信息安全管理程序

信息安全管理程序目的本程序的目的是在所有服務(wù)活動(dòng)中有效管理信息安全。滿足服務(wù)級(jí)別協(xié)議中的安全性需求以及合同、法律和外部政策等外部要求；提供一個(gè)獨(dú)立于外部需求的基本的信息系統(tǒng)安全基線；確保有效的信息安全措施在戰(zhàn)略層、戰(zhàn)術(shù)層和運(yùn)營(yíng)層三個(gè)層面都得到貫徹。范圍本程序適用于公司運(yùn)維項(xiàng)目的信息安全管理。定義安全性在IT服務(wù)中被視為可用性管理的一部分。安全管理已經(jīng)成為現(xiàn)代IT服務(wù)管理中一個(gè)重要的問(wèn)題。安全性是指不易遭到已知風(fēng)險(xiǎn)的侵襲，并且盡可能地規(guī)避未知風(fēng)險(xiǎn)的性能。提供這種性能的工具是安全措施。安全措施的目標(biāo)是要保護(hù)信息的價(jià)值，這種價(jià)值取決于機(jī)密性、完整性和可用性三個(gè)方面。機(jī)密性指保護(hù)信息免受未經(jīng)授權(quán)的訪問(wèn)和使用。完整性指信息的準(zhǔn)確性、完全性和及時(shí)性?？捎眯允切畔⒃谌魏渭s定的時(shí)間內(nèi)都可以被訪問(wèn)。這取決于由信息處理系統(tǒng)所提供的持續(xù)性。職責(zé)軟件產(chǎn)品研發(fā)部：根據(jù)組織安全需求，開發(fā)與維護(hù)信息安全計(jì)劃處理與安全相關(guān)的問(wèn)題和事件確保滿足SLA中指定的安全需求完成包含流程結(jié)果，自評(píng)估及內(nèi)部審計(jì)相關(guān)內(nèi)容的報(bào)告流程輸入SLA中的安全內(nèi)容定義了用戶關(guān)于安全的詳細(xì)說(shuō)明安全政策：安全政策定義了組織層面的安全要求。外部需求：當(dāng)組織與外部資源相互作用時(shí)，需要滿足外部對(duì)安全的需求輸出日常安全計(jì)劃：是所有流程實(shí)施的組成部分異常報(bào)告：記錄需要采取特定安全措施的異常情況流程活動(dòng)：5.1計(jì)劃5.1.1計(jì)劃包括在與服務(wù)級(jí)別管理磋商后制定服務(wù)級(jí)別協(xié)議中的安全部分，以及與安全相關(guān)的支撐合同中的活動(dòng)。5.1.2計(jì)劃不僅接收來(lái)自服務(wù)級(jí)別協(xié)議的信息而且還有來(lái)自公司的信息安全策略要求，例如：“每個(gè)用戶的身份必須可以唯一識(shí)別”和“在任何時(shí)候必須為客戶提供一個(gè)基本的安全級(jí)別”。5.1.3服務(wù)級(jí)別協(xié)議中的安全部分應(yīng)當(dāng)確?？蛻羲械陌踩枨蠛蜆?biāo)準(zhǔn)能夠?qū)崿F(xiàn)，并且實(shí)現(xiàn)的結(jié)果能夠進(jìn)行明確的驗(yàn)證。5.1.4結(jié)合項(xiàng)目實(shí)際情況對(duì)項(xiàng)目進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，并針對(duì)高風(fēng)險(xiǎn)制定應(yīng)對(duì)措施，形成運(yùn)維服務(wù)項(xiàng)目的《信息安全風(fēng)險(xiǎn)評(píng)估與處置表》。5.2實(shí)施5.2.1實(shí)施計(jì)劃中規(guī)定的所有安全措施?？砂ㄒ韵聝?nèi)容：責(zé)任劃分的實(shí)施，以及崗位分離的實(shí)施；處理事件的流程；恢復(fù)設(shè)施的實(shí)施；針對(duì)服務(wù)器、計(jì)算機(jī)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的管理措施的實(shí)施；訪問(wèn)和訪問(wèn)控制政策的實(shí)施；針對(duì)計(jì)算機(jī)系統(tǒng)、工作站和連接在網(wǎng)絡(luò)上的計(jì)算機(jī)的身份識(shí)別和驗(yàn)證措施的實(shí)施。5.3評(píng)估5.3.1對(duì)安全措施的實(shí)施結(jié)果進(jìn)行獨(dú)立的評(píng)估是非常重要的。5.3.2評(píng)估結(jié)果可用來(lái)更新與客戶協(xié)商約定的安全措施，也可用于改進(jìn)它們的實(shí)施效果。5.3.3根據(jù)評(píng)估的結(jié)果還可以建議實(shí)施某些變更，在這種情況下可以制作一項(xiàng)變更請(qǐng)求并提交給變更管理流程。5.3.4評(píng)估的主要活動(dòng)包括：核實(shí)遵循安全政策的情況以及安全計(jì)劃的實(shí)施情況；對(duì)IT系統(tǒng)實(shí)施安全審計(jì)；找出對(duì)IT資源的不正確的使用，并作出相應(yīng)的處理；承擔(dān)其它IT審計(jì)的安全方面。5.4維護(hù)5.4.1由于IT基礎(chǔ)架構(gòu)、組織和業(yè)務(wù)流程方面的變化導(dǎo)致相關(guān)的風(fēng)險(xiǎn)也隨著發(fā)生變化，因此安全也需要進(jìn)行維護(hù)。5.4.2安全維護(hù)包括服務(wù)級(jí)別協(xié)議中安全部分的維護(hù)以及詳細(xì)的安全計(jì)劃的維護(hù)。5.4.3維護(hù)需要根據(jù)評(píng)估的結(jié)果以及對(duì)風(fēng)險(xiǎn)變化的評(píng)估結(jié)果進(jìn)行。這些建議既可以直接被計(jì)劃子流程所采納，也可以納入總體的服務(wù)級(jí)別協(xié)議的維護(hù)中。5.5報(bào)告5.5.1報(bào)告可以提供有關(guān)已實(shí)現(xiàn)安全績(jī)效方面的信息，并可以讓客戶了解有關(guān)的安全問(wèn)題。這些報(bào)告通常是在與客戶簽訂的協(xié)議中所要求的。5.5.2客戶還需要了解所有的信息安全事件，針對(duì)發(fā)生的信息安全事件，應(yīng)在事件報(bào)告的同時(shí)向客戶單獨(dú)報(bào)告。5.5.3為了報(bào)告服務(wù)級(jí)別協(xié)議中定義的安全事件，可通過(guò)項(xiàng)目經(jīng)理與客戶代表建立直接的溝通渠道。5.5.4