信息安全管理程序.docx

XX有限公司编制XX审核XX批准信息安全管理程序受控类型副本号编号ITSMS-B-IO版本AO生效日期2022-1-2页码0/3文件分发范围受件单位或个人分发号受件部门或个人分发号受件部门或个人分发号总经理01品检部03财务部09生产部02行政部04仓库05外销部06管理者代表07采购部08更改记录修订次实施日期页码更改内容及说明编制审核批准满足SLA中的安全性需求以及合同、法律和外部政策等的要求。2适用范围适用于公司提供IT服务的部门，以及与信息安全和风险防范有关的活动的管理。3术语表1 .可用性：2 .需要时，被授权的使用者能够访问和使用相关资产。3 .保密性：4 .信息不被未授权的个人、实体、流程访问或泄漏。5 .完整性：6 .保护资产的准确和完整。7 .信息安全：8 .保护信息的保密性、完整性、可用性及其他属性。9 .信息安全事件：10 .识别系统、服务或网络状态发生的事件其违背了信息安全策略，或使安全措施失效，或以前未知的与安全相关的情况。IL信息安全事故：12 .单个或一系列的意外信息安全事件可能严重影响业务运作并威胁信息安全。13 .风险：14 .特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性。15 .风险评估：对信息和信息处理设施的威胁、影响和脆弱性及三者发生的可能性评估。4引用文件1US0/IEC20000-1:20102H服务管理手册5职责5.1信息安全管理责任部门负责制订信息安全策略和方针，组织建立、改进信息安全管理体系。5.2信息管理部负责组织建立信息安全管理制度和方法，计划、实施信息安全要求，监控、报告和响应信息安全事件。负责协助处理信息安全事件，制订信息安全解决方案，组织评价变更对信息安全的影响，参与信息安全管理的改进。6具体内容6.1组织制订信息安全策略信息管理部根据IT服务工作的特点收集相应的信息安全需求。根据公司的业务需求，管理者代表组织相关部门根据服务级别协议（SLA）的要求，对信息安全的要求进行讨论，制订公司信息安全管理规范，经管理者代表批准后发放相关部门。其中应包括：a.信息安全活动的总方向及总则框架。b.信息安全管理的范围、目标、策略和要求。c.安全的职能和职责。d.风险评价标准。e.分析客户安全需求信息管理部根据与客户签订的SLA中的信息安全要求以及客户系统运行的特点，分析客户信息系统的安全要求，制定信息安全管理计划。识别信息安全风险，识别风险时应考虑：1 风险发生可能带来的业务影响和后果。2 风险发生的现实可能性。3 资产的主要威胁、脆弱点和影响以及已经实施的安全控制措施。4 根据可接受风险的准则，判断风险的处理办法。6.2 信息管理部根据所识别的风险，制订相关的信息安全管理计划，经批准后执行。其中应明确：技术要求（物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复），管理要求（安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理）。6.3 运行监控6.3.1信息管理部根据项目策划书中风险处置计划的内容实施和检测控制措施，开展信息安全管理的活动，以达到安全控制的目标。6.3.2信息管理部负责信息安全系统日常的运行监控，检查与信息安全有关的活动是否满足SLA的要求。如不符合要求，则制定服务改进计划。6.3.3行政人事部根据项目策划书中的安全意识要求安排培训，对与信息安全相关的人员实施安全培训I。6.4实施信息安全评估6.4.1所有信息安全管理过程中的改进结果，由行政人事部具体组织实施，验证，并监控改进的实施。6. 4. 2信息管理部按照项目策划书12345中的规定，进行信息安全评估，确保：及时检测过程结果中的错误。及时识别失败的和成功的安全违规和事故。监控安全活动是否按期望实施。使用通知提示帮助检测安全事件。确定解决安全违规的行动是否有效。7.相关文件:NO.文件名称文件编号1文件和记录控制程序ITSMS-B-Ol28.O相关记录:NO记录名称表单编号保存期记录保存部门1风险评估报告ITSMS-D-0313年体系办