SMS-信息安全管理程序.docx

信息安全管理程序1 .目的规定了IT服务商在提供服务与作业活动中，对客户关键应用所关联的资产进行风险等级评估并采取相应的控制措施的方法。2 .适用范围适用于向外部客户提供运维服务的信息安全管理。3 .术语术语定义机密性指保护信息免受未经授权的访问和使用。完整性指信息的准确性、完全性和及时性。可用性是信息在任何约定的时间内都可以被访问。这取决于由信息处理系统所提供的持续性。4.职责角色职责信息安全管理经理监督安全管理流程；根据组织安全需求，识别和分析安全问题、制定安全方针；指导、处理与安全相关的问题和事件；确保满足SLA中指定的安全需求；完成包含流程结果，自评估及内部审计的信息安全风险评估报告；维护项目经理维护项目经理职责：负责制定维护项目安全范围和规范、表格。负责安排项目中的信息安全风险评估；做好用户的沟通，协调关于信息安全的问题。负责该项目安全管理的严格实施和持续监控。出安全报告给用户。信息安全员负责记录系统运行过程中的安全事件记录负责现场处理系统运行过程中的安全事件5.内容5.1信息安全策略全而识别、有效控制5.2需求识别和分析根据服务水平协议中签订的关于安全的详细说明，确定安全需求并进行分析。服务水平协议中应该定义安全需求，在可能的情况下还应该以可测度的术语进行定义。该协议的安全部分应当确保客户所有的安全需求和标准能够实现，并且实现的结果能够进行明确的验证。需求识别的范围包括人员安全、数据安全、机房环境、设备安全、系统安全等的安全需求。5.3确定安全实施范围根据安全需求的识别情况确定安全实施范围。安全实施范围包括列为相应安全等级的机房环境、设备、系统、数据、人员等。5.4信息安全风险评估信息安全管理人员根据确定的安全实施范围进行风险分析与评估工作，并提交风险分析与评估报告。风险评估包括识别安全实施范围内的资产状况、资产面临的威胁，现在使用的技术方法和管理规范，并进行总体分析得出风险的等级,编制风险评估报告。5.5设计安全规范根据风险评估报告，维护项目经理制定和编写信息安全规范。并根据信息安全规范制定信息安全策略、针对个人的保密协议、岗位职责说明、机房管理制度。5.6实施安全规范在设计好安全规范后，日常需按照安全规范来实施安全管理。机房环境信息安全管理；制定机房管理制度。制定项目中各种软硬件设备的设备安全管理规范。在人员安全方面的实施：职位说明中的任务和职责；针对个人的保密协议；责任划分的实施，以及岗位分离的实施；安全问题涉及整个生命周期，应针对系统开发、测试、验收、运营、维护和终止制定安全指南;将开发和测试环境与实际的运营环境分离开来；处理事件的程序（由事件管理负责处理）；处理配置更改程序（由配置管理复杂处理）；为变更管理提供信息输入；针对计算机、操作系统、应用系统、数据、网络和网络服务的安全管理措施的实施；数据媒介的处理和安全。5.7监控安全状况对安全规范实施进行监控，在工作日/周报、服务月报中体现。对发生的信息安全事件按照事件管理程序执行。5.8维护安全规范服务管理人员根据系统运行及客户服务的风险变化，必要时对人员信息安全规范进行修改。由于基础架构、组织和业务流程方面的变化导致相关的风险也随着发生变化，因此安全也需要进行维护。安全维护包括服务水平协议中安全部分的维护以及详细的安全规范的维护。维护需要根据评估子系统流程的结果以及对风险变化的评估结果进行。这些建议既可以直接被计划子流程所采纳，也可以纳入总体的服务水平协议的维护中。安全规范更新通过变更管理实施,参照变更管理程序、配置管理程序。5.9信息安全报告信息管理负责人根据信息安全管理的实施状况及日常发生的安全事件等，每季一次巡检，如发生信息安全事件则编写服务报告的安全部分。报告可以提供有关已实现安全绩效方面的信息，并可以了解有关的安全问题。正确地了解有关努力（如安全措施的实施）所取得的效率以及实际被采用的安全措施。还需要了解所有的安全事件。为报告服务水平协议中定义的安全事件，可通过服务级别管理负责人、事件管理负责人或安全管理负责人与部门经理直接的沟通渠道。除了在特殊情形下的例外事项，报告都是通过服务级别管理负责人进行传。根据信息安全管理需要报告信息安全的实施情况，并提交给服务报告中。参照服务报告管理程序。5 .10信息安全事件所有引起信息的机密性（预防数据欺骗及组织敏感信息泄漏），完整性（防止数据被篡改）和可用性缺失（核心业务的连续性）的事件都是信息安全事件。（例如病毒引起的故障，由于密码失窃引发的事件等等），发生有关信息安全事件的时候按事件管理程序的流程来执行。信息安全管理经理应定期分析和汇总信息安全事件，生成信息安全事件统计表，以报告当前的信息安全现状。在执行各安全管理过程中，发现需要改进的措施，均输入服务改进汇总表进行管理。6 .相关文件6.1事件管理程序6.2变更管理程序6.3配置管理程序7.相关记录7.1信息安全风险评估报告7.2信息安全事件统计7.3人员信息安全规范