信息安全管理程序（ISO20000-1：2018）

信息安全管理程序目的本程序的目的是在客戶服務(wù)工作中有效管理信息安全。滿足信息系統(tǒng)集成、軟件運(yùn)維項(xiàng)目運(yùn)行和客戶服務(wù)中的安全性需求以及合同、法律和外部政策等外部要求；提供一個(gè)滿足需求的基本的信息系統(tǒng)安全基線；確保有效的信息安全措施在公司、系統(tǒng)集成部和服務(wù)人員三個(gè)層面都得到貫徹。過程定義安全管理是順應(yīng)信息安全的需要而產(chǎn)生的，其主要目標(biāo)是確保信息的安全性。安全管理致力于確保服務(wù)的安全性在任何時(shí)候都能達(dá)到與客戶約定的級(jí)別。安全性在服務(wù)中被視為可用性管理的一部分。安全管理已經(jīng)成為現(xiàn)代服務(wù)管理中一個(gè)重要的問題。安全性是指不易遭到已知風(fēng)險(xiǎn)的侵襲，并且盡可能地規(guī)避未知風(fēng)險(xiǎn)的性能。提供這種性能的工具是安全措施。安全措施的目標(biāo)是要保護(hù)信息的價(jià)值，這種價(jià)值取決于機(jī)密性、完整性和可用性三個(gè)方面。2.1范圍本程序適用于信息管理系統(tǒng)客戶服務(wù)覆蓋的所有部門。2.2過程負(fù)責(zé)人安全管理負(fù)責(zé)人2.3主要輸入輸入來源服務(wù)級(jí)別需求服務(wù)級(jí)別協(xié)議。配置管理系統(tǒng)的配置項(xiàng)，記錄和報(bào)告配置。2.4主要輸出輸出去向風(fēng)險(xiǎn)評(píng)估報(bào)告信息安全管理負(fù)責(zé)人、部門經(jīng)理。信息安全規(guī)范信息安全管理負(fù)責(zé)人、部門經(jīng)理。變更管理服務(wù)實(shí)施過程中，服務(wù)交付過程的主要步驟。服務(wù)報(bào)告管理服務(wù)實(shí)施過程中，服務(wù)交付過程的主要步驟。2.5職責(zé)權(quán)限安全管理負(fù)責(zé)人負(fù)責(zé)整個(gè)安全管理流程的有效運(yùn)作。安全管理負(fù)責(zé)人職責(zé)：監(jiān)控安全管理流程；根據(jù)組織安全需求，開發(fā)與維護(hù)安全計(jì)劃；處理與安全相關(guān)的問題和事件；確保滿足SLA中指定的安全需求；完成包含流程結(jié)果，自評(píng)估及內(nèi)部審計(jì)的信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告；人員組成：信息安全員管理員、部門經(jīng)理等。2.6過程重要控制點(diǎn)風(fēng)險(xiǎn)評(píng)估報(bào)告。信息安全管理規(guī)范。安全事件記錄。2.7過程測(cè)量指標(biāo)安全事件次數(shù)。術(shù)語術(shù)語定義機(jī)密性指保護(hù)信息免受未經(jīng)授權(quán)的訪問和使用。完整性指信息的準(zhǔn)確性、完全性和及時(shí)性。可用性是信息在任何約定的時(shí)間內(nèi)都可以被訪問。這取決于由信息處理系統(tǒng)所提供的持續(xù)性。流程過程描述信息安全活動(dòng)劃分為三個(gè)部分，包括規(guī)劃、實(shí)施和監(jiān)控。規(guī)劃包括需求識(shí)別和分析、確定安全實(shí)施范圍、信息安全風(fēng)險(xiǎn)評(píng)估、安全規(guī)范設(shè)計(jì)；實(shí)施包括安全規(guī)范實(shí)施；監(jiān)控包括安全狀況監(jiān)控、維護(hù)安全規(guī)范、信息安全報(bào)告。5.1需求識(shí)別和分析根據(jù)服務(wù)級(jí)別協(xié)議中簽訂的關(guān)于安全的詳細(xì)說明，確定安全需求并進(jìn)行分析。服務(wù)級(jí)別協(xié)議中應(yīng)該定義安全需求，在可能的情況下還應(yīng)該以可測(cè)度的術(shù)語進(jìn)行定義。該協(xié)議的安全部分應(yīng)當(dāng)確?？蛻羲械陌踩枨蠛蜆?biāo)準(zhǔn)能夠?qū)崿F(xiàn)，并且實(shí)現(xiàn)的結(jié)果能夠進(jìn)行明確的驗(yàn)證。需求識(shí)別的范圍包括人員安全、數(shù)據(jù)安全、機(jī)房環(huán)境、設(shè)備安全、系統(tǒng)安全等的安全需求。5.2確定安全實(shí)施范圍根據(jù)安全需求的識(shí)別情況確定安全實(shí)施范圍。安全實(shí)施范圍包括列為相應(yīng)安全等級(jí)的數(shù)據(jù)、人員、機(jī)房、設(shè)備、系統(tǒng)等。5.3信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)管理人員根據(jù)確定的安全實(shí)施范圍進(jìn)行風(fēng)險(xiǎn)分析與評(píng)估工作，并提交風(fēng)險(xiǎn)分析與評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估包括識(shí)別安全實(shí)施范圍內(nèi)的資產(chǎn)狀況、資產(chǎn)面臨的威脅，現(xiàn)在使用的技術(shù)方法和管理規(guī)范，并進(jìn)行總體分析得出風(fēng)險(xiǎn)的等級(jí)，編制《風(fēng)險(xiǎn)評(píng)估報(bào)告》。5.4設(shè)計(jì)安全規(guī)范根據(jù)《風(fēng)險(xiǎn)評(píng)估報(bào)告》，服務(wù)負(fù)責(zé)人制定和編寫《信息安全管理規(guī)范》。并根據(jù)信息安全規(guī)范制定信息安全策略、針對(duì)個(gè)人的保密協(xié)議、崗位職責(zé)說明、機(jī)房管理制度。5.5實(shí)施安全規(guī)范在設(shè)計(jì)好安全規(guī)范后，日常需按照安全規(guī)范來實(shí)施安全管理。在人員安全方面的實(shí)施：職位說明中的任務(wù)和職責(zé)；安全防護(hù)；針對(duì)個(gè)人的保密協(xié)議；責(zé)任劃分的實(shí)施，以及崗位分離的實(shí)施；書面的操作指示，內(nèi)部規(guī)章；安全問題涉及整個(gè)生命周期，應(yīng)針對(duì)系統(tǒng)開發(fā)、測(cè)試、驗(yàn)收、運(yùn)營(yíng)、維護(hù)和終止制定安全指南；將開發(fā)和測(cè)試環(huán)境與實(shí)際的運(yùn)營(yíng)環(huán)境分離開來；處理事件的程序（由事件管理負(fù)責(zé)處理）；恢復(fù)設(shè)施的實(shí)施；為變更管理提供信息輸入，病毒防護(hù)措施的實(shí)施；針對(duì)計(jì)算機(jī)、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的安全管理措施的實(shí)施；數(shù)據(jù)媒介的處理和安全。5.6監(jiān)控安全狀況對(duì)安全規(guī)范實(shí)施進(jìn)行監(jiān)控，在工作周報(bào)、服務(wù)月報(bào)中體現(xiàn)。對(duì)發(fā)生的信息安全事件按照《事件管理程序》執(zhí)行。5.7維護(hù)安全規(guī)范服務(wù)管理人員根據(jù)系統(tǒng)運(yùn)行及客戶服務(wù)的風(fēng)險(xiǎn)變化，必要時(shí)對(duì)《信息安全管理規(guī)范》進(jìn)行修改。由于基礎(chǔ)架構(gòu)、組織和業(yè)務(wù)流程方面的變化導(dǎo)致相關(guān)的風(fēng)險(xiǎn)也隨著發(fā)生變化，因此安全也需要進(jìn)行維護(hù)。安全維護(hù)包括服務(wù)級(jí)別協(xié)議中安全部分的維護(hù)以及詳細(xì)的安全規(guī)范的維護(hù)。維護(hù)需要根據(jù)評(píng)估子系統(tǒng)流程的結(jié)果以及對(duì)風(fēng)險(xiǎn)變化的評(píng)估結(jié)果進(jìn)行。這些建議既可以直接被計(jì)劃子流程所采納，也可以納入總體的服務(wù)級(jí)別協(xié)議的維護(hù)中。安全規(guī)范更新通過變更管理實(shí)施,參照《變更管理程序》。5.8信息安全報(bào)告信息管理負(fù)責(zé)人根據(jù)信息安全管理的實(shí)施狀況及日常發(fā)生的安全事件等，每季一次巡檢，如發(fā)生信息安全事件則編寫《信息安全服務(wù)報(bào)告》。報(bào)告可以提供有關(guān)已實(shí)現(xiàn)安全績(jī)效方面的信息，并可以了解有關(guān)的安全問題。正確地了解有關(guān)努力（如安全措施的實(shí)施）所取得的效率以及實(shí)際被采用的安全措施。還需要了解所有的安全事件。為報(bào)告服務(wù)級(jí)別協(xié)議中定義的安全事件，可通過服務(wù)級(jí)別管理負(fù)責(zé)人、事件管理負(fù)責(zé)人或安全管理負(fù)責(zé)人與部門經(jīng)理直接的溝通渠道。除了在特殊情形下的例外事項(xiàng)，報(bào)告都是通過服務(wù)級(jí)別管理負(fù)責(zé)人進(jìn)行傳達(dá)的。根據(jù)信息安全管理需要報(bào)告信息安全的實(shí)施情況，并提交給《服務(wù)報(bào)告》中。參照《服務(wù)報(bào)告管理程序》。相關(guān)文件《服務(wù)報(bào)告管理程序》XX-ITSMS-QP-15《事件管理程序》XX-ITSMS-QP-01《變更管理程序》XX-