信息安全管理流程说明书
(S-I)
版本号
2010-9-19
版本记录
修改核对信息安全管理流程说明书
作者
汤笑咪
审核批准日期
信息安全管理流程说明书
1
信息安全管理
1.1目的
本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安
全管理目标的实现,满足
1) 2)
SLA中的信息安全性需求以及合同、法律和外部政策等的要求。
在所有的服务活动中有效地管理信息安全;
使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,信息安全授权访问;
识别并跟踪组织内任何
3) 4)
满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求;执行操作级别协议和基础合同范围内的信息安全需求。
1.2范围
本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的
IT系统、技术、资源所面临的
风险的安全管理。
向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。
公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。
2术语和定义
2.1相关ISO20000的术语和定义
1) 2) 3) 4) 5)
资产(Asset):任何对组织有价值的事物。
可用性(Availability):需要时,授权实体可以访问和使用的特性。
保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的特性。完整性(Integrity):保护资产的正确和完整的特性。信息安全(Information security
):保护信息的保密性、完整性、可用性及其他属性,如:真
实性、可核查性、可靠性、防抵赖性。6)
信息安全管理体系(
Information security management system ISMS
):整体管理体系的一部
分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。7) 8) 9)
注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源。风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。风险评价(Risk evaluation程。
10) 风险评估(Risk assessment
):风险分析和风险评价的全流程。
):将估计的风险与既定的风险准则进行比较以确定重要风险的流
11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。12) 风险管理(Risk management
):指导和控制一个组织的风险的协调的活动。
13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。
2.2其他术语和定义
1) 文件(document):信息和存储信息的媒体;
注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据;注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同;2)
记录(record):描述完成结果的文件或执行活动的证据;
注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据;注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录;3)
KPI:Key Performance Indicators
即关键绩绩效指标;也作
Key Process Indication
程指标。是通过对组织内部流程的关键参数进行设置、取样、计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
3 角色和职责
3.1信息安全经理
职责:1) 负责信息安全管理流程的设计、评估和完善;2) 负责确定用户和业务对IT服务信息安全的详细需求;
3) 负责保证需求的
IT服务信息安全的实现成本是适当的;
4) 负责定义IT服务信息安全目标;
5) 负责调配相关人员实施信息安全管理流程以及相关的方法和技术;6) 负责建立度量和报告机制;
7)
保证IT服务信息安全管理流程以及相关的方法和技术被定期回顾和评审。
主要技能:
1) 很强的决策和判断能力
2) 了解组织的文化和政治背景
即关键流
3) 熟悉国家颁布的安全相关法律法规
4) 很强的技术背景,对IT架构有总体的了解
5) 项目管理技能
6) 卓有成效的管理和组织会议、管理和组织人员的能力
7) 对生产环境、组织架构、与业务部门的关系等,有充分的总体了解
8) 良好的面向客户的沟通技巧
9) 协调和处理多个任务的能力
10) 足够的社交技能和信誉,可以和各个高层管理人员和各个支持小组进行协商和沟通
3.2信息安全责任人
信息安全流程负责人通过从宏观上监控流程,来确保信息安全流程被正确地执行。当流程不能够适应公司的情况时,流程负责人必须及时对此进行分析、找出缺陷、进行改进,从而实现可持续提高。
职责:1) 2) 3) 4)
确保信息安全流程能够取得管理层的参与和支持确保信息安全流程符合公司实际状况和公司
IT发展战略
总体上管理和监控流程,建立信息安全流程实施、评估和持续优化机制
确保信息安全流程实用、有效、正确地执行,当流程不能够适应公司的情况时,必须及时对此进行分析、找出缺陷、进行改进率
(比如增加或合并流程的角色
),从而实现可持续提高流程效
5) 保持与其他流程负责人的定期沟通
主要技能:1) 2) 3)
深刻了解信息安全管理流程,熟悉信息安全管理流程和其他流程之间的关系;
具有很强的计划、组织、领导和控制才能,能够综合各方意见,按时制订和定期优化流程;具有很好的沟通协调技能,能够取得公司高层的支持,获得所需资源;
4) 5) 6) 7)
具有流程设计经验;
具有良好的团队合作精神和跨部门沟通协调能力;
有很强的分析和处理问题的能力,能够分析流程执行中的问题,并提出改进意见;有决策权,能够确保信息安全管理流程设计要求在实施项目中得到贯彻和执行;
3.3信息安全分析员
职责:1) 2)
对系统的信息安全进行分析和评估,并提出修改建议;
按照信息安全规划中对信息安全目标的要求,进行信息安全具体监控指标的定义。
主要技能:
1) 很强的技术背景,对IT架构有总体的了解
2) 有较好的风险分析能力
3.4信息安全监视员
信息安全监视员的职责包括:1) 2) 3)
按照信息安全要求,对监控对象进行信息安全监视;对信息安全监控流程、相关行为和监控结果进行记录、存档;定期对信息安全监控结果进行分析,并生成信息安全监控报告。
主要技能:
1) 熟悉信息安全监视工具
2) 熟悉信息安全管理流程
相关推荐:
loading