Xxx有限公司ISO20000 体系文件信息安全管理手册文档信息文档编号:ITSM-02-IS-01文档名称:信息安全管理规范起草人:审核人:批准人:生效日期:发布范围:版本记录版本号版本日期修改修改章节修改记录目录1 目的和范围 41.1 编写目的 41.2 适用范围 42 制定依据 43 术语定义 44 流程角色及职责 55 具体条款 75.1 信息安全政策 75.1.1 信息安全方针 75.1.2 信息安全风险评估 85.1.3 信息安全内审 85.1.4 信息安全外审 85.2 信息安全措施 85.2.1 资产分类和保护 85.2.2 人力资源安全 85.2.3 物理与环境安全 95.2.4 通讯和操作安全 95.2.5 访问控制 105.2.6 法律法规符合性 105.3 信息安全事件 116 相关文件与记录 111 目的和范1.1 编写目的本文件编写的目的是为了规范信息安全管理流程的相关策略及活动,确保信 息安全管理流程的执行质量和执行有效性1.2本文档适用于 xxx 有限公司技术中心的运维及 IT 服务部(以下简称“运维 及 IT 服务部”),本文档所规定的 IT 服务是指运维及 IT 服务部为公司研发部门 所提供的IT服务。
2 制定依据ISO/IEC 20000-1:20113 术语定义本文档采用《ITSM标准术语表》中的定义4 流程角色及职责4.1 相关流程信息安全管理注:信息安全经理,属二技术中心,由运维及珂朋各部资深信息安全专家担任4.2 流程活动说明编 码活动责任人说明01需求识别与评估信息安全 经理根据新应用/服务系统上线、信息安全管理回顾发起需 求识别与评估02发起信息安全风险信息安全 经理根据现有状态,分析信息安全相关风险03信息安全满足业务需 求信息安全 经理根据分析结果,判断当刖信息安全规范是否能够满足 业务需求04制定/更新信息安全规范信息安全 经理根据业务对信息安规范要求,制定和更新信息安全 规范计划05信息安全规氾是否需 要实施信息安全 经理计划制定完成后,根据计划要求判断是否需要实施 确认需要实施进入变更流程06是否满足业务需求信息安全 经理检查实施结果确认是否达到计划要求,满足业务需求O具体流程角色与运维及IT服务部相关岗位/人员的对应关系请参见三级文件《信息安全管理策略》5 具体条款5.1 信息安全政策5.1.1 信息安全方针安全管理、风险控制、内控外防、快速响应保护信息系统的物理环境、系统软硬件和信息资源,增强信息系统的安全预 警能力、保护能力、检测能力及应急处置能力,确保信息系统的安全;a) 增强内部信息安全综合治理能力,实现安全风险可控制、内部操作可审计、措施执行可度量;b) 确保重要业务数据的保密性和完整性,降低信息系统的故障率,提高灾难恢 复能力,保证各项业务系统的可持续运行;c) 提高公司信息技术人员的安全思想意识、安全专业素质以及安全管理水平, 确保信息技术人员具备与其岗位要求相应的能力。
5.1.2 信息安全风险评估口 频率:至少每年一次;口范围:所有系统;口目标:确认系统的安全性、找出系统漏洞、对漏洞进行修复5.1.3 信息安全内审口每年进行信息安全的内部审核5.1.4信息安全外审口重要业务系统通过等保测评,并在网监进行备案5.2 信息安全措施5.2.1 资产分类和保护应明确运维及 IT 服务部所有重要信息资产的所有者,所有者要确保资产受 到合适的保护信息安全经理应根据信息资产的价值、法规要求、敏感度和对组织的重用程 度不同对其进行分类,不同级别的信息资产要有适合其相应安全保护要求的控制 措施5.2.2 人力资源安全建立并将信息安全相关的控制贯穿于运维及 IT 服务部的人力资源管理中, 对于关键岗位需要建立相关的安全监督机制;确保员工、合同方和第三方人员在 雇佣前、雇佣中或离职以及雇佣关系变更时都以一种有序的方式进行应根据运维及 IT 服务部的信息安全管理要求明确定义员工、第三方人员的 安全角色和责任,并记录在职责描述中;并且根据相关的职责,制定相关的信息 安全基本行为准则和安全操作准则对所有员工、第三方人员要开展合适的安全意识培训和教育,确保其了解运 维及 IT 服务部的信息安全管理规范,以减少人为错误、偷窃、欺诈及滥用设施 所带来的安全风险。
如果出现了任何违反信息安全政策的行为并造成损失的,要 依照运维及IT服务部规定和国家相关的法律法规进行处罚5.2.3 物理与环境安全信息资产在物理上应有访问控制和保护,防止偷窃、滥用、损坏或未经授权 的访问;办公场所要满足相关的常规安全要求,在物理上应有访问控制和保护5.2.4 通讯和操作安全网络自身的设计、构建和使用应满足安全控制的要求,并部署必要的基于网 络的安全技术和手段网络设备在运行维护过程中应严格遵照安全技术规范和操作管理规范,所有 网络设备接入、配置变更、设备废弃或更换应遵循变更流程,所有变更实施过程 都必须记录在案针对运维及 IT 服务部目前所维护的所有基础设施及信息系统必须制定相应 的安全技术规范和操作管理规范,通过对日常操作的管理、备份管理、信息交换 过程的控制以及系统的规划验收等措施,确保运维及IT服务部信息处理设施的 正确和安全操作明确针对第三方组织人员的信息安全管理要求,建立相应的安全控制措施 应保障存储介质使用和保管的安全废弃的存储介质应确保被安全销毁,其 中存储的敏感信息被彻底消除或覆盖,不会造成信息泄漏将任何含有敏感信息 的信息系统设备或存储介质带到集团和运维及IT服务部以外之前必须得到授 权,并保障其处于妥善保管和安全控制之中。
5.2.5 访问控制基础设施及信息系统都必须具备访问控制机制,防止未经授权的访问和信息 泄漏对信息系统的访问授权,不能超过员工工作所需的范围,以减少信息被滥用 的风险建立完善的用户访问管理规范,引入用户帐号的创建、重设、变更、删除、 维护、定期审核和用户口令管理的管理规范,确保用户帐号的安全使用建立完善运维及IT服务部网络以及和其它组织的网络之间存在必要的接口 的访问控制,对用户和网络设备具备必要的访问授权机制,以及对用户访问信息 服务的行为进行有效控制确保信息系统、基础设施具备必要的访问授权机制,以及对用户访问信息服 务的行为进行有效控制建立移动计算和远程工作的访问授权机制,确保在使用移动计算和远程工作 设备时信息的安全5.2.6 法律法规符合性运维及IT服务部的信息安全管理必须遵守运维及IT服务部信息安全管理要 求、相关的国家法律法规、行业规范和组织的相关规定必须建立相关的管理规范以确保遵守版权和知识产权方面的法律法规和合 同条款运维及IT服务部一定要监控基础设施及信息系统并记录信息安全事件、操 作日志和违例日志,定期审计日志,检查安全控制的有效性和安全政策的遵守程 度,并查处安全违例事件。
维及IT服务部必须建立并实施相关的定期审核机制,以确保相关系统符合 安全方针和标准5.3 信息安全事件发现安全事件(安全事件包括安全事故和可疑的安全漏洞),员工应立即按 照事件管理要求进行处理和报告信息安全经理应负责协调信息安全事件的处理,安全事件必须及时报告、处 理、调查、上报并修正,并且有事后的回顾,以吸取经验教训,避免以后再发生 同类型的事件,把损失降到最小参照《事件与服务请求流程》注此处提到的信息安全事件指的是数据泄露事件6 相关文件与记录口《信息安全相关文档》口 《信息安全管理策略》。