ITSMS-B-10信息安全管理程序(ISO20000)_第1頁
ITSMS-B-10信息安全管理程序(ISO20000)_第2頁
ITSMS-B-10信息安全管理程序(ISO20000)_第3頁
ITSMS-B-10信息安全管理程序(ISO20000)_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

信息安全管理程序文件編號:ITSMS-B-10版本:A/0頁碼:第1頁共4頁版本更改履歷制訂/修訂審批生效日期A/0新版編制審核批準日期20XX-01-02日期20XX-01-02日期20XX-01-02分發(fā)欄:⑴市場中心⑵項目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計劃部⑾生產(chǎn)中心1目的滿足SLA中的安全性需求以及合同、法律和外部政策等的要求。2適用范圍適用于公司提供IT服務(wù)的部門,以及與信息安全和風(fēng)險防范有關(guān)的活動的管理。3術(shù)語表可用性:需要時,被授權(quán)的使用者能夠訪問和使用相關(guān)資產(chǎn)。保密性:信息不被未授權(quán)的個人、實體、流程訪問或泄漏。完整性:保護資產(chǎn)的準確和完整。信息安全:保護信息的保密性、完整性、可用性及其他屬性。信息安全事件:識別系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)發(fā)生的事件其違背了信息安全策略,或使安全措施失效,或以前未知的與安全相關(guān)的情況。信息安全事故:單個或一系列的意外信息安全事件可能嚴重影響業(yè)務(wù)運作并威脅信息安全。風(fēng)險:特定的威脅利用資產(chǎn)的一種或一組薄弱點,導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性。風(fēng)險評估:對信息和信息處理設(shè)施的威脅、影響和脆弱性及三者發(fā)生的可能性評估。4引用文件《ISO/IEC20000-1:2011》《IT服務(wù)管理手冊》5職責5.1信息安全管理責任部門負責制訂信息安全策略和方針,組織建立、改進信息安全管理體系。5.2信息管理部負責組織建立信息安全管理制度和方法,計劃、實施信息安全要求,監(jiān)控、報告和響應(yīng)信息安全事件。負責協(xié)助處理信息安全事件,制訂信息安全解決方案,組織評價變更對信息安全的影響,參與信息安全管理的改進。6具體內(nèi)容6.1組織制訂信息安全策略信息管理部根據(jù)IT服務(wù)工作的特點收集相應(yīng)的信息安全需求。根據(jù)公司的業(yè)務(wù)需求,管理者代表組織相關(guān)部門根據(jù)服務(wù)級別協(xié)議(SLA)的要求,對信息安全的要求進行討論,制訂公司《信息安全管理規(guī)范》,經(jīng)管理者代表批準后發(fā)放相關(guān)部門。其中應(yīng)包括:信息安全活動的總方向及總則框架。信息安全管理的范圍、目標、策略和要求。安全的職能和職責。風(fēng)險評價標準。分析客戶安全需求信息管理部根據(jù)與客戶簽訂的SLA中的信息安全要求以及客戶系統(tǒng)運行的特點,分析客戶信息系統(tǒng)的安全要求,制定信息安全管理計劃。識別信息安全風(fēng)險,識別風(fēng)險時應(yīng)考慮:風(fēng)險發(fā)生可能帶來的業(yè)務(wù)影響和后果。風(fēng)險發(fā)生的現(xiàn)實可能性。資產(chǎn)的主要威脅、脆弱點和影響以及已經(jīng)實施的安全控制措施。根據(jù)可接受風(fēng)險的準則,判斷風(fēng)險的處理辦法。6.2信息管理部根據(jù)所識別的風(fēng)險,制訂相關(guān)的信息安全管理計劃,經(jīng)批準后執(zhí)行。其中應(yīng)明確:技術(shù)要求(物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)),管理要求(安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理)。6.3運行監(jiān)控6.3.1信息管理部根據(jù)《項目策劃書》中風(fēng)險處置計劃的內(nèi)容實施和檢測控制措施,開展信息安全管理的活動,以達到安全控制的目標。6.3.2信息管理部負責信息安全系統(tǒng)日常的運行監(jiān)控,檢查與信息安全有關(guān)的活動是否滿足SLA的要求。如不符合要求,則制定服務(wù)改進計劃。6.3.3行政人事部根據(jù)《項目策劃書》中的安全意識要求安排培訓(xùn),對與信息安全相關(guān)的人員實施安全培訓(xùn)。6.4實施信息安全評估6.4.1所有信息安全管理過程中的改進結(jié)果,由行政人事部具體組織實施,驗證,并監(jiān)控改進的實施。6.4.2信息管理部按照《項目策劃書》中的規(guī)定,進行信息安全評估,確保:及時檢測過程結(jié)果中的錯誤。及時識別失敗的和成功的安全違規(guī)和事故。監(jiān)控安全活動是否按期望實施。使用通知提示幫助檢測安全事件。確定解決安全違規(guī)的行動是否有效。相關(guān)文件:NO.文

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論