返回
体系文件-信息安全管理程序new

体系文件-信息安全管理程序new

ID:18738796

大小:159.18 KB

页数:8页

时间:2018-09-20

体系文件-信息安全管理程序new_第1页
体系文件-信息安全管理程序new_第2页
体系文件-信息安全管理程序new_第3页
体系文件-信息安全管理程序new_第4页
体系文件-信息安全管理程序new_第5页
资源描述:

《体系文件-信息安全管理程序new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全管理程序样式编号编制审核批准密级内部版本V1.0发布日期2009年1月5日息技术有限责任公司样式编号:WW-SM-AQ-01信息安全管理程序版本:V1.0变更履历序号版本更改处·更改内容更改人/日期审核人/日期批准人/日期1V1.0新建张海涛/2008.12.24.赵武/2008.12.24王喆/2008.12.241.12345第6页共7页样式编号:WW-SM-AQ-01信息安全管理程序版本:V1.0目录1.1目的01.2适用范围01.3术语表01.4引用文件02.职责02.1技术服务事业部02.2服务部03.具体内容03.1组织制订信息安全策略03.2分析客户安全需

2、求03.3制定信息安全管理计划03.4运行监控03.5实施信息安全评估04.输出的文件和记录0第6页共7页样式编号:WW-SM-AQ-01信息安全管理程序版本:V1.0简介1.1目的满足SLA中的安全性需求以及合同、法律和外部政策等的要求。1.2适用范围适用于公司提供IT服务的部门,以及与信息安全和风险防范有关的活动的管理。1.3术语表l可用性:需要时,被授权的使用者能够访问和使用相关资产。l保密性:信息不被未授权的个人、实体、流程访问或泄漏。l完整性:保护资产的准确和完整。l信息安全:保护信息的保密性、完整性、可用性及其他属性。l信息安全事件:识别系统、服务或网络状态发生的事

3、件其违背了信息安全策略,或使安全措施失效,或以前未知的与安全相关的情况。l信息安全事故:单个或一系列的意外信息安全事件可能严重影响业务运作并威胁信息安全。l风险:特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性。l风险评估:对信息和信息处理设施的威胁、影响和脆弱性及三者发生的可能性评估。1.4引用文件【1】ISO/IEC20000-1:2005【2】《IT服务管理手册》2.职责2.1技术服务事业部负责制订信息安全策略和方针,组织建立、改进信息安全管理体系。第6页共7页样式编号:WW-SM-AQ-01信息安全管理程序版本:V1.01.1服务部负责组织建立信息

4、安全管理制度和方法,计划、实施信息安全要求,监控、报告和响应信息安全事件。负责协助处理信息安全事件,制订信息安全解决方案,组织评价变更对信息安全的影响,参与信息安全管理的改进。第6页共7页样式编号:WW-SM-AQ-01信息安全管理程序版本:V1.0流程图第6页共7页样式编号:WW-SM-AQ-01信息安全管理程序版本:V1.01.具体内容1.1组织制订信息安全策略1.1.1服务部根据IT服务工作的特点收集相应的信息安全需求。1.1.2根据公司的业务需求,在技术服务事业部的安排下,管理者代表组织服务部、销售部门、研发部门根据服务级别协议(SLA)的要求,对信息安全的要求进行讨论

5、,制订公司《信息安全管理规范》,经管理者代表批准后发放相关部门。其中应包括:1.1.2.1信息安全活动的总方向及总则框架。1.1.2.2信息安全管理的范围、目标、策略和要求。1.1.2.3安全的职能和职责。1.1.2.4风险评价标准。1.2分析客户安全需求1.2.1服务部根据与客户签订的SLA中的信息安全要求以及客户系统运行的特点,分析客户信息系统的安全要求。1.3制定信息安全管理计划1.3.1服务部负责识别信息安全风险,识别风险时应考虑:1.3.1.1风险发生可能带来的业务影响和后果。1.3.1.2风险发生的现实可能性。1.3.1.3资产的主要威胁、脆弱点和影响以及已经实施的

6、安全控制措施。1.3.1.4根据可接受风险的准则,判断风险的处理办法。1.3.2制定信息安全管理计划l服务部根据所识别的风险,制订相关的信息安全管理计划,经服务部批准后执行。其中应明确:技术要求(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复),管理要求(安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。1.4运行监控1.4.1服务部根据《项目策划书》中风险处置计划的内容实施和检测控制措施,开展信息安全管理的活动,以达到安全控制的目标。第6页共7页样式编号:WW-SM-AQ-01信息安全管理程序版本:V1.01.1.1服务部负责信息安全系统日常

7、的运行监控,检查与信息安全有关的活动是否满足SLA的要求。如不符合要求,则制定服务改进计划。1.1.2服务部根据《项目策划书》中的安全意识培训安排,对与信息安全相关的人员实施安全培训。1.2实施信息安全评估1.2.1所有信息安全管理过程中的改进结果,由服务部具体实施,服务部组织验证,并监控改进的实施。1.2.2服务部按照《项目策划书》中的规定,进行信息安全评估,确保:1.2.2.1及时检测过程结果中的错误。1.2.2.2及时识别失败的和成功的安全违规和事故。1.2.2.3监控安全活动是否按期

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。