资源预览内容
第1页 / 共9页
第2页 / 共9页
第3页 / 共9页
亲,该文档总共9页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
最新资料欢迎阅读 信息安全管理流程分析管理流程说明书 ( S-I) 版本号 版本记录 作者 审核 批准 日期全文结束-9-19 修改核对 信息安全 管理流程说明书 汤笑咪 信息安全管理流程 说明书1 信息安全管理 1、1 目的 本 流程 目的在于规范服务管理和提供人员在提供服务 流程 中应遵循和执行的相关活 动,保证信息安全管理目标的实现,满足 SLA 中的信息安全 性需求以及合同、法律和外部 政策等的要求。 1) 在所有的服务活动中有效地管理信息安全;2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问;3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求;4) 执行操作级别协议和基础合同范围内的信息安全需求。 1、2 范围 本安全管理 流程 的规定主要是针对由公司承担完全维护和管理职责的 IT 系统、技术、 资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供 流程 中所应遵循的规则依据公司信息安全管理 体系所设定的安全管理规定,以 及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系 所设定的安全管理规定。 2 术语和定义 2、1 相关 ISO20000 的术语和定义1) 资产( Asset):任何对组织有价值的事物。 2) 可用性( Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性( Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和 流程 的 特性。 4) 完整性( Integrity):保护资产的正确和完整的特性。 5) 信息安全( Information security):保 护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系( Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、 流程 和资 源。 8) 风险分析( Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价( Risk evaluation):将估计的风险与既定的风险准则进 行比较以确定重 要风险的 流程 。 10) 风险评估( Risk assessment):风险分析和风险评价的全 流程 。 11) 风险处置( Risk treatment):选择和实施措施以改变风险的 流程 。 12) 风险管理( Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险( Residual risk):实施风险处置后仍旧残留的风险。 2、2 其他术语和定义1) 文件( document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程 序、服务级别协议和合同;2) 记录( record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录;3) KPI: Key Performance Indicators 即关键绩绩效指标;也作 Key Process Indication 即关键 流程 指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标, 流程 绩效管理的基础。 3 角色和职责 3、1 信息安全经 理 职责:1) 负责信息安全管理 流程 的设计、评估和完善;2) 负责确定用户和业务对 IT 服务信息安全的详细需求;3) 负责保证需求的 IT 服务信息安全的实现成本是适当的;4) 负责定义 IT 服务信息安全目标;5) 负责调配相关人员实施信息安全管理 流程 以及相关的方法和技术;6) 负责建立度量和报告机制;7) 保证 IT 服务信息安全管理 流程 以及相关的方法和技术被定期回顾和评审。 主要技能:1) 很强的决策和判断能力2) 了解组织的文化和政治 背景3) 熟悉国家 颁布 的安全 相关 法律法规4) 很强的技术背景,对 IT 架构有总体的了解5) 项目管理技能6) 卓有成效的管理和组织会议 、管理和组织人员的能力7) 对生产环境、组织架构、与业务部门的关系等,有充分的总体了解8) 良好的面向客户的沟通技巧9) 协调和处理多个任务的能力10) 足够的社交技能和信誉,可以和各个高层管理人员和各个支持小组进行协商和沟 通 3、2 信息安全责任人 信息安全 流程负责人通过从宏观上监控流程,来确保 信息安全 流程被正确地执行。当 流程不能够适应公司的情况时,流程负责人必须及时对此进行分析、找出缺陷、进行改进, 从而实现可持续提高。 职责:1) 确保 信息安全 流程能够取得管理层的参与和支持2) 确保 信息安全 流程符合公司实际状况和公司 IT 发展战略3) 总体 上管理和监控流程,建立 信息安全 流程实施、评估和持续优化机制4) 确保 信息安全 流程实用、有效、正确地执行,当流程不能够适应公司的情况时, 必须及时对此进行分析、找出缺陷、进行改进 (比如增加或合并流程的角色 ),从而 实现可持续提高流程效率5) 保持与其他流程负责人的定期沟通 主要技能:1) 深刻了解 信息安全 管理流程,熟悉 信息安全 管理流程和其他流程之间的关系;2) 具有很强的计划、组织、领导和控制才能,能够综合各方意见,按时制订和定期 优化流程;3) 具有很好的沟通协调技能,能够取得公司高层的支持,获得所需资源;4) 具有流程设计经验;5) 具有 良好的团队合作精神和跨部门沟通协调能力;6) 有很强的分析和处理问题的能力,能够分析流程执行中的问题,并提出改进意见;7) 有决策权,能够确保 信息安全 管理流程设计要求在实施项目中得到贯彻和执行; 3、3 信息安全分析员 职责:1) 对系统的信息安全进行分析和评估,并提出修改建议;2) 按照信息安全规划中对信息安全目标的要求,进行信息安全具体监控指标的定义。 主要技能:1) 很强的技术背景,对 IT 架构有总体的了解2) 有较好的风险分析能力 3、4 信息安全监视员 信息安全监视员的职责包括:1) 按照信息安全要求,对监控对象进行信息安全监视;2) 对信息安 全监控 流程 、相关行为和监控结果进行记录、存档;3) 定期对信息安全监控结果进行分析,并生成信息安全监控报告。 主要技能:1) 熟悉信息安全监视工具2) 熟悉信息安全管理流程4 信息安全管理 流程 4、1 信息安全管理概要 流程 为方便理解信息安全管理 流程 ,信息安全管理 流程 将采用分级的方式进行表述。信息 安全管理概要 流程 主要从整体上描述可用性的处理 流程 ,不会体现具体的细节和涵盖所有 的人员。参见图1 信息安全管理概要 流程 图。 信 息 安 全 管 理 程 序 支 持 过 程 信 息 安 全 分 析 员 关 联 过 程 P h a s e2 、 07 、 01 风 险 规 划 风 险 处 置 计 划 监 视 报 告 服 务 管 理 规 划 信 息 安 全 管 理 要 求1 、 发 布 管 理2 、 变 更 管 理 风 险 改 进 计 划 供 应 商 选 择 标 准 信 息 安 全 风 险 评 估 程 序 资 产 识 别 风 险 评 估 指 南 事 件 监 视 信 息 安 全 事 件 报 告2 、 07 、 02 控 制 措 施 实 施2 、 07 、 03 控 制 措 施 监 视2 、 07 、 04 风 险 评 审 与 建 议 图1 信息安全管理 流程 4、2 2、07、01 风险 规划 输入: 服务 管理规划 。 信息安全风险评估程序为风险规划提供了资产识别、风险评估的指南。 信 息 安 全 分 析 员 信 息 安 全 经 理 相 关 流 程2 、 07 、 01 、1 确 定 安 全 需 求2 、 07 、 01 、2 风 险 评 估2 、 07 、 01 、3 安 全 改 进 建 议 变 更 / 发 布 管 理 接 受 建 议 ? 服 务 项 目 管 理 N Y 图2 风险 规划 4、2、1 2、07、01、1 确定 安全 需求 识别客户对 IT 信息安全的需求和目标,进行信息安全需求分析。信息安全需求要求的 来源主要包括:1) 服务合同或 SLA 相关条款中约定;2) 法律法规的要求;3) 客户业务特点或所在行业业务特性所确定的安全要求;4) 公司内部的安全要求。 4、2、2 2、07、01、2 风险评估 信息安全分析员根据资产识别情况制定风险评估方法,通过识别信息资产、风险等级 评估认知 本公司的安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控 制方式将安全风险控制在可接受的水平。风险评估方法可以参考信息安全管理体系的风险 评估方法和程序。 4、2、3 2、07、01、3 信息安全 改进建议 将风险分析的结果进行现状( AS IS)和目标系统 (TO BE)之间的差距分析,为弥补差 距,提出适当的解决方案,并进行成本估算。 信息安全改进建议应由信息安全 经理会同客户进行评审和批准。 4、3 2、07、02 控制措施实施 根据风险规划中的相关内容,信息安全经理组织协调控制措施实施,包括一些设备采 购申请、安装等活动的执 行。 主要通过变更管理、发布管理和供应商管理执行。 4、4 2、07、03 控制措施 监视 信息安全管理和监视 流程 是指按照信息安全计划实施控制措施,并对控制措施进行管 理和维护的 活动。 4、5 2、07、04 风险评审 与 建议 信息安全分析专家根据信息安全的运行和管理状况,对安全状态状况进行评价和分析, 对信息安全计划中的一些不合理的要点进行汇总,并整理出信息安全优化方案。 将信息安全改进建议整合入整体信息安全改进计划中,作为今后改进的指导,并提交 给信息安全主管会同客户进行评审和批准。信息安全优化方案在批准后应通过变更管理
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号