信息安全管理手冊_第1頁
信息安全管理手冊_第2頁
信息安全管理手冊_第3頁
信息安全管理手冊_第4頁
信息安全管理手冊_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

Xxx有限公司ISO20000體系文件信息安全管理手冊文檔信息文檔編號:ITSM-02-IS-01文檔名稱:信息安全管理規(guī)范起草人:審核人:批準(zhǔn)人:生效日期:發(fā)布范圍:版本記錄版本號版本日期修改修改章節(jié)修改記錄目錄1 目的和范圍 41.1 編寫目的 41.2 適用范圍 42 制定依據(jù) 43 術(shù)語定義 44 流程角色及職責(zé) 45 具體條款 45.1 信息安全政策 45.1.1信息安全方針 45.1.2信息安全風(fēng)險(xiǎn)評估 55.1.3信息安全內(nèi)審 55.1.4信息安全外審 55.2 信息安全措施 55.2.1資產(chǎn)分類和保護(hù) 55.2.2人力資源安全 65.2.3物理與環(huán)境安全 65.2.4通訊和操作安全 65.2.5訪問控制 75.2.6法律法規(guī)符合性 75.3 信息安全事件 86 相關(guān)文件與記錄 8目的和范圍編寫目的本文件編寫的目的是為了規(guī)范信息安全管理流程的相關(guān)策略及活動,確保信息安全管理流程的執(zhí)行質(zhì)量和執(zhí)行有效性。適用范圍本文檔適用于xxx有限公司技術(shù)中心的運(yùn)維及IT服務(wù)部(以下簡稱“運(yùn)維及IT服務(wù)部”),本文檔所規(guī)定的IT服務(wù)是指運(yùn)維及IT服務(wù)部為公司研發(fā)部門所提供的IT服務(wù)。制定依據(jù)ISO/IEC20000-1:2011。術(shù)語定義本文檔采用《ITSM標(biāo)準(zhǔn)術(shù)語表》中的定義。流程角色及職責(zé)相關(guān)流程流程活動說明編碼活動責(zé)任人說明01需求識別與評估信息安全經(jīng)理根據(jù)新應(yīng)用/服務(wù)系統(tǒng)上線、信息安全管理回顧發(fā)起需求識別與評估。02發(fā)起信息安全風(fēng)險(xiǎn)信息安全經(jīng)理根據(jù)現(xiàn)有狀態(tài),分析信息安全相關(guān)風(fēng)險(xiǎn)。03信息安全滿足業(yè)務(wù)需求信息安全經(jīng)理根據(jù)分析結(jié)果,判斷當(dāng)前信息安全規(guī)范是否能夠滿足業(yè)務(wù)需求04制定/更新信息安全規(guī)范信息安全經(jīng)理根據(jù)業(yè)務(wù)對信息安規(guī)范要求,制定和更新信息安全規(guī)范計(jì)劃。05信息安全規(guī)范是否需要實(shí)施信息安全經(jīng)理計(jì)劃制定完成后,根據(jù)計(jì)劃要求判斷是否需要實(shí)施。確認(rèn)需要實(shí)施進(jìn)入變更流程06是否滿足業(yè)務(wù)需求信息安全經(jīng)理檢查實(shí)施結(jié)果確認(rèn)是否達(dá)到計(jì)劃要求,滿足業(yè)務(wù)需求。具體流程角色與運(yùn)維及IT服務(wù)部相關(guān)崗位/人員的對應(yīng)關(guān)系請參見三級文件《信息安全管理策略》。具體條款信息安全政策信息安全方針安全管理、風(fēng)險(xiǎn)控制、內(nèi)控外防、快速響應(yīng)保護(hù)信息系統(tǒng)的物理環(huán)境、系統(tǒng)軟硬件和信息資源,增強(qiáng)信息系統(tǒng)的安全預(yù)警能力、保護(hù)能力、檢測能力及應(yīng)急處置能力,確保信息系統(tǒng)的安全;增強(qiáng)內(nèi)部信息安全綜合治理能力,實(shí)現(xiàn)安全風(fēng)險(xiǎn)可控制、內(nèi)部操作可審計(jì)、措施執(zhí)行可度量;確保重要業(yè)務(wù)數(shù)據(jù)的保密性和完整性,降低信息系統(tǒng)的故障率,提高災(zāi)難恢復(fù)能力,保證各項(xiàng)業(yè)務(wù)系統(tǒng)的可持續(xù)運(yùn)行;提高公司信息技術(shù)人員的安全思想意識、安全專業(yè)素質(zhì)以及安全管理水平,確保信息技術(shù)人員具備與其崗位要求相應(yīng)的能力。信息安全風(fēng)險(xiǎn)評估頻率:至少每年一次;范圍:所有系統(tǒng);目標(biāo):確認(rèn)系統(tǒng)的安全性、找出系統(tǒng)漏洞、對漏洞進(jìn)行修復(fù)。信息安全內(nèi)審每年進(jìn)行信息安全的內(nèi)部審核。信息安全外審重要業(yè)務(wù)系統(tǒng)通過等保測評,并在網(wǎng)監(jiān)進(jìn)行備案。信息安全措施資產(chǎn)分類和保護(hù)應(yīng)明確運(yùn)維及IT服務(wù)部所有重要信息資產(chǎn)的所有者,所有者要確保資產(chǎn)受到合適的保護(hù)。信息安全經(jīng)理應(yīng)根據(jù)信息資產(chǎn)的價值、法規(guī)要求、敏感度和對組織的重用程度不同對其進(jìn)行分類,不同級別的信息資產(chǎn)要有適合其相應(yīng)安全保護(hù)要求的控制措施。人力資源安全建立并將信息安全相關(guān)的控制貫穿于運(yùn)維及IT服務(wù)部的人力資源管理中,對于關(guān)鍵崗位需要建立相關(guān)的安全監(jiān)督機(jī)制;確保員工、合同方和第三方人員在雇傭前、雇傭中或離職以及雇傭關(guān)系變更時都以一種有序的方式進(jìn)行應(yīng)根據(jù)運(yùn)維及IT服務(wù)部的信息安全管理要求明確定義員工、第三方人員的安全角色和責(zé)任,并記錄在職責(zé)描述中;并且根據(jù)相關(guān)的職責(zé),制定相關(guān)的信息安全基本行為準(zhǔn)則和安全操作準(zhǔn)則。對所有員工、第三方人員要開展合適的安全意識培訓(xùn)和教育,確保其了解運(yùn)維及IT服務(wù)部的信息安全管理規(guī)范,以減少人為錯誤、偷竊、欺詐及濫用設(shè)施所帶來的安全風(fēng)險(xiǎn)。如果出現(xiàn)了任何違反信息安全政策的行為并造成損失的,要依照運(yùn)維及IT服務(wù)部規(guī)定和國家相關(guān)的法律法規(guī)進(jìn)行處罰。物理與環(huán)境安全信息資產(chǎn)在物理上應(yīng)有訪問控制和保護(hù),防止偷竊、濫用、損壞或未經(jīng)授權(quán)的訪問;辦公場所要滿足相關(guān)的常規(guī)安全要求,在物理上應(yīng)有訪問控制和保護(hù)。通訊和操作安全網(wǎng)絡(luò)自身的設(shè)計(jì)、構(gòu)建和使用應(yīng)滿足安全控制的要求,并部署必要的基于網(wǎng)絡(luò)的安全技術(shù)和手段。網(wǎng)絡(luò)設(shè)備在運(yùn)行維護(hù)過程中應(yīng)嚴(yán)格遵照安全技術(shù)規(guī)范和操作管理規(guī)范,所有網(wǎng)絡(luò)設(shè)備接入、配置變更、設(shè)備廢棄或更換應(yīng)遵循變更流程,所有變更實(shí)施過程都必須記錄在案。針對運(yùn)維及IT服務(wù)部目前所維護(hù)的所有基礎(chǔ)設(shè)施及信息系統(tǒng)必須制定相應(yīng)的安全技術(shù)規(guī)范和操作管理規(guī)范,通過對日常操作的管理、備份管理、信息交換過程的控制以及系統(tǒng)的規(guī)劃驗(yàn)收等措施,確保運(yùn)維及IT服務(wù)部信息處理設(shè)施的正確和安全操作。明確針對第三方組織人員的信息安全管理要求,建立相應(yīng)的安全控制措施。應(yīng)保障存儲介質(zhì)使用和保管的安全。廢棄的存儲介質(zhì)應(yīng)確保被安全銷毀,其中存儲的敏感信息被徹底消除或覆蓋,不會造成信息泄漏。將任何含有敏感信息的信息系統(tǒng)設(shè)備或存儲介質(zhì)帶到集團(tuán)和運(yùn)維及IT服務(wù)部以外之前必須得到授權(quán),并保障其處于妥善保管和安全控制之中。訪問控制基礎(chǔ)設(shè)施及信息系統(tǒng)都必須具備訪問控制機(jī)制,防止未經(jīng)授權(quán)的訪問和信息泄漏。對信息系統(tǒng)的訪問授權(quán),不能超過員工工作所需的范圍,以減少信息被濫用的風(fēng)險(xiǎn)。建立完善的用戶訪問管理規(guī)范,引入用戶帳號的創(chuàng)建、重設(shè)、變更、刪除、維護(hù)、定期審核和用戶口令管理的管理規(guī)范,確保用戶帳號的安全使用。建立完善運(yùn)維及IT服務(wù)部網(wǎng)絡(luò)以及和其它組織的網(wǎng)絡(luò)之間存在必要的接口的訪問控制,對用戶和網(wǎng)絡(luò)設(shè)備具備必要的訪問授權(quán)機(jī)制,以及對用戶訪問信息服務(wù)的行為進(jìn)行有效控制。確保信息系統(tǒng)、基礎(chǔ)設(shè)施具備必要的訪問授權(quán)機(jī)制,以及對用戶訪問信息服務(wù)的行為進(jìn)行有效控制。建立移動計(jì)算和遠(yuǎn)程工作的訪問授權(quán)機(jī)制,確保在使用移動計(jì)算和遠(yuǎn)程工作設(shè)備時信息的安全。法律法規(guī)符合性運(yùn)維及IT服務(wù)部的信息安全管理必須遵守運(yùn)維及IT服務(wù)部信息安全管理要求、相關(guān)的國家法律法規(guī)、行業(yè)規(guī)范和組織的相關(guān)規(guī)定。必須建立相關(guān)的管理規(guī)范以確保遵守版權(quán)和知識產(chǎn)權(quán)方面的法律法規(guī)和合同條款。運(yùn)維及IT服務(wù)部一定要監(jiān)控基礎(chǔ)設(shè)施及信息系統(tǒng)并記錄信息安全事件、操作日志和違例日志,定期審計(jì)日志,檢查安全控制的有效性和安全政策的遵守程度,并查處安全違例事件。維及IT服務(wù)部必須建立并實(shí)施相關(guān)的定期審核機(jī)制,以確保相關(guān)系統(tǒng)符合安全方針和標(biāo)準(zhǔn)。信息安全事件發(fā)現(xiàn)安全事件(安全事件包括安全事故和可疑的安全漏洞),員工應(yīng)立即按照事件管理要求進(jìn)行處理和報(bào)告。信

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論