信息安全管理制度模板.docx
《信息安全管理制度模板.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度模板.docx(8页珍藏版)》请在冰豆网上搜索。
信息安全管理制度模板
信息安全管理制度
xxxx公司
版本修订记录
序号
版本号
变更说明
修订人
审批人
日期
1.简介
1.1信息安全管理
信息系统安全是指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征,一般包括设备及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,以保障信息系统功能的正常发挥,以维护信息系统的安全运行。
保密性、完整性和可用性是信息安全最为关注的三个属性,因此这三个特性也经常被称为信息安全三元组,这也是信息安全通常所强调的目标。
信息安全也关注一些其它特性:
真实性、可核查性、不可抵赖性和可靠性。
1.2目的
现代社会已经进入了信息社会,其突出的特点表现为信息的价值在很多方面超过其信息设施包括信息载体本身的价值。
另外,现代社会的各类组织,包括政府、企业,对信息以及信息处理设施的依赖也越来越大,一旦信息丢失或泄密、信息处理设施中断,很多政府及企事业单位的业务也就无法运营了。
因此,本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。
1)在所有的服务活动中有效地管理信息安全;
2)使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟踪组织内任何信息安全授权访问;
3)执行操作级别协议和基础合同范围内的信息安全需求;
4)满足运维服务中的客户安全性需求、自身的信息安全要求以及合同、法律和外部政策等外部要求;
2.方针政策
2.1安全方针
公司信息安全管理方针为:
“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,实现公司信息安全可控、能控、在控。
依照“分区、分级、分域”总体安全防护策略,以谁主管谁负责、分级保护、技术与管理并重、全员参与、持续改进为原则。
2.2安全措施和安全规范
公司信息安全管理、公司信息化设备管理遵守《计算机信息安全和保密管理规定》。
运维项目现场/客户的信息安全管理应遵循以下规定:
1)公司每一位员工都有保守客户信息安全,防止泄密的责任,任何人不得向任何单位或个人泄密客户信息。
2)各项目部经理应主动向客户提出信息安全的管理服务,若客户不愿意做,项目部经理应向客户阐明利弊,提出合理的信息安全管理服务建议。
3)如果为客户提供的数据备份服务,应定期对服务范围内的重要信息进行备份,运维人员实施备份操作时,必须有两人在场,备份完成后,立即交由客户指定的备份管理人员进行保管。
4)存放备份数据的介质包括电脑、U盘、移动硬盘、光盘和纸质等,涉密单位介质使用参照客户保密要求。
5)数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。
数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
6)数据清理前必须对数据进行备份,在确认备份正确后可进行清理操作,历次清理前的备份数据要定期保存或者永久保存,并确保可以随时使用。
数据清理的实施应避开业务高峰期避免对客户业务运行造成影响。
7)同意送修的设备,送修前,需将设备存储介质内的应用软件和数据等涉及经营管理的信息备份后删除,并进行登记。
对修复的设备,应进行病毒检测。
8)管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9)严禁利用客户的信息化设备资源为第三方提供服务。
10)非客户授权人员对服务范围内的设备、系统等进行维修、维护时,必须由相关技术人员现场全程监督。
计算机设备送外维修,必须经过客户相关负责人批准。
11)禁止在计算机应用环境中放置易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
12)客户的密码管理需由客户指定专人进行管理,项目部经理应建议客户定期修改并妥善保管。
13)涉及系统管理员的服务项目,系统管理员权限由客户授权。
3.术语定义与引用标准
3.1术语定义
中文术语
定义
资产
任何对组织有价值的事物
可用性
需要时,授权实体可以访问和使用的特性
保密性
信息不可用或不被泄漏给未授权的个人、实体和流程的特性
完整性
保护资产的正确和完整的特性
信息安全
保护信息的保密性、完整性、可用性及其他属性,如:
真实性、可核查性、可靠性、防抵赖性
信息安全管理体系
整体管理体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全
风险分析
系统地使用信息以识别来源和估计风险
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险的流程
风险评估
风险分析和风险评价的全流程
风险处置
选择和实施措施以改变风险的流程
风险管理
指导和控制一个组织的风险的协调的活动
残余风险
实施风险处置后仍旧残留的风险
3.2引用标准
1)GB/T28827.1—2012信息技术服务运行维护第1部分:
通用要求;
2)GB/T28827.2—2012信息技术服务运行维护第2部分:
交付规范;
3)GB/T28827.3—2012信息技术服务运行维护第3部分:
应急响应规范;
4)ITSS1-2015信息技术服务运行维护服务能力成熟度模型V1.0;
5)ISO/IEC27001:
2013信息技术-安全技术-信息安全管理体系要求;
4.适用范围
本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。
向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。
公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。
5.职责
5.1信息安全管理员
信息安全管理员由服务台、运维项目部经理、技术支持部负责人担任。
1)负责信息安全管理流程的设计、评估和完善;
2)负责确定用户和业务对IT服务信息安全的详细需求;
3)负责保证需求的IT服务信息安全的实现成本是否适当;
4)根据组织安全需求,开发与维护安全计划;
5)负责调配相关人员实施信息安全管理流程以及相关的方法和技术;
6)保证IT服务信息安全管理流程以及相关的方法和技术被定期回顾和评审。
7)识别信息安全管理过程中存在的问题并提出改进措施;
8)定期向IT服务管理小组汇报实施过程中存在的问题;
9)定期组织进行漏洞扫描,并根据漏洞扫描的结果提出、并落实改进措施。
10)对系统的信息安全进行分析和评估,并提出修改建议;
11)按照信息安全要求,对监控对象进行信息安全监视;
12)对信息安全监控流程、相关行为和监控结果进行记录、存档;
13)定期对信息安全监控结果进行分析,并生成信息安全监控报告;
14)做好用户的沟通,协调关于信息安全的问题。
6.信息安全管理流程图
7.信息安全管理具体内容
7.1信息安全需求识别和分析
识别客户对IT信息安全的需求和目标,进行信息安全需求分析。
需求识别包括人员安全的风险需求、数据安全的需求,机房、设备等安全风险的需求。
信息安全需求要求的来源主要包括:
1)服务合同或SLA相关条款中约定;
2)法律法规的要求;
3)客户业务特点或所在行业业务特性所确定的安全要求;
4)公司内部的安全要求。
7.2信息安全风险评估
由涉及部门及客户负责人根据资产识别情况制定风险评估方法,通过识别信息资产、风险等级评估认知本公司的安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将安全风险控制在可接受的水平,并提交《风险评估报告》。
7.3制定方案
根据《风险评估报告》,信息安全管理员制定和编写《信息安全管理规范》。
并根据信息安全规范制定信息安全策略、针对个人的保密协议、岗位职责说明、机房管理制度。
7.4实施
在设计好安全规范后,日常须按照安全规范来实施安全管理。
7.5监控
信息安全管理员对安全规范实施进行监控,在工作周报、服务月报中体现,制定《信息安全事件记录》。
7.6改进
信息安全实施过程中,针对存在问题的进行相应的改进计划和改进措施。
7.7报告
对信息安全管理的实施状况及日常发生的安全事件等需编写安全报告。
输出为服务报告。
报告可以提供有关已实现安全绩效方面的信息,并可以让客户了解有关的安全问题。
这些报告通常是在与客户签订的协议中所要求的。
不论对于客户还是服务提供商来说,报告都是很重要的。
客户必须正确地了解有关努力(如安全措施的实施)所取得的效率以及实际被采用的安全措施。
客户还需要了解所有的安全事件。
为报告服务级别协议中定义的安全事件,可通过信息安全管理员、安全实施人员或业务代表与客户代表建立直接的沟通渠道。
根据信息安全管理需要报告信息安全的实施情况,并提交给《服务报告》中。
8.衡量指标
因信息安全事件导致客户投诉的次数。
9.相关文件和记录
《风险评估报告》
《信息安全管理规范》
《信息安全事件记录》