信息安全管理程序
ISMS-B-01信息安全风险管理程序
深圳市ABC有限公司信息安全风险管理程序编号:ISMS-B-01版本号:V1.0编制:AAA 日期:2023-11-01 审核:BBB 日期:2023-11-01 批准:CCC 日期:2023-11-01受控状态1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。
2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。
3 职责3.1 信息安全管理小组负责牵头成立风险评估小组。
3.2 风险评估小组负责编制《信息安全风险评估计划》,确认评估结果,形成《信息安全风险评估报告》。
3.3 各部门负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。
4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组信息安全小组牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。
5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产,并进行资产赋值。
5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析,并在此基础上得出综合结果的过程。
5.2.3 保密性(C)赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。
5.2.4 完整性(I)赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
完整性(I)赋值的方法5.2.5 可用性(A)赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
可用性(A)赋值的方法5.2.7 导出资产清单识别出来的信息资产需要详细登记在《信息资产清单》中。
信息安全策略和程序管理规章制度
信息安全策略和程序管理规章制度信息安全在现代社会中扮演着至关重要的角色。
随着信息技术的飞速发展,大量的个人和机构数据存储在网络和云端,而这些数据的安全性已成为了至关重要的问题。
为了有效保护信息安全,制定一整套科学合理的信息安全策略和程序管理规章制度显得尤为重要。
本文将围绕信息安全策略和程序管理规章制度展开,从不同角度,为您详细解析其必要性和操作性。
一、信息安全策略的定义和重要性信息安全策略被视为一种综合性的管理方法,它旨在确保信息的100%安全性,以防止信息被非法窃取、篡改或破坏。
信息安全策略有助于组织建立一种全面的保护机制,以保护其信息系统免受内外部威胁的侵害。
以下是信息安全策略的重要性:1. 保护敏感信息:信息安全策略的核心目标之一就是保护敏感信息的安全。
对于个人而言,这可能是个人身份信息、账户密码等;对于企业而言,这可能是商业机密、客户数据等。
只有通过实施合理的信息安全策略,才能保障这些敏感信息的机密性和完整性。
2. 防止数据丢失:无论是自然灾害、硬件故障、黑客攻击还是人为失误,数据丢失都可能对个人和组织带来重大影响。
信息安全策略将通过备份、冗余存储等手段来确保数据的持续可用性,防止数据不可恢复地丢失。
3. 遵守法规和法律:随着数据保护法规的不断完善,各个企业和组织都有义务确保其信息处理与存储符合法律的规定。
合规性是信息安全策略中至关重要的一部分,只有通过合规的运营,才能有效防范来自监管机构的法律风险。
二、信息安全策略的基本要素为了制定一套科学有效的信息安全策略,以下是其基本要素:1. 风险评估和管理:风险评估是信息安全策略的基础。
组织应对其信息系统进行全面的风险评估,确定潜在威胁和弱点,并采取相应的措施来管理和缓解这些风险。
2. 访问控制和身份验证:信息安全策略应该规定明确的访问控制机制,确保只有经过身份验证和授权的用户才能获得对敏感信息的访问权限。
这可以通过密码、双因素认证、物理门禁等方式来实现。
信息安全事件管理程序
生效日期: ___________________________全事件 主导部门: IT 部 管理程 序支持部门: 审 批: 文档编号:N/A IT 部 IT-V02信息安全事件管理程序1.目的为建立信息安全事件报告、反应及处理机制,明确信息安全事件处理的责任和流程,有效处理信息安全事件,最大限度的减少和降低信息安全事件给公司带来的损失,并采取有效的纠正与预防措施,特制定本管理程序。
2.范围本规定适用于公司发生的各类信息安全事件的检测、报告和处理。
3.术语和定义引用ISO/IEC27001 和ISO/IEC27002 相关术语和定义。
注释:ISO/IEC 27001 信息安全管理体系要求ISO/IEC 27002 信息技术一安全技术一信息安全管理实践规范本程序中的信息安全事件是标准中的“信息安全事态”和“信息安全事件”的总称。
4.职责和权限阐述本规定涉及的部门(角色)职责与权限。
4.1 IT部的职责和权限1)归口管理信息安全事件的调查、处理及纠正措施管理2)负责按照信息安全事件处理流程进行事故处理3)通过准入系统的策略机制,对其信息安全事件的检查追溯5.程序5.1事件管理目标对于事件管理过重中,应该遵循以下原则:5.1.1尽快恢复正常业务应用的服务5.1.2最小化事件对业务的影响。
5.1.3确保统一的处理事件和服务请求而不会有任何其他遗漏。
5.1.4定向到最需要的支持资源(外部厂商和服务供应商)。
5.1.5提供允许优化支持流程、减少事件数量和执行管理计划的信息。
5.2信息安全事件的分类基于两个方便对事件进行分类:5.2.1信息安全事件所造成的影响。
5.2.2信息安全事件的紧急程度。
信息安全事件的优先级事件的优先级是根据事件的影响等级和事件的紧急程度来决定的,影响等级高并且紧急程度高的事件优先级为最高级,影响等级低并且紧急程度低的事件优先级为低级。
下表显示了与这些相关事件的分类情况:5.3信息安全事件的发现、记录与报告5.3.1事件的发现事件通常有IT团队通过监控系统检测到,对于各类来源所检测到的事件报告,根据事件分类的原则进行判断,属于高等级的事件,应立即通过电话汇报至IT总监。
信息系统安全管理制度(五篇)
信息系统安全管理制度--____联华中安制定为加强开发区计算机信息系统安全和保密管理,保障计算机信息系统的安全,____联华中安信息技术有限公司特制定本管理制度。
第一条严格落实计算机信息系统安全和保密管理工作责任制。
按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各科室在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
第二条办公室是全局计算机信息系统安全和保密管理的职能部门。
办公室负责具体管理和技术保障工作。
第三条计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。
第四条局域网分为内网、外网。
内网运行各类办公软件,专用于公文的处理和交换,属____网;外网专用于各部门和个人浏览国际互联网,属非____网。
上内网的计算机不得再上外网,涉及国家____的信息应当在指定的____信息系统中处理。
第五条购置计算机及相关设备须按保密局指定的有关参数指标由机关事务中心统一购置,并对新购置的计算机及相关设备进行保密技术处理。
办公室将新购置的计算机及相关设备的有关信息参数登记备案后统一发放。
经办公室验收的计算机,方可提供上网ip地址,接入机关局域网。
第六条计算机的使用管理应符合下列要求:(一)严禁同一计算机既上互联网又处理____信息;(二)各科室要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件____情况进行检查和登记备案;(三)设置开机口令,长度不得少于____个字符,并定期更换,防止口令被盗;(四)____正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序;(五)未经办公室认可,机关内所有办公计算机不得修改上网ip地址、网关、dns服务器、子网掩码等设置;(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理____信息;(七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有____信息的手提电脑外出的,必须确保____信息安全。
信息安全事件或事故管理程序
1.目的使顾客的被害损失降到最小和事故造成的影响尽早补救。
2.适用范围公司的信息安全事故。
3.职责4.定义信息安全事件:指系统、服务或网络的一种可识别的状态的发生,它可能是信对息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。
信息安全事故:一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成,它们具有损害业务运作和威胁信息安全的极大的可能性。
5.对突发事件的处理有可能发生或发生了关于信息安全的突发事件时,信息安全管理者代表应迅速协同有关部门进行处理。
所谓“突发事件”,是指机密信息的泄露或有可能泄露的所有情况,包含了信息系统安全事件和事故。
当已经到机密信息的泄露或有可能泄露时,必须立即报告信息安全管理者代表及总经理,根据他们的要求采取回收、废弃等紧急措施。
信息安全管理者代表接到这样的报告后,必须协同有关部门调查其事实和原因确认受损失程度,采取措施,防止类似事件的再次发生。
6.事故对应渠道见事故报告联络迅速把握事故状况,第一时间联络;预见事故被害扩大的可能性,设定防范措施;及时的将信息进行公开,并肩负说明的责任;追究根本原因,防止同样事故的再次发生。
7.被害级别的设定和对应方式①对应可预见的被害,设定被害级别:S・A・B;②根据各种各样的被害级别设定对应方法。
具体对应见附表一。
8.事故对应管理流程◆信息安全推进委员会总经理◆信息安全推进事务局①厂长;②管理者代表◆各部门部门信息安全责任者、推进主管及当事人事故处理过程①当事人等第一时间将事故内容逐级报告至所属部门信息安全责任者;(当公司外部发生被盗、被抢等恶性事故时,第一时间110报警后,电话速报信息安全事务局)②部门向信息安全事务局报告;③由事务局报告总经理;④信息安全推进委员会检讨,判定事故被害等级;⑤必要时,将事故信息向相关对象公开;⑥必要时,事故发生部门设定防范措施及防止再发生的对策,交事务局备案;⑦必要时,将事故内容、对策等信息向相关对象发布;9.相关文件《信息安全管理手册》10.相关表单《信息安全事故报告表》《电脑被盗/丢失时的点检表》《信息丢失点检表》《信息安全事故整改对策报告》附表一:被害级别的设定和对应方式①对应可预见的被害,设定被害级别:S・A・B;②根据各种各样的被害级别设定对应措施。
资讯信息安全管理程序
5.3.10每一电脑设定用户离开3分钟自动锁定系统,需要用户重新输入密码方可打开使用.
5.3.11公司采用硬件防火墙监控用户进出网络和入侵检测行为,通过对特定网段,服务进行物理和逻辑审查,并建立访问控制机制,将绝大多数攻击阻止在网络及服务边界以外.
6.0相关档:无
7.0使用表单:
《帐户登录密码更换记录》
5.3.3不要随便尝试不明的或不熟悉的电脑操作步骤;遇到电脑发生异常而自己无法解决时,就立即通知信息部工程师解决。
5.3.4不要随便运行或删除电脑上的档或程序,不要随意更改电脑参数等。
5.3.5先以加密技术保护敏感的资料档案,然后才通过公司网络及互联网进行传送。在适当的情况下,利用数定证书为信息及资料加密或加上数位签名。
5.2.5不要将机密档及可能是受保护档随意存放,档存放在分类目录下指定位置。
5.2.6全体员工自觉遵守保密基本准则,做到:不该说的机密,绝对不说,不该看的机密,绝对不看(含超越自己职责、业务范围的档、资料、电子文档)。
5.2.7员工应严格遵守本规定,保守公司秘密,发现他人泄密,立即上报,避免或减轻损害后果。
3.2 IT主管:负责电脑、电脑网络相关设备设施的维护保养以及相关事务的处理(包括运作主管、网络管理员、系统管理员)。
3.3全体员工:按照安全指引保障信息安全。
4.0定义:无
5.0内容:
5.1公司保密资料:
5.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核算、营销报表和各种综合统计报表。
5.2.3未经公司领导批准,不得向外界提供公司的任何保密资料和任何客户资料。
5.2.4信息部部门要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:
信息安全风险评估管理程序
文件制修订记录1、目的本程序规定了本公司信息安全风险管理的内容和过程。
通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
2、范围本指南适用于信息系统风险的初始评估与风险处置、变更评估与变更后的风险处置、定期的风险再评估与风险处置。
3、参考文件3.1ISO/IEC27001:2022《信息安全管理体系要求》3.2ISO/IEC27002:2022《信息技术网络安全与隐私保护信息安全控制》4、定义4.1资产通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
4.2资产价值资产是有价值的,资产价值可通过资产的敏感程度、重要程度和关键程度来表示。
4.3威胁一个单位的信息资产的安全可能受到的侵害。
威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
4.4脆弱性信息资产及其安全措施在安全方面的不足和弱点。
脆弱性也常常被称为漏洞。
4.5事件如果威胁主体能够产生威胁,利用资产及其安全措施的脆弱性,那么实际产生危害的情况称之为事件。
4.6风险由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
风险由安全事件发生的可能性及其造成的影响这两种指标来衡量。
4.7残余风险采取安全措施对风险进行处理,提高了信息安全保障能力后,仍然可能存在的风险。
4.8安全需求为保证单位的使命能够正常行使,在信息安全保障措施方面提出的要求。
4.9措施对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
4.10风险评估通过一定的步骤和技术手段来评估信息系统安全风险的过程,并判断风险的优先级,建议处理风险的措施。
风险评估也称为风险分析,是风险管理的一部分。
ICTI范本反恐之信息安全管理程序
5.程序
5.1ERP网络管理:
5.1.1公司各连网的每一个部门、每个上网的人员及公司内部ERP系统的信息都要设定权限,以保证系统的安全性。
5.1.2各部门的操作规范
5.1.2.1市场部接到客人订单确认好之后才录入ERP系统,然后传送给总经理审核。审核后同时传送给市场部、技术部、生管、物控、副总经理。
生效日期
2008-12-01
版次
A
文件等级
二级
页次
2/2
5.4.1ERP系统需要一个稳定的硬件及网络支持机软硬件需要申购时,需考虑综合成本、维护成本、工作效率、适用的软硬件申购有必要考虑合法性及安全性
5.4.3各部门的使用者要按时对计算机进行维护(例如:要按时杀毒、对计算机的表面灰尘要及时打扫,保持清洁)
5.5.3为确保信息的安全性、未经公司的有关领导授权,不得擅自将公司内部信息泄密或丢失;否则公司将给予相应的行政处分和经济处分。
6、相关文件:无
7、记录
7.1《计算机维修单》
QP-HM-001
文件等级:
二级文件
文件名称:
反恐程序文件
发行版次:
A
文件编号:
QP—HM—001
生效日期:
2008年12月01日
制定部门
立案
审核
核准
受
控
文
件
章
QP-HM-001
文件
名称
反恐程序文件
生效日期
2008-12-01
版次
A
文件等级
二级
页次
1/1
0.)文件制订、发行及变更记录
序
类别
页码
变更前后说明
变更原因
相关方信息安全管理程序
文件制修订记录1、目的为加强对组织相关方的控制,识别其信息安全风险,采取相应措施,防范组织的信息资产损失,特制定本程序。
2、范围本程序适用于组织信息安全管理范围内外部相关方管理活动,包括对供应商、外来人员、政府职能部门及客户的信息安全方面的管理和监督。
3、职责3.1管理运营部A)组织各部门识别外部相关方对信息资产和信息处理设施造成的风险;B)定期组织对相关方控制的实施活动进行检查与跟踪;C)负责与相关方人员签订保密协议。
3.2各相关部门A)负责对本部门、本项目外的部门的相关方进行控制和管理;B)负责对客户提供的信息采取保密措施。
4、程序4.1管理对象A)政府职能部门;B)服务提供商:互联网服务提供商、电话提供商、信息系统维护和支持服务提供商、软件产品和信息系统开发商和供应商;C)客户;D)供应商;E)运输承包方、废弃物处理方;4.2相关方信息安全管理管理运营部组织各部门识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问信息资产和信息处理设施前,对所识别的风险实施适当的控制。
涉及对组织的信息资产物理访问、逻辑访问时管理运营部应与相关方签署《相关方保密协议》。
《相关方保密协议》中应反映所有与相关方合作而引起的内部管理需求或信息安全需求,《相关方保密协议》中还要提请相关方对其员工进行必要的信息安全意识、技能培训和教育,使其满足工作要求。
在对信息安全的要求未实施适当的控制之前不应向外部相关方提供权限进行信息的访问。
管理运营部应确保外部相关方认识到其义务,并接受与访问、处理、交流或管理组织信息和信息处理设施相关的责任和义务。
4.3对外来人员的管理外来人员主要有:临时工、外来参观和检查人员、外来技术/服务人员、服务提供商(包括管理服务提供商)等。
外来人员进入组织,《物理访问策略》进行控制。
外来人员的逻辑访问按《访问控制管理程序》进行控制。
4.4对承包商和供应商的管理采购保障部应识别物资采购活动中的信息安全的风险,明确采购过程中的信息安全要求,在采购合同中明确规定对信息安全方面的要求,并在批准其访问组织信息资产和信息处理设施前实施适当的控制。
信息安全通报管理程序
信息安全通报管理程序 文件类别:信息安全三阶文件 文件编号: 文件页数:J含封面) 发行日期:一发行版次: A1撰写部门:文件与记录管制中心
签名/日期 撰稿者 文件发
行早 审核者
核准者 发行管 制编号 文件版本控制表 义件名称 版次 编号 页次 仁息安全管通报管理灌序 A1 SP006 1/8 修 订 变更章次 变更摘要 修订者
版次 日期 早节 页次 文件名称 版次 编号 页次
信息安全管通报管理程疗 A1 SP006 2/8 1 前言 .............................................................................. 4 .......
2 适用范围 .......................................................................... 4....... 3 名词定义 .......................................................................... 4 ....... 4 权责 .............................................................................. 4 ....... 5 作业程序说明 ...................................................................... 5...... 5.1 适用信息安全通报项目 ............................................................ 5.... 5.2 信息安全事件分类原则 ............................................................ 5..... 5.3 信息安全事件发生后的通报 ........................................................ 5.... 5.3.1 信息安全事件通报
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1目的 (2)
2过程定义 (3)
2.1范围 (3)
2.2过程负责人 (3)
2.3主要输入 (3)
2.4主要输出 (3)
2.5职责权限 (4)
2.6过程重要控制点 (4)
2.7过程测量指标 (4)
3术语 (4)
4流程 (5)
5过程描述 (5)
5.1需求识别和分析 (5)
5.2确定安全实施范围 (6)
5.3信息安全风险评估 (6)
5.4设计安全规范 (6)
5.5实施安全规范 (6)
5.6监控安全状况 (7)
5.7维护安全规范 (7)
5.8信息安全报告 (7)
6相关文件 (7)
7记录 (8)
8附加说明 (8)
9 文件历史记录 (8)
1目的
本程序的目的是在客户服务工作中有效管理信息安全。
•满足信息系统集成、软件运维项目运行和客户服务中的安全性需求以及合同、法律和外部政策等外部要求;
•提供一个满足需求的基本的信息系统安全基线;
•确保有效的信息安全措施在公司、系统集成部和服务人员三个层面都得到贯彻。
2过程定义
安全管理是顺应信息安全的需要而产生的,其主要目标是确保信息的安全性。
安全管理致力于确保服务的安全性在任何时候都能达到与客户约定的级别。
安全性在服务中被视为可用性管理的一部分。
安全管理已经成为现代服务管理中一个重要的问题。
安全性是指不易遭到已知风险的侵袭,并且尽可能地规避未知风险的性能。
提供这种性能的工具是安全措施。
安全措施的目标是要保护信息的价值,这种价值取决于机密性、完整性和可用性三个方面。
2.1范围
本程序适用于信息管理系统客户服务覆盖的所有部门。
2.2过程负责人
安全管理负责人
2.3主要输入
2.4主要输出
2.5职责权限
安全管理负责人负责整个安全管理流程的有效运作。
安全管理负责人职责:
1)监控安全管理流程;
2)根据组织安全需求,开发与维护安全计划;
3)处理与安全相关的问题和事件;
4)确保满足SLA中指定的安全需求;
5)完成包含流程结果,自评估及内部审计的信息安全风险评估报告;
6)人员组成:信息安全员管理员、部门经理等。
2.6过程重要控制点
风险评估报告。
信息安全管理规范。
安全事件记录。
2.7过程测量指标
安全事件次数。
3术语
5过程描述
信息安全活动划分为三个部分,包括规划、实施和监控。
规划包括需求识别和分析、确定安全实施范围、信息安全风险评估、安全规范设计;实施包括安全规范实施;监控包括安全状况监控、维护安全规范、信息安全报告。
5.1需求识别和分析
根据服务级别协议中签订的关于安全的详细说明,确定安全需求并进行分析。
服务级别协议中应该定义安全需求,在可能的情况下还应该以可测度的术语进行定义。
该协议的安全部分应当确保客户所有的安全需求和标准能够实现,并且实现的结果能够进行明确的验证。
需求识别的范围包括人员安全、数据安全、机房环境、设备安全、系统安全等的安全需求。
5.2确定安全实施范围
根据安全需求的识别情况确定安全实施范围。
安全实施范围包括列为相应安全等级的数据、人员、机房、设备、系统等。
5.3信息安全风险评估
服务管理人员根据确定的安全实施范围进行风险分析与评估工作,并提交风险分析与评估报告。
风险评估包括识别安全实施范围内的资产状况、资产面临的威胁,现在使用的技术方法和管理规范,并进行总体分析得出风险的等级,编制《风险评估报告》。
5.4设计安全规范
根据《风险评估报告》,服务负责人制定和编写《信息安全管理规范》。
并根据信息安全规范制定信息安全策略、针对个人的保密协议、岗位职责说明、机房管理制度。
5.5实施安全规范
在设计好安全规范后,日常需按照安全规范来实施安全管理。
1)在人员安全方面的实施:
职位说明中的任务和职责;
安全防护;
针对个人的保密协议;
2)责任划分的实施,以及岗位分离的实施;
3)书面的操作指示,内部规章;
4)安全问题涉及整个生命周期,应针对系统开发、测试、验收、运营、维护和终止制定安全指南;
5)将开发和测试环境与实际的运营环境分离开来;
6)处理事件的程序(由事件管理负责处理);
7)恢复设施的实施;
8)为变更管理提供信息输入,病毒防护措施的实施;
9)针对计算机、操作系统、应用系统、数据、网络和网络服务的安全管理措施的实施;
10)数据媒介的处理和安全。
5.6监控安全状况
对安全规范实施进行监控,在工作周报、服务月报中体现。
对发生的信息安全事件按照《事件管理程序》执行。
5.7维护安全规范
服务管理人员根据系统运行及客户服务的风险变化,必要时对《信息安全管理规范》进行修改。
由于基础架构、组织和业务流程方面的变化导致相关的风险也随着发生变化,因此安全也需要进行维护。
安全维护包括服务级别协议中安全部分的维护以及详细的安全规范的维护。
维护需要根据评估子系统流程的结果以及对风险变化的评估结果进行。
这些建议既可以直接被计划子流程所采纳,也可以纳入总体的服务级别协议的维护中。
安全规范更新通过变更管理实施,参照《变更管理程序》。
5.8信息安全报告
信息管理负责人根据信息安全管理的实施状况及日常发生的安全事件等,每季一次巡检,如发生信息安全事件则编写《信息安全服务报告》。
报告可以提供有关已实现安全绩效方面的信息,并可以了解有关的安全问题。
正确地了解有关努力(如安全措施的实施)所取得的效率以及实际被采用的安全措施。
还需要了解所有的安全事件。
为报告服务级别协议中定义的安全事件,可通过服务级别管理负责人、事件管理负责人或安全管理负责人与部门经理直接的沟通渠道。
除了在特殊情形下的例外事项,报告都是通过服务级别管理负责人进行传达的。
根据信息安全管理需要报告信息安全的实施情况,并提交给《服务报告》中。
参照《服务报告管理程序》。
6相关文件
《服务报告管理程序》XX-ITSMS-QP-15
《事件管理程序》XX-ITSMS-QP-01
《变更管理程序》XX-ITSMS-QP-03
7记录
《风险评估报告》XX-ITSMS-QR-20-01
《信息安全服务报告》XX-ITSMS-QR-20-02 《信息安全管理规范》XX-ITSMS-QR-20-03 8附加说明
本程序归口部门:系统集成部
本程序起草部门:系统集成部
本程序审核人:
本程序批准人:
9文件历史记录。