ISO20000：2018程序文件-信息安全管理程序

文檔編號：HTPC-ITSM-B-15信息安全管理程序版本號：V1.0信息安全管理程序編制：審核：批準：發(fā)布日期：實施日期：修訂履歷版本變更履歷變更人/變更日期審核人/審核日期批準人/批準日期目錄TOC\o"1-2"\h\z\u1目的 32范圍 33職責 33.1安全管理負責人 33.2客戶服務負責人 34相關文件 35程序 45.1需求識別和分析 45.2確定安全實施范圍 45.3信息安全風險評估 45.4設計安全規(guī)范 45.5實施安全規(guī)范 45.6監(jiān)控安全狀況 55.7維護安全規(guī)范 55.8信息安全報告 56記錄 6

1目的本程序的目的是在客戶服務工作中有效管理信息安全。滿足信息管理系統(tǒng)運行和客戶服務中的安全性需求以及合同、法律和外部政策等外部要求；提供一個滿足需求的基本的信息系統(tǒng)安全基線；確保有效的信息安全措施在公司、技術服務部和服務人員三個層面都得到貫徹。2范圍本程序適用于信息管理系統(tǒng)客戶服務覆蓋的所有部門。3職責3.1安全管理負責人監(jiān)控安全管理流程；根據(jù)組織安全需求，開發(fā)與維護安全計劃；處理與安全相關的問題和事件；確保滿足SLA中指定的安全需求；完成包含流程結果，自評估及內(nèi)部審計的信息安全風險評估報告；人員組成：信息安全員管理員、部門經(jīng)理等。3.2客戶服務負責人負責安排項目中的信息安全風險評估；做好用戶的溝通，協(xié)調(diào)關于信息安全的問題。4相關文件《服務報告管理程序》《事件管理程序》《變更管理程序》5程序5.1需求識別和分析根據(jù)服務級別協(xié)議中簽訂的關于安全的詳細說明，確定安全需求并進行分析。服務級別協(xié)議中應該定義安全需求，在可能的情況下還應該以可測度的術語進行定義。該協(xié)議的安全部分應當確?？蛻羲械陌踩枨蠛蜆藴誓軌?qū)崿F(xiàn)，并且實現(xiàn)的結果能夠進行明確的驗證。需求識別的范圍包括人員安全、數(shù)據(jù)安全、機房環(huán)境、設備安全、系統(tǒng)安全等的安全需求。5.2確定安全實施范圍根據(jù)安全需求的識別情況確定安全實施范圍。安全實施范圍包括列為相應安全等級的數(shù)據(jù)、人員、機房、設備、系統(tǒng)等。5.3信息安全風險評估服務管理人員根據(jù)確定的安全實施范圍進行風險分析與評估工作，并提交風險分析與評估報告。風險評估包括識別安全實施范圍內(nèi)的資產(chǎn)狀況、資產(chǎn)面臨的威脅，現(xiàn)在使用的技術方法和管理規(guī)范，并進行總體分析得出風險的等級，編制《風險評估報告》。5.4設計安全規(guī)范根據(jù)《風險評估報告》，服務負責人制定和編寫《信息安全管理規(guī)范》。并根據(jù)信息安全規(guī)范制定信息安全策略、針對個人的保密協(xié)議、崗位職責說明、機房管理制度。5.5實施安全規(guī)范在設計好安全規(guī)范后，日常需按照安全規(guī)范來實施安全管理。在人員安全方面的實施：職位說明中的任務和職責；安全防護；針對個人的保密協(xié)議；責任劃分的實施，以及崗位分離的實施；書面的操作指示，內(nèi)部規(guī)章；安全問題涉及整個生命周期，應針對系統(tǒng)開發(fā)、測試、驗收、運營、維護和終止制定安全指南；將開發(fā)和測試環(huán)境與實際的運營環(huán)境分離開來；處理事件的程序（由事件管理負責處理）；恢復設施的實施；為變更管理提供信息輸入，病毒防護措施的實施；針對計算機、操作系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)、網(wǎng)絡和網(wǎng)絡服務的安全管理措施的實施；數(shù)據(jù)媒介的處理和安全。5.6監(jiān)控安全狀況對安全規(guī)范實施進行監(jiān)控，在工作周報、服務月報中體現(xiàn)。對發(fā)生的信息安全事件按照《事件管理程序》執(zhí)行。5.7維護安全規(guī)范服務管理人員根據(jù)系統(tǒng)運行及客戶服務的風險變化，必要時對《信息安全管理規(guī)范》進行修改。由于基礎架構、組織和業(yè)務流程方面的變化導致相關的風險也隨著發(fā)生變化，因此安全也需要進行維護。安全維護包括服務級別協(xié)議中安全部分的維護以及詳細的安全規(guī)范的維護。維護需要根據(jù)評估子系統(tǒng)流程的結果以及對風險變化的評估結果進行。這些建議既可以直接被計劃子流程所采納，也可以納入總體的服務級別協(xié)議的維護中。安全規(guī)范更新通過變更管理實施,參照《變更管理程序》。5.8信息安全報告信息管理負責人根據(jù)信息安全管理的實施狀況及日常發(fā)生的安全事件等，每季一次巡檢，如發(fā)生信息安全事件則編寫《信息安全服務報告》。報告可以提供有關已實現(xiàn)安全績效方面的信息，并可以了解有關的安全問題。正確地了解有關努力（如安全措施的實施）所取得的效率以及實際被采用的安全措施。還需要了解所有的安全事件。為報告服務級別協(xié)議中定義的安全事件，可通過服務級別管理負責人、事件管理負責人或安全管理負責人與部門經(jīng)理直接的溝通渠道。除了在特殊情形下的例外事項，報