（itil体系管理）信息安全管理流程(共11页).doc

《（itil体系管理）信息安全管理流程(共11页).doc》由会员分享，可在线阅读，更多相关《（itil体系管理）信息安全管理流程(共11页).doc（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上信息安全管理流程版 本 记 录版本 编号版 本 日 期修 改 者说 明文 件 名V1.02011-11-15孙小明初稿信息安全管理流程V1.12012-3-15孙小明修订稿,确认流程执行人员信息安全管理流程目录1 介绍1.1 基本概念安全管理流程主要描述为确保企业信息系统中信息资源的安全而制定安全政策和规章制度，并且通过实施一整套适当的控制措施（包括策略、实践、流程、组织结构和工具）来实现企业信息的保密性、完整性、可用性的整个过程。安全管理中的关键词汇定义如下： 信息安全（Information Security）：对于信息的保密性、完整性和可用性的保证。 可用性（a

2、vailability）：确保被授权的用户在需要时可以访问到相关的信息和资产。 完整性（Integrity）：维护信息的正确性和完全性。 保密性（Confidentiality）：保证信息只能由被授权者访问。 风险评估（Risk Assessment）：对与信息与信息处理机制所面临的威胁、影响和弱点分析以及这些威胁、影响和薄弱环节发生几率的评估。1.2 用途和目标安全管理流程的目标是通过持续性提高的方式，不断分析、发现潜在的风险，通过成本平衡的手段消除和控制潜在或已经发生的风险与威胁，从而保障远东租赁信息技术服务的保密性、完整性与可用性，其用途在于： 保证满足内部的安全需求，保证远东租赁内部的

3、信息完整性以及其之持续提高。 通过不同的服务级别协议、合同、法律条款以及其它安全策略的贯彻实施来保障外部安全要求的满足。1.3 范围下表对一些容易混淆的方面作了说明，用来表明安全管理的工作覆盖范围：包括不包括信息和IT服务层次的安全大楼防窃、防爆炸等物理安全信息安全风险评估信息安全策略信息安全管理规范和流程信息安全审计和评估流程1.4 流程运行的前提和时机信息安全管理为公司服务管理体系中的重要管理流程，然而不同的管理流程之间又相互依赖与关联，因此关注安全管理运行的前提与时机就成为流程应用的重要环节，其运行的前提与时机包括： 公司管理层的支持，公司管理层认识到的IT日常运营中对于对于潜在的安全风

4、险和隐患需要采取主动的行动来防范与未然。 为安全管理流程提供相应的组织和技术资源，例如落实流程执行负责人、安全经理、安全分析员、培养一批在相应安全与技术领域独挡一面的专业人才，总结和完善安全管理工具等。 紧密相关流程的实施，特别是配置管理流程、热线支持、突发事件管理流程、问题管理流程、项目管理流程、变更管理流程、连续性管理流程和可用性管理流程，以上这些流程的实施将会为安全管理流程的全面实施带来较好的效果。2 流程详细说明2.1 输入输入项来源周期服务级别需求服务级别管理半年影响可用性、完整性和机密性的事件报告、问题报告事件管理、问题管理日常可用性计划变更管理流程、连续性管理流程、容量管理半年可

5、用性报告服务级别管理流程、服务报告流程每月可用性事件报告事件管理日常配置数据库配置管理日常2.2 输出输出项去向周期安全事件处理办法和解决方案事件管理流程日常安全问题处理办法和解决方案问题管理流程日常安全管理报告服务级别管理流程、服务报告流程服务报告管理安全系统的配置信息配置管理流程日常安全处置变更申请变更管理流程日常变更的对安全的影响评估变更管理流程日常安全风险评估信息连续性和可用性管理一年/变更时安全管理流程改进建议服务改进流程半年2.3 流程执行图3: 安全管理流程编号管理活动描述输入/触发条件输出3.4.1计划和维护安全管理框架启动维护公司的信息安全管理组织、信息安全策略。并全面考虑各

6、方面对于安全性的要求，包括连续性计划、容量计划、现存安全技术标准、各项目的需求说明书、与安全性相关的服务级别协议、运维信息，以及现存的策略和流程等等。其主要活动包括：- 评估、维护已有的信息技术安全策略- 开发并维护安全管理架构（包括组织架构、管理策略等）；- 建立信息安全培训机制，并制定总体培训计划。安全政策的定期维护周期企业的安全政策的重大改变信息安全策略3.4.2制定详细安全管理规范和具体安全管理流程根据企业安全策略及对安全需求的分析，由安全经理领导、安全分析员协助，针对各管理分类制定详细的安全管理规范和流程，其主要活动包括：- 根据安全管理策略与业界标准，确定安全管理需求分类与范围；-

7、 针对确定的不同安全管理范畴，开发具体的管理规范和流程，主要包括： 组织的安全 资产的分类与管理 人员安全 物理与环境安全 通信与操作安全 访问控制安全 系统开发与维护安全 业务连续性(体现在连续性管理流程中) 安全遵守(Compliance)；- 文档化并回顾管理规范和流程。企业安全策略的要求技术规范文档3.4.3风险分析周期性的执行公司安全管理状况的风险分析。其主要活动包括为：- 根据公司安全管理策略提供的分类，为各分类准备检查点，准备调查问卷与评分标准，进行安全风险评估。启动安全风险评估的条件有：安全风险评估的具体任务包括： 资产识别与估价 威胁评估 薄弱点评估 现有的与计划中安全控制的

8、识别 风险评估 安全控制和降低风险手段的识别与选择 风险接受首次安全管理评估重大变更（系统建设、升级、组织变更等等）重大安全事故发生后周期性的安排（例如每6个月执行一次风险评估）其他必要的时机。风险评估指南3.4.4安全审计针对与安全管理的审计活动指对于从远东租赁安全管理体系标准、体系文件与相关法律、法规的角度出发，为了验证所有安全程序的正确实施与监察信息系统符合安全标准的情况所进行的系统的、独立的检查和评价。通常由信息安全管理委员会决策通过，由安全经理推动，通过内部审计或外部审计人员执行。安全审计的具体任务包括：- 安全审计准备，包括编制审计计划、组成审计组、收集信息、编写检查表(Check

9、list)、通知被审计部门并约定审计时间；- 审计实施，包括召开启动会议、进行现场审计、编写符合情况报告、汇总分析结果、总结会及宣布结果；- 提交和分发审计报告；- 持续审计。首次安全审计；重大变更（系统建设、升级、组织变更等等）；重大安全事故发生后；周期性的安排（例如每6个月执行一次信息安全审计）；其他必要的时机。安全合规指南3.4.5安全管理操作与监控根据安全分析员设计与提供的监控步骤与指导，由安全管理员执行信息安全政策与规范的监控与操作，当出现对于违反或威胁信息安全政策与规范的情况时，进行升级上报处理。安全管理的要求安全工作报告3.4.6安全管理报告在安全经理的领导下与安全分析员的支持下

10、，周期性的生成安全管理报告，并交付安全管理委员会与管理层，其主要内容应包括：- 安全管理阶段目标- 安全管理政策执行情况- 风险分析结果- 主要发现与差距- 安全管理改进手段与行动- 阶段安全事件统计- 重大安全事件及处理- 其他。安全管理报告活动包括：- 生成安全审计与评估报告- 分析安全审计与评估报告- 罗列主要发现以及制定提高计划- 总结报告数据并提供给相应的接收人- 回顾对于服务级别中与安全相关条款的执行情况并生成报告。相关管理报告提交公司信息技术委员会首次安全报告；重大安全事故发生后；周期性的安排（例如每6个月执行一次信息安全审计）；其他必要的时机。安全管理报告2.4 流程质量控制2

11、.4.1 关键绩效指标KPIKPI目标值衡量方式周期负责人备注年度安全风险评估次数=1考察信息安全体系的有效性。（每年发起安全风险评估的次数）每年流程执行负责人重大安全风险的处置率100%考察当前安全控制体系对安全风险的处理能力。（每年处置重大安全风险数量/每年安全风险评估发现的重大安全风险总数）每年流程执行负责人2.4.2 流程报告名称说明周期负责人去向安全管理月报说明安全管理工作的月度执行情况每月安全管理经理服务报告管理风险评估报告执行风险评估工作，总结评估结论一年安全管理经理连续性管理、部门3 流程角色和职责流程的实现是通过不同的流程角色以及其所赋有的职责来实现的，因此流程的每一个角色可

12、以被定义为一系列职责的集合，在实际的管理操作中，不同的人员将被赋予不同的职责，也可能一个人被赋予多个职责，同时也可以将其职责授权给其管理结构之下的人员，因此，以下所提及的管理流程和角色的目的是为了在充分满足流程所需角色的基础上，为具体的实现提供足够的灵活性。其具体的部署，取决于远东租赁在实际实施中的流程负责人。 根据实际管理的需要，建议安全分析员角色应与安全管理员角色分开。角色职责人员信息安全管理委员会1. 制定与信息安全相关的重大决策2. 回顾安全风险分析、安全审计的上报结果以及安全管理报告3. 为信息安全管理提供资源、包括人力、财力以及其他需要的支持4. 回顾重大安全事件安全管理流程负责人

13、1. 建立跨部门的安全管理流程实施、评估和持续优化机制。2. 确保流程执行能够取得公司高层的支持。3. 确保安全管理流程在公司及所属子公司内实用而高效地执行。4. 保持与其他流程主管的定期沟通。5. 确保安全管理流程模型的系统性、科学性、规范性、稳定性。孙小明1. 确保和改进安全管理流程和工作实践的有效性和效率。2. 确保所有与安全管理相关的方面都充分参与到安全管理流程中。3. 确保安全管理流程与其他相关管理流程之间的联系。4. 负责发布和沟通远东租赁安全管理方面的流程与标准。安全经理1. 代表安全管理部门提出安全管理的标准和流程2. 领导制定信息安全标准、信息安全指导原则、安排安全管理培训3

14、. 执行安全政策、安全标准和安全流程4. 监督安全政策与安全标准的遵循情况5. 领导并组织安排风险评估与安全审计活动6. 组织并提交安全管理报告。孙小明安全分析员1. 实施和维护有效的安全架构，使之符合远东租赁的业务需求2. 参与制定安全标准、指导原则和管理流程3. 推广实施安全管理标准4. 执行风险评估5. 执行或参与安全审计6. 参与调查安全威胁、违例行为和安全突发事件7. 为改进安全策略、标准、流程等提供建议8. 为远东租赁负责员工培训的机构（如人力资源部）提供内部安全培训资料。各功能方向负责人安全管理员1. 监控并采取响应行动确保对于公司安全标准与流程的遵循2. 迅速通报即时法发现的安全隐患3. 跟踪处理安全事件与违例行为4. 维护和管理公司内部与安全有关的系统。各功能方向负责人4 附录4.1 术语表参见运行服务管理体系术语表。专心-专注-专业