文档介绍:信息安全管理流程阐明书(S-I)
版本号
版本记录
作者
审核
批准
日期
-9-19
修改核对信息安全管理流程阐明书
汤笑咪
信息安全管理流程阐明书
信息安全管理
目
本流程目在于规范服务管理和提供人员在提供服务流程中应遵循和执行有关活动,保证信息安全管理目的实现,满足SLA中信息安全性需求以及合同、法律和外部政策等规定。
在所有服务活动中有效地管理信息安全;
使用原则办法和环节有效而迅速解决各种与信息安全有关问题,辨认并跟踪组织内任何信息安全授权访问;
满足服务级别合同、合同、有关法规所记录各项外部信息安全需求;
执行操作级别合同和基本合同范畴内信息安全需求。
范畴
本安全管理流程规定重要是针对由公司承担完全维护和管理职责IT系统、技术、资源所面临风险安全管理。
向客户提供服务有关人员在服务提供流程中所应遵循规则根据公司信息安全管理体系所设定安全管理规定,以及客户自身有关安全管理规定。
公司内部信息、信息系统等信息资产有关安全管理也应遵循公司信息安全管理体系所设定安全管理规定。
术语和定义
有关ISO0术语和定义
资产(Asset):任何对组织有价值事物。
可用性(Availability):需要时,授权实体可以访问和使用特性。
保密性(Confidentiality):信息不可用或不被泄漏给未授权个人、实体和流程特性。
完整性(Integrity):保护资产对的和完整特性。
信息安全(Information security):保护信息保密性、完整性、可用性及其她属性,如:真实性、可核查性、可靠性、防抵赖性。
信息安全管理体系(Information security management system ISMS):整体管理体系一某些,基于业务风险办法以建立、实行、运营、监视、评审、保持和改进信息安全。
注:管理体系涉及组织机构、方略、策划、活动、职责、惯例、程序、流程和资源。
风险分析(Risk analysis):系统地使用信息以辨认来源和预计风险。
风险评价(Risk evaluation):将预计风险与既定风险准则进行比较以拟定重要风险流程。
风险评估(Risk assessment):风险分析和风险评价全流程。
风险处置(Risk treatment):选取和实行办法以变化风险流程。
风险管理(Risk management):指引和控制一种组织风险协调活动。
残存风险(Residual risk):实行风险处置后仍旧残留风险。
其她术语和定义
文献(document):信息和存储信息媒体;
注1:本原则中,应区别记录与文献,记录是活动证据,文献是目的证据;
注2:文献例子,如方略声明、筹划、程序、服务级别合同和合同;
记录(record):描述完毕成果文献或执行活动证据;
注1:在本原则中,应区别记录与文献,记录是活动证据,文献是目的证据;
注2:记录例子,如审核报告、变更祈求、事故响应、人员培训记录;
KPI:Key Performance Indicators 即核心绩绩效指标;也作Key Process Indication即核心流程指标。是通过对组织内部流程核心参数进行设立、取样、计算、分析,衡量流程绩效一种目的式量化管理指标,流程绩效管理基本。
角色和职责
信息安全经理
职责:
负责信息安全管理流程设计、评估和完善;
负责拟定顾客和业务对IT服务信息安全详细需求;
负责保证需求IT服务信息安全实现成本是恰当;
负责定义IT服务信息安全目的;
负责调配有关人员实行信息安全管理流程以及有关办法和技术;
负责建立度量和报告机制;
保证IT服务信息安全管理流程以及有关办法和技术被定期回顾和评审。
重要技能:
很强决策和判断能力
理解组织文化和政治背景
熟悉国家颁布安全有关法律法规
很强技术背景,对IT架构有总体理解
项目管理技能
卓有成效管理和组织会议、管理和组织人员能力
对生产环境、组织架构、与业务部门关系等,有充分总体理解
良好面向客户沟通技巧
协调和解决各种任务能力
足够社交技能和信誉,可以和各个高层管理人员和各个支持小组进行协商和沟通
信息安全负责人
信息安全流程负责人通过从宏观上监控流程,来保证信息安全流程被对的地执行。当流程不