信息安全管理程序（ISO∕IEC20000-1：2018）

信息安全管理程序1．簡介目的滿足SLA中的安全性需求以及合同、法律和外部政策等的要求。適用范圍適用于公司提供IT服務的部門，以及與信息安全和風險防范有關的活動的管理。術語表可用性：需要時，被授權的使用者能夠訪問和使用相關資產(chǎn)。保密性：信息不被未授權的個人、實體、流程訪問或泄漏。完整性：保護資產(chǎn)的準確和完整。信息安全：保護信息的保密性、完整性、可用性及其他屬性。信息安全事件：識別系統(tǒng)、服務或網(wǎng)絡狀態(tài)發(fā)生的事件其違背了信息安全策略，或使安全措施失效，或以前未知的與安全相關的情況。信息安全事故：單個或一系列的意外信息安全事件可能嚴重影響業(yè)務運作并威脅信息安全。風險：特定的威脅利用資產(chǎn)的一種或一組薄弱點，導致資產(chǎn)的丟失或損害的潛在可能性。風險評估：對信息和信息處理設施的威脅、影響和脆弱性及三者發(fā)生的可能性評估。引用文件ISO/IEC20000-1：2018《IT服務管理手冊》職責技術服務事業(yè)部負責制訂信息安全策略和方針，組織建立、改進信息安全管理體系。服務部負責組織建立信息安全管理制度和方法，計劃、實施信息安全要求，監(jiān)控、報告和響應信息安全事件。負責協(xié)助處理信息安全事件，制訂信息安全解決方案，組織評價變更對信息安全的影響，參與信息安全管理的改進。

流程圖具體內(nèi)容組織制訂信息安全策略服務部根據(jù)IT服務工作的特點收集相應的信息安全需求。根據(jù)公司的業(yè)務需求，在技術服務事業(yè)部的安排下，管理者代表組織服務部、銷售部門、研發(fā)部門根據(jù)服務級別協(xié)議（SLA）的要求，對信息安全的要求進行討論，制訂公司《信息安全管理規(guī)范》，經(jīng)管理者代表批準后發(fā)放相關部門。其中應包括：信息安全活動的總方向及總則框架。信息安全管理的范圍、目標、策略和要求。安全的職能和職責。風險評價標準。分析客戶安全需求服務部根據(jù)與客戶簽訂的SLA中的信息安全要求以及客戶系統(tǒng)運行的特點，分析客戶信息系統(tǒng)的安全要求。制定信息安全管理計劃服務部負責識別信息安全風險，識別風險時應考慮：風險發(fā)生可能帶來的業(yè)務影響和后果。風險發(fā)生的現(xiàn)實可能性。資產(chǎn)的主要威脅、脆弱點和影響以及已經(jīng)實施的安全控制措施。根據(jù)可接受風險的準則，判斷風險的處理辦法。制定信息安全管理計劃服務部根據(jù)所識別的風險，制訂相關的信息安全管理計劃，經(jīng)服務部批準后執(zhí)行。其中應明確：技術要求（物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復），管理要求（安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理）。運行監(jiān)控服務部根據(jù)《項目策劃書》中風險處置計劃的內(nèi)容實施和檢測控制措施，開展信息安全管理的活動，以達到安全控制的目標。服務部負責信息安全系統(tǒng)日常的運行監(jiān)控，檢查與信息安全有關的活動是否滿足SLA的要求。如不符合要求，則制定服務改進計劃。服務部根據(jù)《項目策劃書》中的安全意識培訓安排，對與信息安全相關的人員實施安全培訓。實施信息安全評估所有信息安全管理過程中的改進結果，由服務部具體實施，服務部組織驗證，并監(jiān)控改進的實施。服務部按照《項目策劃書》中的規(guī)定，進行信息安全評估，確保：及時檢測過程結果中的錯誤。及時識別失敗的和成功的安全違規(guī)和事故。監(jiān)控安全活動是否按期望實施。使用通知提示幫助檢測安全事件。確定解決安全違規(guī)的行動是否有效。輸出的文件和記錄文件和記錄