信息安全管理程序_第1頁
信息安全管理程序_第2頁
信息安全管理程序_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

信息安全管理程序目的本程序的目的是在所有服務(wù)活動中有效管理信息安全。滿足服務(wù)級別協(xié)議中的安全性需求以及合同、法律和外部政策等外部要求;提供一個獨立于外部需求的基本的信息系統(tǒng)安全基線;確保有效的信息安全措施在戰(zhàn)略層、戰(zhàn)術(shù)層和運營層三個層面都得到貫徹。范圍本程序適用于公司運維項目的信息安全管理。定義安全性在IT服務(wù)中被視為可用性管理的一部分。安全管理已經(jīng)成為現(xiàn)代IT服務(wù)管理中一個重要的問題。安全性是指不易遭到已知風(fēng)險的侵襲,并且盡可能地規(guī)避未知風(fēng)險的性能。提供這種性能的工具是安全措施。安全措施的目標(biāo)是要保護信息的價值,這種價值取決于機密性、完整性和可用性三個方面。機密性指保護信息免受未經(jīng)授權(quán)的訪問和使用。完整性指信息的準(zhǔn)確性、完全性和及時性??捎眯允切畔⒃谌魏渭s定的時間內(nèi)都可以被訪問。這取決于由信息處理系統(tǒng)所提供的持續(xù)性。職責(zé)軟件產(chǎn)品研發(fā)部:根據(jù)組織安全需求,開發(fā)與維護信息安全計劃處理與安全相關(guān)的問題和事件確保滿足SLA中指定的安全需求完成包含流程結(jié)果,自評估及內(nèi)部審計相關(guān)內(nèi)容的報告流程輸入SLA中的安全內(nèi)容定義了用戶關(guān)于安全的詳細(xì)說明安全政策:安全政策定義了組織層面的安全要求。外部需求:當(dāng)組織與外部資源相互作用時,需要滿足外部對安全的需求輸出日常安全計劃:是所有流程實施的組成部分異常報告:記錄需要采取特定安全措施的異常情況流程活動:5.1計劃5.1.1計劃包括在與服務(wù)級別管理磋商后制定服務(wù)級別協(xié)議中的安全部分,以及與安全相關(guān)的支撐合同中的活動。5.1.2計劃不僅接收來自服務(wù)級別協(xié)議的信息而且還有來自公司的信息安全策略要求,例如:“每個用戶的身份必須可以唯一識別”和“在任何時候必須為客戶提供一個基本的安全級別”。5.1.3服務(wù)級別協(xié)議中的安全部分應(yīng)當(dāng)確??蛻羲械陌踩枨蠛蜆?biāo)準(zhǔn)能夠?qū)崿F(xiàn),并且實現(xiàn)的結(jié)果能夠進行明確的驗證。5.1.4結(jié)合項目實際情況對項目進行信息安全風(fēng)險評估,并針對高風(fēng)險制定應(yīng)對措施,形成運維服務(wù)項目的《信息安全風(fēng)險評估與處置表》。5.2實施5.2.1實施計劃中規(guī)定的所有安全措施。可包括以下內(nèi)容:責(zé)任劃分的實施,以及崗位分離的實施;處理事件的流程;恢復(fù)設(shè)施的實施;針對服務(wù)器、計算機、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的管理措施的實施;訪問和訪問控制政策的實施;針對計算機系統(tǒng)、工作站和連接在網(wǎng)絡(luò)上的計算機的身份識別和驗證措施的實施。5.3評估5.3.1對安全措施的實施結(jié)果進行獨立的評估是非常重要的。5.3.2評估結(jié)果可用來更新與客戶協(xié)商約定的安全措施,也可用于改進它們的實施效果。5.3.3根據(jù)評估的結(jié)果還可以建議實施某些變更,在這種情況下可以制作一項變更請求并提交給變更管理流程。5.3.4評估的主要活動包括:核實遵循安全政策的情況以及安全計劃的實施情況;對IT系統(tǒng)實施安全審計;找出對IT資源的不正確的使用,并作出相應(yīng)的處理;承擔(dān)其它IT審計的安全方面。5.4維護5.4.1由于IT基礎(chǔ)架構(gòu)、組織和業(yè)務(wù)流程方面的變化導(dǎo)致相關(guān)的風(fēng)險也隨著發(fā)生變化,因此安全也需要進行維護。5.4.2安全維護包括服務(wù)級別協(xié)議中安全部分的維護以及詳細(xì)的安全計劃的維護。5.4.3維護需要根據(jù)評估的結(jié)果以及對風(fēng)險變化的評估結(jié)果進行。這些建議既可以直接被計劃子流程所采納,也可以納入總體的服務(wù)級別協(xié)議的維護中。5.5報告5.5.1報告可以提供有關(guān)已實現(xiàn)安全績效方面的信息,并可以讓客戶了解有關(guān)的安全問題。這些報告通常是在與客戶簽訂的協(xié)議中所要求的。5.5.2客戶還需要了解所有的信息安全事件,針對發(fā)生的信息安全事件,應(yīng)在事件報告的同時向客戶單獨報告。5.5.3為了報告服務(wù)級別協(xié)議中定義的安全事件,可通過項目經(jīng)理與客戶代表建立直接的溝通渠道。5.5.4

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論