ITSS-15-08信息安全管理控制程序

1、信息平安管理控制程序信息平安事件分類表大類小類例子環(huán)境事件自然災害水災、地震、火災等外圍保障設施故障電力故障、外圍網(wǎng)絡故障等資產(chǎn)自身故障自然老化、硬件故障、軟件故障等人為事件內(nèi)部員工有意事件偷竊、有意泄密、故意破壞等內(nèi)部員工無意事件無意泄密、操作失誤等外部人員有意事件偷竊、非授權訪問等外部人員無意事件誤操作、誤訪問等4. 6. 3處理程序4. 6. 3. 1發(fā)現(xiàn)平安事件并報告任何員工發(fā)現(xiàn)信息平安事件（如：公司或客戶系統(tǒng)被未授權人訪問，公司或客戶機密信 息被未授權人更改或刪除，公司或客戶系統(tǒng)與網(wǎng)絡出現(xiàn)異常現(xiàn)象，盜竊，硬件設施被損毀， 文檔資料喪失或其他方面的事件）時，立即向技術部IT服務管理小組

2、報告并填寫信息平安 事件報告。4. 6. 3. 2評估事件類別IT服務管理小組相關人員評估事件的范圍、影響、嚴重性和類別，并初步判斷事件等級 按照分級和分類準那么，填寫信息平安事件報告中的“事件等級”和“事件分 類“。4. 6. 3. 3判斷事件等級和處理IT服務管理小組應充分評估事件類別、性質(zhì)、嚴重程度并對事件等級做出判斷。當事件定義為二、三、四級時，由服務管理小組協(xié)調(diào)相關資源和相關人員，組建信息 平安反響小組，并以積極、負責的態(tài)度為原那么，制定解決方案并及時處理，確保事件對業(yè)務 運行的影響最小化和控制事件的開展和蔓延。當事件定義為一級時，由IT服務管理小組協(xié)調(diào)相關資源和相關人員，組建信息平

3、安應急 小組，通報公司決策層并指定責任人，制定解決方案及時處理，及時向決策層匯報事件處理進 度及情況。在處理事件的過程中必須權衡各種利弊關系，以對業(yè)務運行的最小化影響或損失為原 那么。信息平安反響小組/應急小組相關人員在事件處理完畢后，填寫信息平安事件報告 并通報給IT服務管理小組。4. 6. 3. 4事件解決結果評審IT服務管理小組對事件的處理結果審核，審核不通過時可要求重新處理，同時應該保持經(jīng)常與公司管理層溝通。4. 6. 3. 5事件總結及懲戒處理IT服務管理小組詳細分析整個事件的前因后果，充分總結。協(xié)調(diào)技術部根據(jù)信息平安事 件發(fā)生的類型和嚴重程度執(zhí)行懲戒處理，在處理時應以有責必究為原那

4、么并填在信息平安事 件報告中的“必要的處分“O4. 6. 3. 6判定是否采取糾正措施IT服務管理小組相關人員根據(jù)事件處理情況和事件總結，給出建議或糾正措施，填寫信 息平安事件報告，將信息平安事件報告提交技術部。如要采取新的糾正措施涉及到利用公司資源的，需要相關部門積極配合，必要時還需上 報給公司管理層決定。序號輸入過程步驟輸出12345678服務級別需求、j4信息平安需求識別和 分析、法律法規(guī)的要求確定平安實施范圍F信息平安風險評估4風險評估報告-J、自身需求-、-設計平安規(guī)范信息平安 管理規(guī)范 - 實施平安規(guī)范監(jiān)控平安狀況信息平安事件 記錄 、J維護平安規(guī)范 和信息平安改進變更管理)T信息

5、平安報告服務報告)信息平安管理流程4. 6. 4處分確定4. 6. 4. 1處分種類 口頭警告、書面警告、記過、開除降級、免除或撤消職務減發(fā)績效工資和崗位工資、降低績效工資和崗位工資級數(shù)4. 6. 4. 2違紀種類以下違紀給予口頭警告1） 一個自然月內(nèi)被信息平安管理員平安檢查中發(fā)現(xiàn)違反公司信息平安制度累 計兩次者；2）造成的信息平安事件等級為四級；以下違紀給予書面警告，并可降級降薪、減發(fā)當月基礎工資的8-10%1）累計兩次以上口頭警告者；2）違反機密、信息平安管理規(guī)定，造成的信息平安事件等級為三級；以下違紀給予記過，并可免除或撤消職務、降薪、減發(fā)當月基礎工資的11-30%1）累計兩次以上書面警

6、告者；2）違反機密、信息平安管理規(guī)定，信息平安事件等級為二級；以下違紀給予開除（作違紀解除勞動合同處理）或采取法律訴訟1）累計兩次記過者；2）違反機密、信息平安管理規(guī)定，信息平安事件等級為一級。7關鍵績效指標KPI頻度責任部門目標值計算公式/方法重大信息平安事 件數(shù)量按季度運維部0次重大信息平安事件發(fā)生的次數(shù)目錄 TOC o 1-5 h z 目的3適用范圍3.職責與術語3工作程序3 HYPERLINK l bookmark6 o Current Document 1識別信息平安需求3 HYPERLINK l bookmark8 o Current Document 2資產(chǎn)識別6 HYPERLI

7、NK l bookmark10 o Current Document 3風險評估73. 1風險識別73. 2風險分析及判定73. 3風險評價84風險處置8定期評估和檢查86信息平安事件96. 1信息平安事件分級96. 1. 1分級要素96.L2分級描述96. 2事件分類96.3處理程序106. 3.1發(fā)現(xiàn)平安事件并報告106. 3. 2評估事件類別106. 3. 3判斷事件等級和處理106. 3. 4事件解決結果評審106. 3. 5事件總結及懲戒處理116. 4處分確定116. 4.1處分種類116. 4. 2違紀種類117關鍵績效指標12.相關文件錯誤!未定義書簽。.記錄錯誤味定義書簽。.

8、目的為建立一個適當?shù)男畔⑵桨彩聭B(tài)、信息平安事故、薄弱點和故障報告、反響與處理機 制，減少信息平安事故和故障所造成的損失，采取有效的糾正與預防措施，特制定本程序。.適用范圍適用活動：運維服務過程中的信息平安事故管理相關內(nèi)容。.職責與術語1職責：運維部：牽頭管理信息平安管理。其他部門：按照公司管理制度實施信息平安管理。2術語：信息平安事件是指由于客戶信息資產(chǎn)的可用性、完整性或機密性受損而造成危害 的事件。平安管理是順應信息平安的需要而產(chǎn)生的，其主要目標是確保信息的平安性。平安管理致力于確保服務的平安性在任何時候都能到達與客戶約定的級別。平安性在服務中被視為可用性管理的一局部。平安管理已經(jīng)成為現(xiàn)代服

9、務管理中一個重要的問題。平安性是指不易遭到風險的侵襲，并且盡可能地規(guī)避未知風險的性能。提供 這種性能的工具是平安措施。平安措施的目標是要保護信息的價值，這種價值取決于機密性、完整性和可用性 三個方面。術語定義機密性指保護信息免受未經(jīng)授權的訪問和使用。完整性指信息的準確性、完全性和及時性。可用性是信息在任何約定的時間內(nèi)都可以被訪問，這取決于由信息處理系統(tǒng)所提供 的持續(xù)性。4.工作程序0平安策略(1)平安方針遵循公司“統(tǒng)一規(guī)劃、分級管理、積極防范、人人有責”的原那么，按照公司統(tǒng)一部署, 結合服務/經(jīng)營活動的特點，采取一切必要的措施，加強信息平安體系的建設和推進管理。（2）平安措施和平安規(guī)范公司信息

10、化設備管理：1）嚴禁將公司配發(fā)給員工用于辦公的計算機轉(zhuǎn)借給非公司員工使用，嚴禁利用公司信息化 設備資源為第三方從事兼職工作。2）公司所有硬件服務器統(tǒng)一放置在機房內(nèi)，由專人承當管理職責，專人負責服務器殺毒、 升級、備份。3）非公司技術人員對我單位的設備、系統(tǒng)等進行維修、維護時，必須由公司相關技術人 員現(xiàn)場全程監(jiān)督。計算機設備送外維修，必須經(jīng)過部門負責人批準。4）嚴格遵守計算機設備使用及平安操作規(guī)程和正確的使用方法。任何人不允許私自對信 息化設備進行維修及操作，不得擅自拆卸、更換或破壞信息化設備及其部件。5）計算機的使用部門和個人要保持清潔、平安、良好的計算機設備工作環(huán)境，禁止在計 算機應用環(huán)境中

11、放置易燃易爆、強腐蝕、強磁性等有害計算機設備平安的物品。6）原那么上公司所有終端電腦、服務器都必須設定開機登錄密碼和屏幕保護密碼，對于交 換機、防火墻、路由器等網(wǎng)絡設備也必須設置管理密碼。7）公司所有終端電腦、服務器都必須安裝正版殺毒軟件，公司網(wǎng)絡管理員必須對服務器 進行定期殺毒、病毒庫升級、補丁修復。（3）密碼與權限管理1）密碼設置應具有平安性、保密性，不能使用簡單的代碼和標記。2）密碼是保護系統(tǒng)和數(shù)據(jù)平安的控制代碼，也是保護用戶自身權益的控制代碼。密碼設 置不應是名字、生日、重復、順序、規(guī)律數(shù)字等容易猜想的數(shù)字和字符串；密碼如發(fā)現(xiàn)或懷 疑密碼遺失或泄露應立即修改。3）服務器、防火墻、路由器

12、、交換機等重要設備的管理密碼由公司網(wǎng)絡管理員（不參與 系統(tǒng)開發(fā)和維護的人員）設置和管理，并由密碼設置人員將密碼妥善保存。4）有關密碼授權工作人員調(diào)離崗位，公司網(wǎng)絡管理員應對密碼立即修改或用戶刪除。（4）公司信息平安管理1）公司每一位員工都有保守公司信息平安防止泄密的責任，任何人不得向任何單位或個人 泄露公司技術和商業(yè)機密，如因?qū)W術交流或論文發(fā)表涉及公司技術或商業(yè)機密，應提前向公 司匯報，并在獲取批準同意后，方能認可的形式對外發(fā)布。2）定期對公司重要信息包括軟件代碼進行備份，管理人員實施備份操作時.，必須有兩人在 場，備份完成后，立即交由研發(fā)中心封存保管。3）存放備份數(shù)據(jù)的介質(zhì)包括電腦、U盤、移

13、動硬盤、光盤和紙質(zhì)，所有備份介質(zhì)必須明確標 識備份內(nèi)容和事件，并實行異地存放。4）數(shù)據(jù)恢復前，必須對原環(huán)境的數(shù)據(jù)進行備份，防止有用數(shù)據(jù)的喪失。數(shù)據(jù)恢復過程中， 如果出現(xiàn)問題時由工程中心進行現(xiàn)場技術支持。5）數(shù)據(jù)清理前必須對數(shù)據(jù)進行備份，在確認備份正確后方可進行清理操作。歷次清理前的 備份數(shù)據(jù)要進行定期保存或者永久保存，并確?？梢噪S時使用。數(shù)據(jù)清理的實施應避開業(yè)務 高峰期防止對聯(lián)系業(yè)務運行造成影響。6）非本公司技術人員對本公司的設備、系統(tǒng)等進行維修、維護時，必須由本公司相關技術 人員現(xiàn)場全程監(jiān)督。計算機設備送外維修，須經(jīng)設備管理機構負責人批準。送修前，需將設 備存儲介質(zhì)內(nèi)的應用軟件和數(shù)據(jù)等信息備

14、份后刪除，并進行登記。對修復的設備，設備維修 人員對應設備進行驗收、病毒檢測和登記。7）管理部門應對報廢設備中存有的程序、數(shù)據(jù)資料進行備份后清除，并妥善處理廢棄無用 的資料和介質(zhì)，防止泄密。8）運維服務部負責計算機病毒的防范工作，經(jīng)常進行計算機病毒檢查，發(fā)現(xiàn)病毒及時清除。 （5）運維工程現(xiàn)場/客戶的信息平安管理1）公司每一位員工都有保守客戶信息平安，防止泄密的責任，任何人不得向任何單位或個 人泄密客戶信息。2）各工程經(jīng)理應主動向客戶提出信息平安的管理服務，假設客戶不愿意做，工程經(jīng)理應向客 戶說明利弊，提出合理的信息平安管理服務建議。3）如果為客戶提供的數(shù)據(jù)備份服務，應定期對服務范圍內(nèi)的重要信息

15、進行備份，管理人員 實施備份操作時，必須有兩人在場，備份完成后，立即交由客戶制定的備份管理人員進行保 管。4）存放備份數(shù)據(jù)的介質(zhì)包括電腦、U盤、移動硬盤、光盤和紙質(zhì)等，涉密單位介質(zhì)使用參照 客戶保密要求。5）數(shù)據(jù)恢復前，必須對原環(huán)境的數(shù)據(jù)進行備份，防止有用數(shù)據(jù)的喪失。數(shù)據(jù)恢復后，必須 進行驗證、確認，確保數(shù)據(jù)恢復的完整性和可用性。6）數(shù)據(jù)清理前必須對數(shù)據(jù)進行備份，在確認備份正確后可進行清理操作，歷次清理前的備 份數(shù)據(jù)要定期保存或者永久保存，并確?？梢噪S時使用。數(shù)據(jù)清理的實施應避開業(yè)務高峰期 防止對客戶業(yè)務運行造成影響。7）同意送修的設備，送修前，需將設備存儲介質(zhì)內(nèi)的應用軟件和數(shù)據(jù)等涉及經(jīng)營管理

16、的信 息備份后刪除，并進行登記。對修復的設備，應進行病毒檢測。8）管理部門應對報廢設備中存有的程序、數(shù)據(jù)資料進行備份后清除，并妥善處理廢棄無用 的資料和介質(zhì)，防止泄密。9）嚴禁利用客戶的信息化設備資源為第三方提供服務。10）非客戶授權人員對服務范圍內(nèi)的設備、系統(tǒng)等進行維修、維護時，必須由相關技術人員 現(xiàn)場全程監(jiān)督。計算機設備送外維修，必須經(jīng)過客戶相關負責人批準。11）禁止在計算機應用環(huán)境中放置易燃易爆、強腐蝕、強磁性等有害計算機設備平安的物品。12）客戶的密碼管理需由客戶指定專人進行管理，工程經(jīng)理應建議客戶定期修改并妥善保管。13）涉及系統(tǒng)管理員的服務工程，系統(tǒng)管理員權限由客戶授權。（6）風險

17、識別評估工程經(jīng)理應組織人員主動檢查客戶/公司在信息技術的平安方面所面臨的風險。針對平安要求高，客戶明確運維對象的信息平安屬于我方責任范圍的工程，信息平安評估遵 循信息平安風險評估實施指南。針對客戶明確運維對象的信息平安屬于客戶責任范圍的工程，遵循以下原那么進行列舉檢查表 形式的風險評估：1）主動識別來自法律法規(guī)、行業(yè)規(guī)定、客戶要求（包括服務級別協(xié)議）的平安需求，制定平安措施和平安規(guī)范滿足平安需求；2）制定措施確保服務相關人員遵守客戶現(xiàn)場的平安制度；3）應主動識別服務相關人員可能接觸到的客戶機密和敏感信息，制定措施確保服務相關人 員不會故意或無意泄漏客戶的有價值信息；4）應主動識別服務相關人員在

18、服務過程中可能造成客戶信息的不完整或不可用，制定服務 規(guī)范和相應措施規(guī)避此風險；5）應做到“適當勤奮”，識別出服務相關人員接觸到的客戶信息系統(tǒng)所面臨的物理、人員、 管理、設置等方面的平安風險，告知客戶并提供相應建議；6）進行適度的平安檢查，以確保平安風險和平安事件的暴漏和處理；7）進行全面的信息平安教育，做到信息平安，人人有責；8）主動地進行信息平安方面的評審和改進，確保平安體系的有效。識別信息平安需求識別運行維護過程中應遵守的相關法律法規(guī)，與需方進行溝通和協(xié)商，了解其對運行維 護服務過程的信息平安需求，同時考慮我方的信息平安需求。4. 2資產(chǎn)識別識別出在信息平安管理體系范圍內(nèi)與被評估的業(yè)務運

19、營及信息相關的資產(chǎn)，形成資產(chǎn) 識別清單。資產(chǎn)分類方法如下表:資產(chǎn)分類方法分類例如備注軟件應用軟件：辦公軟件、數(shù)據(jù)庫軟件、工具軟件 系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、開發(fā)系統(tǒng)等 源程序：各種共享源代碼、自行開發(fā)的各種代碼硬件存儲設備：磁帶機、光盤、軟盤、移動硬盤等網(wǎng)絡設備：路由器、網(wǎng)關、交換機等計算機設備：大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等 保障設備：UPS、變電設備、空調(diào)、保險柜、文件柜、門禁、消防設施等 平安設備：防火墻、入侵檢測系統(tǒng)等 其他：打印機、掃描儀、復印機等數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī) 程、報告、用戶手冊、

20、各類紙質(zhì)的文檔等服務網(wǎng)絡服務：各種網(wǎng)絡設備、設施提供的網(wǎng)絡連接服務 信息服務：對外依賴該系統(tǒng)開展的各類服務 辦公服務：為提高效率而開發(fā)的管理信息系統(tǒng)人員掌握重要信息和核心業(yè)務的人員，如管理者代表、體系人員、主機維護主管、網(wǎng)絡維護 主管及運維工程經(jīng)理等4. 3風險評估風險評估過程包括風險識別、風險分析和風險評價。4. 3.1風險識別風險識別是通過識別風險源、影響范圍、事件及其原因和潛在的后果等，形成全面的風 險列表。識別可能發(fā)生的或可能存在的影響系統(tǒng)和組織實現(xiàn)信息平安目標的事件或情況。針對已識別的風險進行確認已經(jīng)存在的控制及管理方法，管理方法包括公司依據(jù)存 在和執(zhí)行的機房環(huán)境、系統(tǒng)平安、網(wǎng)絡平安

21、、應用系統(tǒng)平安等方面的技術控制和管理措 施。對有效的平安措施繼續(xù)保持，以防止不必要的工作和費用，防止平安措施的重復實 施。對確認為不適當?shù)钠桨泊胧藢嵤欠駪蝗∠驅(qū)ζ溥M行修正，或用更合適的安 全措施替代。針對變更對IT基礎架構帶來的影響，應當對原先的防護和控制措施進行重 新的評估，以使當前的控制措施能夠滿足組織的信息平安要求。4. 3. 2風險分析及判定在完成了風險識別以及已有平安措施確認后，將采用適當?shù)姆椒ㄅc工具確定導致安 全事件發(fā)生的可能性。綜合平安事件所作用的資產(chǎn)價值，判斷平安事件造成的損失對組 織的影響，從而判斷風險的等級?？梢砸罁?jù)下表中準那么判斷風險的等級。風險等級劃分表4. 3

22、. 3風險評價等級描述備注高風險發(fā)生對組織信譽嚴重破壞、嚴重影響組織的正常經(jīng)營，影響組織范 圍或一定范圍，經(jīng)濟損失重大、社會影響惡劣。中風險發(fā)生會造成組織一定的經(jīng)濟、生產(chǎn)經(jīng)營或社會影響，但影響面和影 響程度不大。低風險發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段或 簡單手段很快能解決。風險評價是將估計后的風險與給定的風險接受準那么比照，以決定風險的水平并確定 控制風險的優(yōu)先順序。經(jīng)過風險評價，確定該風險是可承受還是需進行處理。風險接受的準那么如下表：等級描述高嚴重不可接受的風險中一般不可接收風險或有條件接受的風險低不需要評審即可接受的風險4. 4風險處置超過可接受風險水平值時可按以

23、下方法進行處理，并形成信息平安風險處置計劃：1）風險降低：采用適當?shù)目刂拼胧┙档惋L險；2）風險接受：假設風險明顯地符合組織的政策與風險承受準那么，可在掌握狀況下客 觀地接受風險造成的后果；3）風險轉(zhuǎn)移：即將相關的營運風險轉(zhuǎn)移至其它機構，如保險公司、第三方服務商;4）對于不可接受的風險，經(jīng)過采取控制措施并實施后，重新評估以確認其風險等 級，確保所采取的控制措施是充分的，直到其風險降至可接受。4. 5定期評估和檢查每年至少一次全面審查風險評估內(nèi)容與狀態(tài)的適應性，以確定是否存在新的風險及是否 需要增加新的控制措施，對發(fā)生以下情況需及時進行風險評估：1）管理層確定有必要時。2）當發(fā)生重大信息平安事故時；3）當新增加服務/資