228 华为IT安全管理流程

《228 华为IT安全管理流程》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、1目的确保访问受保护的资产的用户被严格限制；为用户提出的IT安全需求提供解决途径；及时发现和排除IT安全隐患，减少IT安全事故发生次数。2范围本流程适用于涉及公司IT安全的逻辑访问控制的活动3流程提要用户根据IT规划与控制部门制定的IT安全标准提出安全需求，IT热线将其中的安全问题转给安全控制办，对应用系统的问题，按《IT立项管理流程》处理，对非应用系统的问题，由技术支持人员提出解决方案并实施，改进IT安全管理系统，由安全控制办负责其日常管理与维护。日常IT安全监控由系统操作人员负责，并报告发现的安全隐患。审计人员执行IT安全审计并输出

2、设计报告，对发现的问题按上述办法处理。4输入4.1IT安全标准5输出5.1IT安全审计报告5.2IT安全控制工作月报5.3IT安全监控月报5.4系统维护手册5.5系统监控手册5.6用户手册6职责6.1用户6.1.1提出应用和数据安全需求6.1.2提出日常安全申请6.2IT规划与控制部门6.2.1制定IT安全标准（现由NI项目提供）；6.3IT热线判断是否安全问题6.4安全控制人员6.4.1判断安全问题类型；6.4.2执行日常安全管理和维护；6.5技术支持人员6.5.1分析问题、提出解决方案；6.5.2实施解决方案6.6系统操作人员6.5

3、.1监控IT安全标准；6.5.2报告IT安全隐患6.7审计人员6.5.1执行IT安全审计；6.5.2报告IT安全状况和隐患7技能要求无8信息系统本流程需以下信息系统支持：网络安全管理系统，各应用系统的安全管理功能，NOTES平台的《信息系统服务申请》等。9设备标准办公设备10流程图11流程说明01制定IT安全标准IT规划控制人员根据相关规章制度和公司业务与IT管理上的特定要求制定IT安全标准。02提出应用和数据安全需求用户根据IT安全标准，分析自身的业务需要，在其二级部门负责人的签字同意后，通过联络单或签名邮件的形式向IT热线提出应用和

4、数据方面的安全需求。03判断是否安全问题IT热线接到用户问题后，对不属于IT安全的问题（如：ID丢失、修改密码等）按提供IT运作支持流程予以答复，对属于IT安全的问题转交安全控制人员，同时抄送知识产权部。04IT安全审计IT安全审计人员（知识产权部）根据工作计划，对日常IT安全控制、安全监控工作或针对公司某一应用、服务器、部门的IT安全等进行专项审计和例行审计。05报告IT安全状况和隐患IT安全审计报告在描述IT安全状况的同时，也要着重指出IT安全隐患，并就主要的安全性问题提出相应的改进建议。IT安全审计报告主送安全控制人员。06判断安

5、全问题类型IT安全控制人员分析该安全问题是否属于应用系统，对属于应用的问题请用户按IT立项管理流程处理，否则提交技术支持。07分析问题、提出解决方案技术支持人员在充分理解、分析用户需求后，可以调集相关的安全控制人员、系统操作人员、技术顾问、技术专家、网络安全专家、规划控制人员、IT安全审计人员等制定实施方案。08实施解决方案技术支持人员按照《IT生产环境变更管理流程》要求实施解决方案，并针对实施结果制定相关系统维护手册、监控手册、用户手册等文档。09提出日常安全申请用户对于日常工作中的安全问题，如：MRPII、NOTES等系统的开户、设

6、置权限、修改口令等，可通过《信息系统服务申请》电子流提交申请10执行日常安全管理与维护安全控制人员在现有IT安全管理系统环境中按规定执行日常安全管理和维护（包括：ID管理、口令管理、权限管理等），并根据业务需要制定、修订有关的安全制度、流程、操作指导书等文件（详见参考文件14.2-14.6）。11监控IT安全标准系统操作人员根据系统安全监控手册监控IT安全标准的执行情况，并定期递交IT安全监控报告。12报告IT安全隐患一旦发现IT系统的安全隐患和问题，系统操作人员应报告安全控制人员处理。12例外原则无13表格与记录无14参考文件14.1

7、提供IT运作支持流程14.1IT立项管理流程14.2MRPII用户ID管理规定14.3NOTES用户ID管理规定14.4SAP用户ID管理规定14.5E-MAIL使用管理规定14.6PROXY使用管理规定