文档介绍:信息安全管理流程说明书(S-I)版本号版本记录作者审核批准日期2010-9-19修改核对信息安全管理流程说明书汤笑咪信息安全管理流程说明书信息安全管理目得本流程目得在于规范服务管理与提供人员在提供服务流程中应遵循与执行得相关活动,保证信息安全管理目标得实现,满足SLA中得信息安全性需求以及合同、法律与外部政策等得要求。在所有得服务活动中有效地管理信息安全;使用标准得方法与步骤有效而迅速得处理各种与信息安全相关得问题,识别并跟踪组织内任何信息安全授权访问;满足服务级别协议、合同、相关法规所记录得各项外部信息安全需求;执行操作级别协议与基础合同范围内得信息安全需求。范围本安全管理流程得规定主要就是针对由公司承担完全维护与管理职责得IT系统、技术、资源所面临得风险得安全管理。向客户提供服务得相关人员在服务提供流程中所应遵循得规则依据公司信息安全管理体系所设定得安全管理规定,以及客户自身得相关安全管理规定。公司内部信息、信息系统等信息资产相关得安全管理也应遵循公司信息安全管理体系所设定得安全管理规定。术语与定义相关ISO20000得术语与定义资产(Asset):任何对组织有价值得事物。可用性(Availability):需要时,授权实体可以访问与使用得特性。保密性(Confidentiality):信息不可用或不被泄漏给未授权得个人、实体与流程得特性。完整性(Integrity):保护资产得正确与完整得特性。信息安全(Informationsecurity):保护信息得保密性、完整性、可用性及其她属性,如:真实性、可核查性、可靠性、防抵赖性。信息安全管理体系(InformationsecuritymanagementsystemISMS):整体管理体系得一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持与改进信息安全。注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程与资源。风险分析(Riskanalysis):系统地使用信息以识别来源与估计风险。风险评价(Riskevaluation):将估计得风险与既定得风险准则进行比较以确定重要风险得流程。风险评估(Riskassessment):风险分析与风险评价得全流程。风险处置(Risktreatment):选择与实施措施以改变风险得流程。风险管理(Riskmanagement):指导与控制一个组织得风险得协调得活动。残余风险(Residualrisk):实施风险处置后仍旧残留得风险。其她术语与定义文件(document):信息与存储信息得媒体;注1:本标准中,应区分记录与文件,记录就是活动得证据,文件就是目标得证据;注2:文件得例子,如策略声明、计划、程序、服务级别协议与合同;记录(record):描述完成结果得文件或执行活动得证据;注1:在本标准中,应区分记录与文件,记录就是活动得证据,文件就是目标得证据;注2:记录得例子,如审核报告、变更请求、事故响应、人员培训记录;KPI:KeyPerformanceIndicators即关键绩绩效指标;也作KeyProcessIndication即关键流程指标。就是通过对组织内部流程得关键参数进行设置、取样、计算、分析,衡量流程绩效得一种目标式量化管理指标,流程绩效管理得基础。角色与职责信息安全经理职责:负责信息安全管理流程得设计、评估与完善;