文件標(biāo)題：信息安全管理流程說明書文件編號：頁數(shù)：NUMPAGES10頁/標(biāo)題：項(xiàng)目方法文件名：SPC-〔M項(xiàng)目方法頁數(shù)：NUMPAGES5頁信息安全管理流程說明書〔S-I版本號版本記錄作者審核批準(zhǔn)日期2010-9-1修改核對信息安全管理流程說明書湯笑咪信息安全管理流程說明書信息安全管理目的本流程目的在于規(guī)范服務(wù)管理和提供人員在提供服務(wù)流程中應(yīng)遵循和執(zhí)行的相關(guān)活動,保證信息安全管理目標(biāo)的實(shí)現(xiàn),滿足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。在所有的服務(wù)活動中有效地管理信息安全；使用標(biāo)準(zhǔn)的方法和步驟有效而迅速的處理各種與信息安全相關(guān)的問題,識別并跟蹤組織內(nèi)任何信息安全授權(quán)訪問；滿足服務(wù)級別協(xié)議、合同、相關(guān)法規(guī)所記錄的各項(xiàng)外部信息安全需求；執(zhí)行操作級別協(xié)議和基礎(chǔ)合同范圍內(nèi)的信息安全需求。范圍本安全管理流程的規(guī)定主要是針對由公司承擔(dān)完全維護(hù)和管理職責(zé)的IT系統(tǒng)、技術(shù)、資源所面臨的風(fēng)險(xiǎn)的安全管理。向客戶提供服務(wù)的相關(guān)人員在服務(wù)提供流程中所應(yīng)遵循的規(guī)則依據(jù)公司信息安全管理體系所設(shè)定的安全管理規(guī)定,以及客戶自身的相關(guān)安全管理規(guī)定。公司內(nèi)部信息、信息系統(tǒng)等信息資產(chǎn)相關(guān)的安全管理也應(yīng)遵循公司信息安全管理體系所設(shè)定的安全管理規(guī)定。術(shù)語和定義相關(guān)ISO20000的術(shù)語和定義資產(chǎn)〔Asset：任何對組織有價(jià)值的事物。可用性〔Availability：需要時,授權(quán)實(shí)體可以訪問和使用的特性。保密性〔Confidentiality：信息不可用或不被泄漏給未授權(quán)的個人、實(shí)體和流程的特性。完整性〔Integrity：保護(hù)資產(chǎn)的正確和完整的特性。信息安全〔Informationsecurity：保護(hù)信息的保密性、完整性、可用性及其他屬性,如：真實(shí)性、可核查性、可靠性、防抵賴性。信息安全管理體系〔InformationsecuritymanagementsystemISMS：整體管理體系的一部分,基于業(yè)務(wù)風(fēng)險(xiǎn)方法以建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全。注：管理體系包括組織機(jī)構(gòu)、策略、策劃、活動、職責(zé)、慣例、程序、流程和資源。風(fēng)險(xiǎn)分析〔Riskanalysis：系統(tǒng)地使用信息以識別來源和估計(jì)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評價(jià)〔Riskevaluation：將估計(jì)的風(fēng)險(xiǎn)與既定的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較以確定重要風(fēng)險(xiǎn)的流程。風(fēng)險(xiǎn)評估〔Riskassessment：風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)的全流程。風(fēng)險(xiǎn)處置〔Risktreatment：選擇和實(shí)施措施以改變風(fēng)險(xiǎn)的流程。風(fēng)險(xiǎn)管理〔Riskmanagement：指導(dǎo)和控制一個組織的風(fēng)險(xiǎn)的協(xié)調(diào)的活動。殘余風(fēng)險(xiǎn)〔Residualrisk：實(shí)施風(fēng)險(xiǎn)處置后仍舊殘留的風(fēng)險(xiǎn)。其他術(shù)語和定義文件〔document：信息和存儲信息的媒體；注1：本標(biāo)準(zhǔn)中,應(yīng)區(qū)分記錄與文件,記錄是活動的證據(jù),文件是目標(biāo)的證據(jù)；注2：文件的例子,如策略聲明、計(jì)劃、程序、服務(wù)級別協(xié)議和合同；記錄〔record：描述完成結(jié)果的文件或執(zhí)行活動的證據(jù)；注1：在本標(biāo)準(zhǔn)中,應(yīng)區(qū)分記錄與文件,記錄是活動的證據(jù),文件是目標(biāo)的證據(jù)；注2：記錄的例子,如審核報(bào)告、變更請求、事故響應(yīng)、人員培訓(xùn)記錄；KPI：KeyPerformanceIndicators即關(guān)鍵績績效指標(biāo)；也作KeyProcessIndication即關(guān)鍵流程指標(biāo)。是通過對組織內(nèi)部流程的關(guān)鍵參數(shù)進(jìn)行設(shè)置、取樣、計(jì)算、分析,衡量流程績效的一種目標(biāo)式量化管理指標(biāo),流程績效管理的基礎(chǔ)。角色和職責(zé)信息安全經(jīng)理職責(zé)：負(fù)責(zé)信息安全管理流程的設(shè)計(jì)、評估和完善；負(fù)責(zé)確定用戶和業(yè)務(wù)對IT服務(wù)信息安全的詳細(xì)需求；負(fù)責(zé)保證需求的IT服務(wù)信息安全的實(shí)現(xiàn)成本是適當(dāng)?shù)?；?fù)責(zé)定義IT服務(wù)信息安全目標(biāo)；負(fù)責(zé)調(diào)配相關(guān)人員實(shí)施信息安全管理流程以及相關(guān)的方法和技術(shù)；負(fù)責(zé)建立度量和報(bào)告機(jī)制；保證IT服務(wù)信息安全管理流程以及相關(guān)的方法和技術(shù)被定期回顧和評審。主要技能：很強(qiáng)的決策和判斷能力了解組織的文化和政治背景熟悉國家頒布的安全相關(guān)法律法規(guī)很強(qiáng)的技術(shù)背景,對IT架構(gòu)有總體的了解項(xiàng)目管理技能卓有成效的管理和組織會議、管理和組織人員的能力對生產(chǎn)環(huán)境、組織架構(gòu)、與業(yè)務(wù)部門的關(guān)系等,有充分的總體了解良好的面向客戶的溝通技巧協(xié)調(diào)和處理多個任務(wù)的能力足夠的社交技能和信譽(yù),可以和各個高層管理人員和各個支持小組進(jìn)行協(xié)商和溝通信息安全責(zé)任人信息安全流程負(fù)責(zé)人通過從宏觀上監(jiān)控流程,來確保信息安全流程被正確地執(zhí)行。當(dāng)流程不能夠適應(yīng)公司的情況時,流程負(fù)責(zé)人必須及時對此進(jìn)行分析、找出缺陷、進(jìn)行改進(jìn),從而實(shí)現(xiàn)可持續(xù)提高。職責(zé)：確保信息安全流程能夠取得管理層的參與和支持確保信息安全流程符合公司實(shí)際狀況和公司IT發(fā)展戰(zhàn)略總體上管理和監(jiān)控流程,建立信息安全流程實(shí)施、評估和持續(xù)優(yōu)化機(jī)制確保信息安全流程實(shí)用、有效、正確地執(zhí)行,當(dāng)流程不能夠適應(yīng)公司的情況時,必須及時對此進(jìn)行分析、找出缺陷、進(jìn)行改進(jìn)<比如增加或合并流程的角色>,從而實(shí)現(xiàn)可持續(xù)提高流程效率保持與其他流程負(fù)責(zé)人的定期溝通主要技能：深刻了解信息安全管理流程,熟悉信息安全管理流程和其他流程之間的關(guān)系；具有很強(qiáng)的計(jì)劃、組織、領(lǐng)導(dǎo)和控制才能,能夠綜合各方意見,按時制訂和定期優(yōu)化流程；具有很好的溝通協(xié)調(diào)技能,能夠取得公司高層的支持,獲得所需資源；具有流程設(shè)計(jì)經(jīng)驗(yàn)；具有良好的團(tuán)隊(duì)合作精神和跨部門溝通協(xié)調(diào)能力；有很強(qiáng)的分析和處理問題的能力,能夠分析流程執(zhí)行中的問題,并提出改進(jìn)意見；有決策權(quán),能夠確保信息安全管理流程設(shè)計(jì)要求在實(shí)施項(xiàng)目中得到貫徹和執(zhí)行；信息安全分析員職責(zé)：對系統(tǒng)的信息安全進(jìn)行分析和評估,并提出修改建議；按照信息安全規(guī)劃中對信息安全目標(biāo)的要求,進(jìn)行信息安全具體監(jiān)控指標(biāo)的定義。主要技能：很強(qiáng)的技術(shù)背景,對IT架構(gòu)有總體的了解有較好的風(fēng)險(xiǎn)分析能力信息安全監(jiān)視員信息安全監(jiān)視員的職責(zé)包括：按照信息安全要求,對監(jiān)控對象進(jìn)行信息安全監(jiān)視；對信息安全監(jiān)控流程、相關(guān)行為和監(jiān)控結(jié)果進(jìn)行記錄、存檔；定期對信息安全監(jiān)控結(jié)果進(jìn)行分析,并生成信息安全監(jiān)控報(bào)告。主要技能：熟悉信息安全監(jiān)視工具熟悉信息安全管理流程信息安全管理流程信息安全管理概要流程為方便理解信息安全管理流程,信息安全管理流程將采用分級的方式進(jìn)行表述。信息安全管理概要流程主要從整體上描述可用性的處理流程,不會體現(xiàn)具體的細(xì)節(jié)和涵蓋所有的人員。參見圖1信息安全管理概要流程圖。圖1信息安全管理流程風(fēng)險(xiǎn)規(guī)劃輸入：服務(wù)管理規(guī)劃。信息安全風(fēng)險(xiǎn)評估程序?yàn)轱L(fēng)險(xiǎn)規(guī)劃提供了資產(chǎn)識別、風(fēng)險(xiǎn)評估的指南。圖2風(fēng)險(xiǎn)規(guī)劃.1確定安全需求識別客戶對IT信息安全的需求和目標(biāo),進(jìn)行信息安全需求分析。信息安全需求要求的來源主要包括：服務(wù)合同或SLA相關(guān)條款中約定；法律法規(guī)的要求；客戶業(yè)務(wù)特點(diǎn)或所在行業(yè)業(yè)務(wù)特性所確定的安全要求；公司內(nèi)部的安全要求。.2風(fēng)險(xiǎn)評估信息安全分析員根據(jù)資產(chǎn)識別情況制定風(fēng)險(xiǎn)評估方法,通過識別信息資產(chǎn)、風(fēng)險(xiǎn)等級評估認(rèn)知本公司的安全風(fēng)險(xiǎn),在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適控制目標(biāo)和控制方式將安全風(fēng)險(xiǎn)控制在可接受的水平。風(fēng)險(xiǎn)評估方法可以參考信息安全管理體系的風(fēng)險(xiǎn)評估方法和程序。.3信息安全改進(jìn)建議將風(fēng)險(xiǎn)分析的結(jié)果進(jìn)行現(xiàn)狀〔ASIS和目標(biāo)系統(tǒng)<TOBE>之間的差距分析,為彌補(bǔ)差距,提出適當(dāng)?shù)慕鉀Q方案,并進(jìn)行成本估算。信息安全改進(jìn)建議應(yīng)由信息安全經(jīng)理會同客戶進(jìn)行評審和批準(zhǔn)。2控制措施實(shí)施根據(jù)風(fēng)險(xiǎn)規(guī)劃中的相關(guān)內(nèi)容,信息安全經(jīng)理組織協(xié)調(diào)控制措施實(shí)施,包括一些設(shè)備采購申請、安裝等活動的執(zhí)行。主要通過變更管理、發(fā)布管理和供應(yīng)商管理執(zhí)行。3控制措施監(jiān)視信息安全管理和監(jiān)視流程是指按照信息安全計(jì)劃實(shí)施控制措施,并對控制措施進(jìn)行管理和維護(hù)的活動。4風(fēng)險(xiǎn)評審與建議信息安全分析專家根據(jù)信息安全的運(yùn)行和管理狀況,對安全狀態(tài)狀況進(jìn)行評價(jià)和分析,對信息安全計(jì)劃中的一些不合理的要點(diǎn)進(jìn)行匯總,并整理出信息安全優(yōu)化方案。將信息安全改進(jìn)建議整合入整體信息安全改進(jìn)計(jì)劃中,作為今后改進(jìn)的指導(dǎo),并提交給信息安全主管會同客戶進(jìn)行評審和批準(zhǔn)。信息安全優(yōu)化方案在批準(zhǔn)后應(yīng)通過變更管理流程進(jìn)行優(yōu)化方案的實(shí)施。與其他流程的關(guān)系下圖為信息安全管理流程與其他流程的之間的強(qiáng)相關(guān)流程。強(qiáng)相關(guān)流程是指,在信息安全管理流程中,可能需要直接觸發(fā)其他管理流程,或直接向某些流程獲取必要數(shù)據(jù)。對于信息安全管理流程沒有直接影響的其他管理流程,則不在本流程中進(jìn)行描述。圖3與其他流程的關(guān)系服務(wù)級別管理安全管理根據(jù)安全協(xié)議,制定安全控制措施,確保服務(wù)達(dá)到安全協(xié)議標(biāo)準(zhǔn),供其進(jìn)行SLA的協(xié)商、簽訂動作,當(dāng)完成SLA簽訂之后,安全管理流程負(fù)責(zé)安全的實(shí)施、監(jiān)控。安全管理流程必須保證SLA目標(biāo)可以完成,并進(jìn)行持續(xù)的改進(jìn)動作。連續(xù)性管理信息安全管理和服務(wù)連續(xù)性管理密切相關(guān),兩種流程均以化解IT服務(wù)可用性風(fēng)險(xiǎn)為努力目標(biāo)。信息安全管理規(guī)程以應(yīng)對人們意料之中的常見可用性風(fēng)險(xiǎn)〔如硬件故障等為第一要務(wù)。而服務(wù)連續(xù)性管理則集中致力于化解較為極端且相對罕見的可用性風(fēng)險(xiǎn)〔如火災(zāi)和洪水。連續(xù)性管理的重要輸出是關(guān)鍵業(yè)務(wù)清單,其中定義了所有的關(guān)鍵業(yè)務(wù)、每個關(guān)鍵業(yè)務(wù)的最終用戶等信息。當(dāng)確定可用性需求時,必須以關(guān)鍵業(yè)務(wù)清單作為重要輸入,從而真正滿足最終業(yè)務(wù)部門的需求。變更管理變更管理應(yīng)考慮對安全的影響,安全管理需參與CAB會議并提出意見；安全改進(jìn)計(jì)劃的實(shí)施應(yīng)當(dāng)通過變更管理流程控制。事件/問題管理安全監(jiān)視流程中,發(fā)現(xiàn)的信息安全事件需要上報(bào)給事件管理流程,由事件管理/問題管理流程負(fù)責(zé)解決。另外,安全管理需要對問題數(shù)據(jù)庫及事件數(shù)據(jù)庫進(jìn)行