ISO20000：2018程序文件-信息安全管理程序

文件編號(hào)：HTPC-ITSM-B-15文件名稱：信息安全管理程序密級(jí)：敏感第2頁文檔編號(hào)：HTPC-ITSM-B-15信息安全管理程序版本號(hào)：V1.0信息安全管理程序編制：審核：批準(zhǔn)：發(fā)布日期：實(shí)施日期：修訂履歷版本變更履歷變更人/變更日期審核人/審核日期批準(zhǔn)人/批準(zhǔn)日期目錄TOC\o"1-2"\h\z\u1目的 32范圍 33職責(zé) 33.1安全管理負(fù)責(zé)人 33.2客戶服務(wù)負(fù)責(zé)人 34相關(guān)文件 35程序 45.1需求識(shí)別和分析 45.2確定安全實(shí)施范圍 45.3信息安全風(fēng)險(xiǎn)評(píng)估 45.4設(shè)計(jì)安全規(guī)范 45.5實(shí)施安全規(guī)范 45.6監(jiān)控安全狀況 55.7維護(hù)安全規(guī)范 55.8信息安全報(bào)告 56記錄 6

1目的本程序的目的是在客戶服務(wù)工作中有效管理信息安全。滿足信息管理系統(tǒng)運(yùn)行和客戶服務(wù)中的安全性需求以及合同、法律和外部政策等外部要求；提供一個(gè)滿足需求的基本的信息系統(tǒng)安全基線；確保有效的信息安全措施在公司、技術(shù)服務(wù)部和服務(wù)人員三個(gè)層面都得到貫徹。2范圍本程序適用于信息管理系統(tǒng)客戶服務(wù)覆蓋的所有部門。3職責(zé)3.1安全管理負(fù)責(zé)人監(jiān)控安全管理流程；根據(jù)組織安全需求，開發(fā)與維護(hù)安全計(jì)劃；處理與安全相關(guān)的問題和事件；確保滿足SLA中指定的安全需求；完成包含流程結(jié)果，自評(píng)估及內(nèi)部審計(jì)的信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告；人員組成：信息安全員管理員、部門經(jīng)理等。3.2客戶服務(wù)負(fù)責(zé)人負(fù)責(zé)安排項(xiàng)目中的信息安全風(fēng)險(xiǎn)評(píng)估；做好用戶的溝通，協(xié)調(diào)關(guān)于信息安全的問題。4相關(guān)文件《服務(wù)報(bào)告管理程序》《事件管理程序》《變更管理程序》5程序5.1需求識(shí)別和分析根據(jù)服務(wù)級(jí)別協(xié)議中簽訂的關(guān)于安全的詳細(xì)說明，確定安全需求并進(jìn)行分析。服務(wù)級(jí)別協(xié)議中應(yīng)該定義安全需求，在可能的情況下還應(yīng)該以可測度的術(shù)語進(jìn)行定義。該協(xié)議的安全部分應(yīng)當(dāng)確保客戶所有的安全需求和標(biāo)準(zhǔn)能夠?qū)崿F(xiàn)，并且實(shí)現(xiàn)的結(jié)果能夠進(jìn)行明確的驗(yàn)證。需求識(shí)別的范圍包括人員安全、數(shù)據(jù)安全、機(jī)房環(huán)境、設(shè)備安全、系統(tǒng)安全等的安全需求。5.2確定安全實(shí)施范圍根據(jù)安全需求的識(shí)別情況確定安全實(shí)施范圍。安全實(shí)施范圍包括列為相應(yīng)安全等級(jí)的數(shù)據(jù)、人員、機(jī)房、設(shè)備、系統(tǒng)等。5.3信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)管理人員根據(jù)確定的安全實(shí)施范圍進(jìn)行風(fēng)險(xiǎn)分析與評(píng)估工作，并提交風(fēng)險(xiǎn)分析與評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估包括識(shí)別安全實(shí)施范圍內(nèi)的資產(chǎn)狀況、資產(chǎn)面臨的威脅，現(xiàn)在使用的技術(shù)方法和管理規(guī)范，并進(jìn)行總體分析得出風(fēng)險(xiǎn)的等級(jí)，編制《風(fēng)險(xiǎn)評(píng)估報(bào)告》。5.4設(shè)計(jì)安全規(guī)范根據(jù)《風(fēng)險(xiǎn)評(píng)估報(bào)告》，服務(wù)負(fù)責(zé)人制定和編寫《信息安全管理規(guī)范》。并根據(jù)信息安全規(guī)范制定信息安全策略、針對(duì)個(gè)人的保密協(xié)議、崗位職責(zé)說明、機(jī)房管理制度。5.5實(shí)施安全規(guī)范在設(shè)計(jì)好安全規(guī)范后，日常需按照安全規(guī)范來實(shí)施安全管理。在人員安全方面的實(shí)施：職位說明中的任務(wù)和職責(zé)；安全防護(hù)；針對(duì)個(gè)人的保密協(xié)議；責(zé)任劃分的實(shí)施，以及崗位分離的實(shí)施；書面的操作指示，內(nèi)部規(guī)章；安全問題涉及整個(gè)生命周期，應(yīng)針對(duì)系統(tǒng)開發(fā)、測試、驗(yàn)收、運(yùn)營、維護(hù)和終止制定安全指南；將開發(fā)和測試環(huán)境與實(shí)際的運(yùn)營環(huán)境分離開來；處理事件的程序（由事件管理負(fù)責(zé)處理）；恢復(fù)設(shè)施的實(shí)施；為變更管理提供信息輸入，病毒防護(hù)措施的實(shí)施；針對(duì)計(jì)算機(jī)、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的安全管理措施的實(shí)施；數(shù)據(jù)媒介的處理和安全。5.6監(jiān)控安全狀況對(duì)安全規(guī)范實(shí)施進(jìn)行監(jiān)控，在工作周報(bào)、服務(wù)月報(bào)中體現(xiàn)。對(duì)發(fā)生的信息安全事件按照《事件管理程序》執(zhí)行。5.7維護(hù)安全規(guī)范服務(wù)管理人員根據(jù)系統(tǒng)運(yùn)行及客戶服務(wù)的風(fēng)險(xiǎn)變化，必要時(shí)對(duì)《信息安全管理規(guī)范》進(jìn)行修改。由于基礎(chǔ)架構(gòu)、組織和業(yè)務(wù)流程方面的變化導(dǎo)致相關(guān)的風(fēng)險(xiǎn)也隨著發(fā)生變化，因此安全也需要進(jìn)行維護(hù)。安全維護(hù)包括服務(wù)級(jí)別協(xié)議中安全部分的維護(hù)以及詳細(xì)的安全規(guī)范的維護(hù)。維護(hù)需要根據(jù)評(píng)估子系統(tǒng)流程的結(jié)果以及對(duì)風(fēng)險(xiǎn)變化的評(píng)估結(jié)果進(jìn)行。這些建議既可以直接被計(jì)劃子流程所采納，也可以納入總體的服務(wù)級(jí)別協(xié)議的維護(hù)中。安全規(guī)范更新通過變更管理實(shí)施,參照《變更管理程序》。5.8信息安全報(bào)告信息管理負(fù)責(zé)人根據(jù)信息安全管理的實(shí)施狀況及日常發(fā)生的安全事件等，每季一次巡檢，如發(fā)生信息安全事件則編寫《信息安全服務(wù)報(bào)告》。報(bào)告可以提供有關(guān)已實(shí)現(xiàn)安全績效方面的信息，并可以了解有關(guān)的安全問題。正確地了解有關(guān)努力（如安全措施的實(shí)施）所取得的效率以及實(shí)際被采用的安全措施。還需要了解所有的安全事件。為報(bào)告服務(wù)級(jí)別協(xié)議中定義的安全事件，可通過服務(wù)級(jí)別管理負(fù)責(zé)人、事件管理負(fù)責(zé)人或安全管理負(fù)責(zé)人與部門經(jīng)理直接的溝通渠道。除了在特殊情形下的例外