志，檢查安全控制的有效性和安全政策的遵守程度，并查處安全違例事件。維及IT服務(wù)部必須建立并實(shí)施相關(guān)的定期審核機(jī)制，以確保相關(guān)系統(tǒng)符合安全方針和標(biāo)準(zhǔn)。信息安全事件發(fā)現(xiàn)安全事件（安全事件包括安全事故和可疑的安全漏洞），員工應(yīng)立即按照事件管理要求進(jìn)行處理和報(bào)告。信