ITSS运维服务信息安全管理制度Word文档下载推荐.docx
《ITSS运维服务信息安全管理制度Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《ITSS运维服务信息安全管理制度Word文档下载推荐.docx(18页珍藏版)》请在冰豆网上搜索。
赵新娟
版本控制:
版本
日期
审核人
备注
2017年12月
编写初稿。
目录
1 概述 1
1.1 目标 1
1.2 范围 1
2 制定依据 2
3 术语定义 3
4 角色和职责 3
5 内容 4
5.1 信息安全管理概述 4
5.2 信息安全原则 4
5.3 管理过程 6
5.3.1 流程图 6
5.3.2 流程详述 6
5.4 信息安全管理体系策略 7
5.4.1 信息安全生命周期管理策略 7
5.4.2 信息安全管理组织和管理层策略 9
5.4.3 信息安全资源管理策略 9
5.4.4 信息安全突发事件管理策略 10
5.5 定期评估及改进 11
6 相关文件与记录 13
1概述
1.1目标
本文档的编写目的是确保在服务过程中,有效的保障公司运维服务对象的信息系统和服务活动安全,实现系统稳定的运行,达到服务安全的效果。
具体的安全目标包括:
1保证公司IT服务对象的信息系统和数据的可用性、保密性和完整性,保证系统稳定、可靠、安全的运行。
2为公司IT服务对象的信息安全保障体系提供执行方法和方案,确保其信息安全保障目标的实现。
。
1.2范围
本体系适用于公司运行维护部和信息安全部的信息安全管理工作:
1运行维护部服务合同中确定保障的所有IT服务对象的物理资产、软件资产和数据资产的IT服务安全管理;
客服部所提供IT服务对象的物理资产、软件资产和数据资产的安全管理。
2运行维护部和信息安全部所有工作人员,为这两个部门提供服务的供应商,客户现场相关服务厂商、集成商和供应商。
2制定依据
1) ITSS.1—2015《信息技术服务运行维护服务能力成熟度模型》
2) GB/T28827.1・2012《信息技术服务运行维护第一部分:
通用要求》
3) GB/T29264-2012《信息技术服务分类与代码》
4) GB/T28827.2-2012《信息技术服务运行维护第2部分:
交付规范》
5) GB/T28827.3-2012《信息技术服务运行维护第3部分:
应急响应规范》
6) IS020000.1:
2011《信息技术服务管理第一部分:
服务管理体系要求》
7) IS09000:
2008《质量管理体系一基础和术语》
8) IS09001:
2015《质量管理体系一要求》
9) ISO/EC27001:
2005《信息技术安全技术信息安全管理体系要求》
10) ISO/EC27002:
2005《信息技术安全技术信息安全管理实施指南》
11) ISO/EC13335:
2004《IT安全管理》
12) GBT20984-2007《信息安全技术信息安全风险评估规范》
3术语定义
本程序采用制定依据系列标准中的术语和定义。
4角色和职责
角色
职责
总经办(信息
安全总经理)
1. 贯彻执行国家信息安全相关规定,负责对服务工作中的信息安全工作进行组织和领导;
2. 制定和修订IT服务信息安全管理制度、规范和策略;
3. 对IT服务中的信息安全工作开展检查和持续改进的发起和推动工作。
安全经理
1. 对重大、紧急安全事件时,负责协调外部资源尽快解决;
2. 完善和修订安全负责人的职责与工作内容;
3. 组织和推动安全事件的解决与响应;
4. 对管辖范围内的系统风险和安全策略进行整体层面的
评估和防范;
5. 对安全策略进行管理,发起和推动改进安全策略改进工作。
安全工程师
1. 完善和修订安全策略;
2. 对安全策略的要求进行实施和执行情况监管;
3. 接受领导层和管理层对信息安全工作的指导;
风险评估师
1. 编制信息化资产的风险评估计划;
2. 指导信息化资产等风险评估实施;
3. 出具信息化资产风险评估报告;
5内容
5.1信息安全管理概述
信息安全管理战略是信息安全的根本原则和总体目标,主要内容是组织信息安全工作的总体要求和目标展望。
信息安全管理的战略目标是:
>提高员工整体的信息安全意识,提高信息系统技术维护人员的安全技能水平和规范操作意识;
>培养出一批专业的信息安全管理和技术人员,为公司信息化的健康、持续发展提供储备力量;
同时充分借助外部力量;
>在保障运行和处理性能的基础上,开展信息安全保障工作;
>注重标准化建设,把安全建设作为标准化建设的一部分,提高新建项目的安全水平。
5.2信息安全原则
为了保证对客户提供的服务和客户自身信息系统安全管理的一致性,在对信息系统的规划设计、开发建设、运行维护和变更废弃进
行安全性考虑时,应充分遵循以下安全原则:
全面统筹原则:
信息安全保障工作贯穿于信息化全过程,坚持统筹规划、突出重点,安全与发展并进,管理与技术并重,应急防御与长效机制相结合;
规范化原则:
遵循国内、国际的信息安全标准及行业规范,对信息系统实行等级保护;
责任制原则:
对客户的计算机信息系统安全保护工作实行“谁主管谁负责”、“预防为主、综合治理”、“制度防范和技术防范相结合”的原则,加强制度建设,逐级建立计算机信息系统安全保护责任制;
实用性原则:
在确保信息安全的前提下,讲究实效,避免重复投资和盲目投资,积极采用国家法律法规允许的、成熟的先进技术和专业安全服务,降低成本,保障安全稳定运行。
5.3管理过程
5.3.1流程图
5.3.2流程详述
流程编号及名称
流程描述
成果物
负责人
参与人
IS-00资产识别
根据客户RFC等,充分进行信息安全资产的识别,充分识别出重要资产,进行分类(可按服务目录分类)、分级
安全工程师风险评估师
IS-01
识别风险项
根据IT运维服务项目的信息安全要求,参考合同SLA相关信息,识别出本项目的信息安全风险。
安全工程师
风险评
估师
IS-02
评估
信息安全经理收到识别出的信息安全风险项,对信息安全的风险项及风险分类等进行评估,产生信息安全风险评估报告。
风险评估报告
安全经理/风险评估师
IS-03
处置
安全工程师根据风险评估报告执行相应的信息安全工作。
IS-04
改进
安全工程师在运维服务过程中不断改进信息安全的维护方法及补充信息安全风险项等信息。
IS-05
信息安全服务报告
安全工程师收集到的公司信息安全数据、报告提交给安全经理,安全经理在本年度的公司运维服务报告中体现信息安全的服务情况。
服务报告
安全工程师/安全经理
5.4信息安全管理体系策略
风险评估是针对确立的风险管理对象所面临的风险进行分析,识别及评价,是信息安全管理体系中一项基础性工作,其目标:
1了解系统的安全现状
2分析系统的安全需求
3制定安全策率和实施安全措施的依据
方针:
根据客户的业务流程,对重要信息资产进行威胁和弱点的分析和评估,并结合法律法规的要求,制定并执行适当的风险处理计划,以缓解所识别的信息安全风险。
5.4.1信息安全生命周期管理策略
信息安全管理是由一系列活动组成,并持续进行改进和完善,具有向前进化演变的特性,因此,在公司的信息安全管理中,将其一系列活动定义为生命周期进行管理。
信息安全管理的生命周期包括以下几个部分:
安全规划(Plan):
按照风险评估和业务需求,制定安全控制目标体系。
安全管理规划完成后,如需要变更,则须遵循变更管理的流程。
安全实施(Implementation):
安全实施是协调安全管理过程和指标的部署,通过必要的培训和教育让相关人员具备需要的意识和技能,协调安全相关事件和问题的处理流程和记录,协调对安全协议指标的数据收集和监督,协调对安全资源和设备的监控和数据报告。
安全体系维护(Maintain):
安全维护是根据安全变更请求,修改安全管理体系相关流程、文档或计划,维护服务级别协议中的安全部分以及维护详细的安全计划。
安全管理体系进行变更后,需要协调必要的培训和评审,并参考变更的结果准备下一期的安全计划。
安全管理报告(Report):
安全管理报告是整理安全相关的事件、记录信息,进行总结和分析,提出改进和控制的建议,最终生成报告,其目的是希望提供与当前已实现安全水平相关的信息,同时通知客户与IT资源安全相关的问题,并提交管理层的关注和决策。
5.4.2信息安全管理组织和管理层策略
建设和健全企业的信息安全组织/部门建设,明确其工作职责,优化工作流程。
安全组织建设策略包括:
设置信息安全经理负责信息安全管理工作,公司信息安全项目经理主管公司内部的信息安全工作,运维服务项目的信息安全工作由运维项目的项目经理负责。
明确定义所有信息安全职责,建立和实施对于新的信息处理设施的管理授权过程;
运维服务项目的信息安全指标包括:
信息安全控制目标、控制措施、策略、流程和程序等;
管理范围面向公司管理层,总经办、信息安全部、运行维护部等相关部门。
5.4.3信息安全资源管理策略
提供建立、实施、运行维护安全管理体系所需的资源,确保信息安全管理能够支持业务需求;
应按法律法规要求以及合同安全职责规定提供资源;
应提供资源进行正确的应用软件操作控制措施满足安全需求;
在必要时应提供资源实施回顾,并针对回顾结果采取必要的措施;
在必要时应提供资源以提高信息安全管理体系的效率。
5.4.4信息安全突发事件管理策略
5.4.4.1策略
公司对于信息安全突发事件的管理纳入到信息安全突发事件管理流程中管理,其基本策略是:
定义安全类突发事件的分类体系;
定义突发事件管理与安全管理的接口,安全类突发事件定期通知安全经理;
安全经理通过定期安全类事件的通知,查看安全事件记录,并进行分析和总结;
安全经理协调安全类突发事件的处理;
安全经理根据安全突发事件记录定期回顾,生成安全管理报告。
5.4.42分类
以下属于信息安全事件:
有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、对信息造成损害的设备设施故障、灾害性事件和其他信息安全事件等。
改进的基本策略:
流程执行过程中发现的不足;
流程自检过程中发现的不足;
内部审核及外部审核中,发现的与ITSS运维通用要求的不符合项;
管理评审过程中发现的服务/流程改进点。
改进方法:
组织流程改进讨论会议,与各方就改进需求、改进目标、改进方案沟通讨论;
组织人员根据讨论结果提出服务管理改进计划及方案;
服务管理体系负责人审批改进计划;
对服务改进过程进行监控,对人
事和资源做出合理安排;
向管理体系负责人汇报改进结果;
根据服务改进结果安排相应的知识转移工作,包括文档的更新发放、培训课程的安排等。
5.5定期评估及改进
主流程图:
定期评估流程图
输入/外部流程 质量管理部/运行维护部
评估报告
定期评估:
每半年(6月、12月底)对信息安全管理工作进行
评估,评估内容应能覆盖信息安全管理全过程,与应急预案协同等,
在