下载文档原格式
一、引言随着信息技术的飞速发展,信息已成为企业、组织乃至国家的重要战略资源。
信息安全已经成为当今社会关注的焦点。
为了确保信息系统的安全稳定运行,保障信息资源的安全,企业、组织和国家都应建立健全信息安全管理制度。
本文将从信息安全管理流程及制度两个方面进行阐述。
二、信息安全管理流程1. 需求分析(1)识别信息系统面临的安全威胁:通过对信息系统的业务流程、技术架构、数据资源等方面进行全面分析,识别信息系统可能面临的安全威胁。
(2)确定信息安全需求:根据安全威胁,制定信息安全需求,包括物理安全、网络安全、数据安全、应用安全等方面。
2. 安全规划(1)制定信息安全策略:根据信息安全需求,制定符合国家法律法规、行业标准和企业内部规定的信息安全策略。
(2)划分安全区域:根据信息安全策略,将信息系统划分为不同的安全区域,如内网、外网、DMZ等。
(3)制定安全规范:针对不同安全区域,制定相应的安全规范,包括安全配置、访问控制、数据备份、漏洞管理等。
3. 安全实施(1)安全配置:按照安全规范,对信息系统进行安全配置,包括操作系统、数据库、应用系统等。
(2)安全防护:采用防火墙、入侵检测系统、防病毒软件等安全产品,对信息系统进行安全防护。
(3)安全审计:定期对信息系统进行安全审计,确保安全措施的有效性。
4. 安全运维(1)安全监控:实时监控信息系统运行状态,及时发现并处理安全事件。
(2)应急响应:建立健全应急响应机制,对安全事件进行快速、有效的处置。
(3)安全培训:定期对员工进行信息安全培训,提高员工的安全意识和技能。
5. 安全评估(1)安全评估计划:制定安全评估计划,明确评估内容、评估方法和评估周期。
(2)安全评估实施:按照评估计划,对信息系统进行安全评估,找出安全隐患和不足。
(3)安全整改:针对评估结果,制定整改方案,对安全隐患进行整改。
三、信息安全管理制度1. 信息安全组织机构(1)成立信息安全领导小组,负责信息安全工作的总体规划和决策。
人员离岗离职信息安全管理规定范文一、概述本规定旨在确保人员离岗离职过程中的信息安全,加强离职人员对企业信息的保护意识,减少信息泄露的风险。
本规定适用于所有公司在员工离职或岗位变动时的信息管理。
二、基本原则1. 保密原则:离职人员必须遵守保密责任,不得泄露公司的任何商业秘密或敏感信息。
2. 资源清理原则:离职人员在离职前必须清理个人及公司设备上的敏感信息,包括但不限于电脑、手机、U盘、云存储等。
3. 整体保护原则:离职人员应当保护公司所有的信息资源,不得以任何方式篡改、损坏或滥用信息资源。
三、人员离岗管理1. 提前通知:员工在离岗前应提前向上级领导提交书面离职申请,并注明离职日期,以便公司进行相关安排。
2. 资源清理:离职前,员工应当配合公司的信息管理人员进行资源清理,包括但不限于个人电脑、手机、公司资料等。
3. 密码修改:离职人员必须立即更改个人账号及密码,确保离职后无法访问公司信息系统。
4. 文件归档:离职人员应按照公司规定,将相关文件及资料进行归档,确保信息完整性和易于后续处理。
五、信息保密义务1. 保密协议:员工在入职时必须签署保密协议,明确保护公司商业秘密和敏感信息的义务。
2. 保密责任:离职人员应当继续履行保密责任,不得泄露公司的商业秘密和敏感信息,包括但不限于客户信息、业务数据等。
3. 社交媒体:离职人员不得通过社交媒体等渠道发布公司任何机密信息或有损公司形象的内容。
六、信息安全管理措施1. 访问权限撤销:对于离职人员的公司账号和系统访问权限,应当立即撤销,防止非法访问和滥用。
2. 培训教育:公司应定期开展离岗离职人员信息安全培训,提高离职人员的信息保护意识。
3. 安全审计:公司应定期对离职人员进行信息安全审计,以及时发现和处理潜在的信息泄露风险。
七、违规处理1. 违规行为:离职人员如有泄露公司信息、滥用信息资源等违反信息安全管理规定的行为,将被追究法律责任。
2. 赔偿责任:离职人员因违反信息安全管理规定造成公司损失的,将被要求承担相应的赔偿责任。
一、总则为加强我单位个人信息保护工作,保障个人信息安全,依据《中华人民共和国个人信息保护法》等相关法律法规,结合我单位实际情况,制定本制度。
二、适用范围本制度适用于我单位所有涉及个人信息收集、存储、使用、加工、传输、提供、公开等活动的部门和人员。
三、个人信息保护原则1. 合法、正当、必要原则:收集、使用个人信息,应当遵循合法、正当、必要的原则,不得超出实现处理目的所必需的范围。
2. 最小化原则:收集个人信息,应当限于实现处理目的所必需的范围,不得过度收集个人信息。
3. 明示原则:收集、使用个人信息,应当公开个人信息收集、使用的规则,不得以误导、欺诈等方式收集个人信息。
4. 安全原则:采取必要措施保障个人信息安全,防止个人信息泄露、损毁、篡改等。
四、个人信息收集与使用1. 个人信息收集(1)明确收集目的:收集个人信息前,应当明确收集目的,不得超出收集目的范围。
(2)取得同意:收集个人信息,应当取得个人同意,并告知个人收集、使用个人信息的规则。
(3)最小化收集:收集个人信息,应当限于实现处理目的所必需的范围。
2. 个人信息使用(1)明确使用目的:使用个人信息,应当限于实现处理目的,不得超出使用目的范围。
(2)不得滥用:不得以任何方式滥用个人信息。
(3)保密:对收集到的个人信息,应当采取保密措施,防止泄露。
五、个人信息存储与传输1. 存储安全(1)建立安全存储措施:对存储个人信息的数据系统,应当采取必要的安全措施,防止数据泄露、损毁、篡改等。
(2)定期检查:定期检查存储个人信息的数据系统,确保其安全稳定运行。
2. 传输安全(1)采用加密技术:传输个人信息,应当采用加密技术,确保传输过程中的信息安全。
(2)安全传输通道:使用安全传输通道传输个人信息,防止信息泄露。
六、个人信息删除与销毁1. 删除个人信息:在个人信息不再需要时,应当及时删除。
2. 销毁个人信息:在删除个人信息后,应当对个人信息进行销毁,确保个人信息无法恢复。
信息安全管理规范和保密制度范文一、引言信息安全管理规范和保密制度是组织内部确保信息安全、保护重要数据和保密信息的重要规范和制度。
本文将对信息安全管理规范和保密制度进行详细阐述,旨在加强信息安全管理、提高保密工作的效果。
二、信息安全管理规范1. 内部网络安全管理1.1 网络访问控制组织应建立网络访问控制机制,只允许具有相应权限的人员通过身份认证后进行访问和操作,防止未经授权的访问和数据泄露风险。
1.2 安全防火墙建立安全防火墙来监控网络流量,阻挡未经授权的访问和恶意攻击,确保网络通信的安全性和机密性。
1.3 恶意软件防护组织应定期更新和升级安全软件和防病毒软件,及时监测和拦截潜在的恶意软件,以防止恶意代码的侵入和传播。
2. 信息资产保护2.1 分类和标记对组织内的信息资产进行分类和标记,根据其重要程度和敏感程度,采取相应的措施进行保护和访问控制,防止信息泄露和非法使用。
2.2 存储和传输安全组织应建立加密机制,对重要的信息资产在存储和传输过程中进行加密处理,确保信息在存储和传输时不被窃取、更改或篡改。
2.3 备份和恢复组织应定期进行信息资产的备份,并建立相应的恢复机制,以防止信息丢失和灾难发生后能够及时恢复业务。
3. 人员安全管理3.1 人员权限管理对组织内的人员进行权限管理,确保每个人员只拥有其所需的最低权限,避免越权访问和误操作带来的风险。
3.2 人员培训和意识教育组织应定期进行信息安全培训和意识教育,提高员工对信息安全的认知和重视程度,减少因为员工的疏忽或不当操作而导致的信息安全问题。
3.3 雇佣和辞退审查组织应对招聘和离职人员进行背景调查和审查,确保雇佣的人员不具有犯罪记录和泄密风险,以保障信息安全。
4. 物理安全管理4.1 机房安全组织应加强对机房的物理安全管理,如设置门禁系统、视频监控系统等,防止未经授权人员进入机房,确保机房内的设备和数据安全。
4.2 资产管理组织应建立固定资产管理制度,做好设备和资产的登记、归还和处置工作,防止设备被盗或丢失。
信息安全管理体系介绍信息安全管理体系(Information Security Management System,ISMS)是指一个组织为了保护其信息资产而采取的一系列管理措施、政策和程序。
它是针对一个组织内部的信息资产和信息系统而设计的,旨在确保其保密性、完整性和可用性的一种运营管理方法。
以下是对信息安全管理体系的详细介绍。
1.信息安全管理体系的定义和目的2.信息安全管理体系的特点(1)综合性:信息安全管理涉及到组织的各个层面和方面,包括技术、人员、流程和制度等。
信息安全管理体系需要综合考虑各种因素,制定相应的措施。
(2)持续性:信息安全管理体系需要持续进行评估和改进,以适应不断变化的威胁环境和技术条件。
(3)风险导向:信息安全管理体系的核心是风险管理,需要根据实际情况进行风险评估和风险控制。
3.信息安全管理体系的要素(1)组织结构和责任:建立信息安全管理委员会或类似的组织机构,明确各级管理者的职责和权力。
(2)策略和目标:明确组织的信息安全策略和目标,制定相应的政策和程序。
(3)风险管理:对组织的信息资产进行风险评估和风险管理,采取相应的控制措施。
(4)资源管理:合理配置信息安全管理的资源,包括人员、设备、技术和资金等。
(5)安全控制措施:制定相应的安全控制措施,包括物理安全控制、技术安全控制和管理安全控制等。
(6)运营和绩效评估:对信息安全管理体系的运营和绩效进行监控和评估,及时发现和纠正问题。
4.信息安全管理体系的实施过程(1)确定信息安全策略和目标:根据组织的需求和风险评估结果,制定信息安全策略和目标。
(2)编制安全管理计划:根据信息安全策略和目标,制定详细的安全管理计划,包括资源配置、控制措施和绩效评估等。
(3)实施安全控制措施:按照安全管理计划,实施相应的安全控制措施,包括物理安全控制、技术安全控制和管理安全控制等。
(4)监控和评估:对信息安全管理体系的运营和绩效进行监控和评估,及时发现和纠正问题。
信息安全控制程序1【目的】本标准旨在提高信息系统运行的稳定性,提升技术条件和设备设施保障水平,增强全员的信息安全意识,确保信息安全事件得到有效处理。
2【范围】本标准适用于公司范围内所有信息资源的安全管理,包括:2.1信息处理和传输系统的安全。
本公司应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。
2.2信息内容的安全。
侧重于保护信息的机密性、完整性和真实性。
本公司应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。
2.3 信息传播安全。
要加强对信息的审查,防止和控制非法、有害的信息通过本公司的信息网络(内部信息平台)系统传播,避免对公司利益、公共利益以及国家利益造成损害。
3【职责】3.1保密办3.1.1公司信息安全由保密办归口管理,各业务部门专业管理。
3.1.2保密办负责建立健全公司信息安全制度、信息安全的教育和培训工作、信息安全相关的技术支持工作等。
3.2各业务部门3.2.1各级业务部门是信息安全的责任管理单位,负责本部门业务范围内有关信息安全的日常管理工作,协同保密办全面开展信息安全的管理工作。
4【程序】4.1总要求4.1.1公司建立、实施信息安全管理制度、信息系统安全风险评估管理规定、信息系统安全风险应急预案等制度体系,以确保:a)采取适当措施,确保全员认识到信息安全的重要性和紧迫性,增强信息安全意识。
b)确立信息安全责任制,完善管理和防范机制。
c)提供必要的技术条件和设备设施保障。
d)识别可能存在的信息安全风险,进行持续性管理,确保信息安全事件得到有效处理。
4.1.2保密办负责组织各相关部门开展有关信息安全的教育和培训工作,建立健全公司信息安全责任制,执行《人力资源控制程序》的相关规定。
4.1.3保密办定期组织相关部门对信息系统安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度及时进行修订。
国家标准《信息技术安全技术信息安全事件管理第2部分:事件响应规划和准备指南》(报批稿)编制说明一、工作简况1、任务来源《信息技术安全技术信息安全事件管理第2部分:事件响应规划和准备指南》国家标准修订项目来自国家标准化管理委员会2019年下达的国家标准制修订计划,计划号:20192180-T-469。
本标准由全国信息安全标准化技术委员(TC260)会提出并归口管理,2、主要起草单位和工作组成员本标准承办单位为中电长城网际系统应用有限公司,协作单位包括中电数据服务有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、北京奇虎科技有限公司、公安部第三研究所、国家信息中心、西安丁度网络科技有限公司、陕西省网络与信息安全测评中心、北京江南天安科技有限公司。
闵京华为项目负责人,主要工作包括项目组织、文本翻译、修改完善和文本编辑;周亚超主要工作包括文本翻译和修改完善;王惠莅、上官晓丽、舒敏、陈悦、张屹、王艳辉、陈长松、杜佳颖、刘蓓、李怡、魏玉峰、陈冠直:主要工作包括修改完善。
3、项目背景2017年6月1日正式实施的《中华人民共和国网络安全法》中有8条22处涉及应对网络安全事件,从技术措施、应急预案、应急处置、调查评估、责任追究等方面提出了法定要求。
为了落实这些法定要求,需要制定相应的国家标准在标准层面上配套支撑。
随着新一代信息技术的发展,信息安全面临着更为严峻的挑战,信息安全事件管理在信息系统运维过程中的重要程度和工作比重越来越大,信息安全事件响应全球化趋势越发显著。
信息安全事件管理是关键信息基础设施必备的安全控制。
有效的信息安全事件管理和及时的信息安全事件响应是关键信息基础设施抗毁性和恢复力的必要保证。
2007年发布的国家标准GB/Z 20985—2007《信息技术安全技术信息安全事件管理指南》是修改采用技术报告类国际标准ISO/IEC TR 18044:2004。
最新发布的国际标准ISO/IEC 27035-1:2016和ISO/IEC 27035-2:2016进一步发展了之前的国际标准ISO/IEC TR 18044:2004和ISO/IEC 27035:2011《信息技术安全技术信息安全事件管理》。
信息安全管理制度一、计算机设备管理制度1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由公司相关技术人员现场全程监督。
计算机设备送外维修,须经有关部门负责人批准。
3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许带电插拔计算机外部设备接口,计算机出现故障时应及时向IT部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
(一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。
操作代码分为系统管理代码和一般操作代码。
代码的设置根据不同应用系统的要求及岗位职责而设置;(二)系统管理操作代码的设置与管理1、系统管理操作代码必须经过经营管理者授权取得;2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;4、系统管理员不得使用他人操作代码进行业务操作;5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;(三)一般操作代码的设置与管理1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
2、操作员不得使用他人代码进行业务操作。
3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。
密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。
密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。
密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;2、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
信息安全管理流程图(总11页)本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March信息安全管理流程说明书(S-I)信息安全管理流程说明书1信息安全管理1.1目的本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。
1)在所有的服务活动中有效地管理信息安全;2)使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟踪组织内任何信息安全授权访问;3)满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求;4)执行操作级别协议和基础合同范围内的信息安全需求。
1.2范围本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。
向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。
公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。
2术语和定义2.1相关ISO20000的术语和定义1)资产(Asset):任何对组织有价值的事物。
2)可用性(Availability):需要时,授权实体可以访问和使用的特性。
3)保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的特性。
4)完整性(Integrity):保护资产的正确和完整的特性。
5)信息安全(Information security):保护信息的保密性、完整性、可用性及其他属性,如:真实性、可核查性、可靠性、防抵赖性。
6)信息安全管理体系(Information security management systemISMS):整体管理体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。
信息安全管理流程说明书(S-I)信息安全管理流程说明书1 信息安全管理1.1目的本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。
1) 在所有的服务活动中有效地管理信息安全;2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟踪组织内任何信息安全授权访问;3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求;4) 执行操作级别协议和基础合同范围内的信息安全需求。
1.2范围本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。
向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。
公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。
2术语和定义2.1相关ISO20000的术语和定义1) 资产(Asset):任何对组织有价值的事物。
2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。
3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的特性。
4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属性,如:真实性、可核查性、可靠性、防抵赖性。
6) 信息安全管理体系(Information security management system ISMS):整体管理体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。
7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源。
8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。
9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重要风险的流程。
10) 风险评估(Risk assessment):风险分析和风险评价的全流程。
11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。
12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。
13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。
2.2其他术语和定义1) 文件(document):信息和存储信息的媒体;注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据;注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同;2) 记录(record):描述完成结果的文件或执行活动的证据;注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据;注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录;3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key ProcessIndication即关键流程指标。
是通过对组织内部流程的关键参数进行设置、取样、计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
3 角色和职责3.1信息安全经理职责:1) 负责信息安全管理流程的设计、评估和完善;2) 负责确定用户和业务对IT服务信息安全的详细需求;3) 负责保证需求的IT服务信息安全的实现成本是适当的;4) 负责定义IT服务信息安全目标;5) 负责调配相关人员实施信息安全管理流程以及相关的方法和技术;6) 负责建立度量和报告机制;7) 保证IT服务信息安全管理流程以及相关的方法和技术被定期回顾和评审。
主要技能:1) 很强的决策和判断能力2) 了解组织的文化和政治背景3) 熟悉国家颁布的安全相关法律法规4) 很强的技术背景,对IT架构有总体的了解5) 项目管理技能6) 卓有成效的管理和组织会议、管理和组织人员的能力7) 对生产环境、组织架构、与业务部门的关系等,有充分的总体了解8) 良好的面向客户的沟通技巧9) 协调和处理多个任务的能力10) 足够的社交技能和信誉,可以和各个高层管理人员和各个支持小组进行协商和沟通3.2信息安全责任人信息安全流程负责人通过从宏观上监控流程,来确保信息安全流程被正确地执行。
当流程不能够适应公司的情况时,流程负责人必须及时对此进行分析、找出缺陷、进行改进,从而实现可持续提高。
职责:1) 确保信息安全流程能够取得管理层的参与和支持2) 确保信息安全流程符合公司实际状况和公司IT发展战略3) 总体上管理和监控流程,建立信息安全流程实施、评估和持续优化机制4) 确保信息安全流程实用、有效、正确地执行,当流程不能够适应公司的情况时,必须及时对此进行分析、找出缺陷、进行改进(比如增加或合并流程的角色),从而实现可持续提高流程效率5) 保持与其他流程负责人的定期沟通主要技能:1) 深刻了解信息安全管理流程,熟悉信息安全管理流程和其他流程之间的关系;2) 具有很强的计划、组织、领导和控制才能,能够综合各方意见,按时制订和定期优化流程;3) 具有很好的沟通协调技能,能够取得公司高层的支持,获得所需资源;4) 具有流程设计经验;5) 具有良好的团队合作精神和跨部门沟通协调能力;6) 有很强的分析和处理问题的能力,能够分析流程执行中的问题,并提出改进意见;7) 有决策权,能够确保信息安全管理流程设计要求在实施项目中得到贯彻和执行;3.3信息安全分析员职责:1) 对系统的信息安全进行分析和评估,并提出修改建议;2) 按照信息安全规划中对信息安全目标的要求,进行信息安全具体监控指标的定义。
主要技能:1) 很强的技术背景,对IT架构有总体的了解2) 有较好的风险分析能力3.4信息安全监视员信息安全监视员的职责包括:1) 按照信息安全要求,对监控对象进行信息安全监视;2) 对信息安全监控流程、相关行为和监控结果进行记录、存档;3) 定期对信息安全监控结果进行分析,并生成信息安全监控报告。
主要技能:1) 熟悉信息安全监视工具2) 熟悉信息安全管理流程4 信息安全管理流程4.1信息安全管理概要流程为方便理解信息安全管理流程,信息安全管理流程将采用分级的方式进行表述。
信息安全管理概要流程主要从整体上描述可用性的处理流程,不会体现具体的细节和涵盖所有的人员。
参见图1 信息安全管理概要流程图。
图1 信息安全管理流程4.2风险规划输入:服务管理规划。
信息安全风险评估程序为风险规划提供了资产识别、风险评估的指南。
图2 风险规划4.2.1.1确定安全需求识别客户对IT信息安全的需求和目标,进行信息安全需求分析。
信息安全需求要求的来源主要包括:1) 服务合同或SLA相关条款中约定;2) 法律法规的要求;3) 客户业务特点或所在行业业务特性所确定的安全要求;4) 公司内部的安全要求。
4.2.2.2风险评估信息安全分析员根据资产识别情况制定风险评估方法,通过识别信息资产、风险等级评估认知本公司的安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将安全风险控制在可接受的水平。
风险评估方法可以参考信息安全管理体系的风险评估方法和程序。
4.2.3.3信息安全改进建议将风险分析的结果进行现状(AS IS)和目标系统(TO BE)之间的差距分析,为弥补差距,提出适当的解决方案,并进行成本估算。
信息安全改进建议应由信息安全经理会同客户进行评审和批准。
4.3 2.07.02控制措施实施根据风险规划中的相关内容,信息安全经理组织协调控制措施实施,包括一些设备采购申请、安装等活动的执行。
主要通过变更管理、发布管理和供应商管理执行。
4.4 2.07.03控制措施监视信息安全管理和监视流程是指按照信息安全计划实施控制措施,并对控制措施进行管理和维护的活动。
4.5 2.07.04风险评审与建议信息安全分析专家根据信息安全的运行和管理状况,对安全状态状况进行评价和分析,对信息安全计划中的一些不合理的要点进行汇总,并整理出信息安全优化方案。
将信息安全改进建议整合入整体信息安全改进计划中,作为今后改进的指导,并提交给信息安全主管会同客户进行评审和批准。
信息安全优化方案在批准后应通过变更管理流程进行优化方案的实施。
5 与其他流程的关系下图为信息安全管理流程与其他流程的之间的强相关流程。
强相关流程是指,在信息安全管理流程中,可能需要直接触发其他管理流程,或直接向某些流程获取必要数据。
对于信息安全管理流程没有直接影响的其他管理流程,则不在本流程中进行描述。
图3与其他流程的关系5.1.1服务级别管理安全管理根据安全协议,制定安全控制措施,确保服务达到安全协议标准,供其进行SLA的协商、签订动作,当完成SLA签订之后,安全管理流程负责安全的实施、监控。
安全管理流程必须保证SLA目标可以完成,并进行持续的改进动作。
5.1.2连续性管理信息安全管理和服务连续性管理密切相关,两种流程均以化解IT 服务可用性风险为努力目标。
信息安全管理规程以应对人们意料之中的常见可用性风险(如硬件故障等)为第一要务。
而服务连续性管理则集中致力于化解较为极端且相对罕见的可用性风险(如火灾和洪水)。
连续性管理的重要输出是关键业务清单,其中定义了所有的关键业务、每个关键业务的最终用户等信息。
当确定可用性需求时,必须以关键业务清单作为重要输入,从而真正满足最终业务部门的需求。
5.1.3变更管理变更管理应考虑对安全的影响,安全管理需参与CAB会议并提出意见;安全改进计划的实施应当通过变更管理流程控制。
5.1.4事件/问题管理安全监视流程中,发现的信息安全事件需要上报给事件管理流程,由事件管理/问题管理流程负责解决。
另外,安全管理需要对问题数据库及事件数据库进行分析,来找出安全事件,从而提出改进措施,最终确保服务中的安全。
6 信息安全管理流程的KPI为了保证信息安全管理良好执行,定义以下关键指标,信息安全经理:1) 与信息安全相关的重大事件数量;2) 服务信息安全达标率;3) 信息安全计划的质量和更新及时率。
信息安全分析员:1) 已完成分析的服务系统框架的比例;2) 由于未分析出风险而产生安全事件的数量。
信息安全监视员:1) 没有对安全事件进行监视而导致安全事件放大的数量。
信息安全责任人:1) 有效的改进建议。
