信息安全管理程序（ISO∕IEC20000-1：2018）

信息安全管理程序1．簡(jiǎn)介目的滿足SLA中的安全性需求以及合同、法律和外部政策等的要求。適用范圍適用于公司提供IT服務(wù)的部門，以及與信息安全和風(fēng)險(xiǎn)防范有關(guān)的活動(dòng)的管理。術(shù)語(yǔ)表可用性：需要時(shí)，被授權(quán)的使用者能夠訪問(wèn)和使用相關(guān)資產(chǎn)。保密性：信息不被未授權(quán)的個(gè)人、實(shí)體、流程訪問(wèn)或泄漏。完整性：保護(hù)資產(chǎn)的準(zhǔn)確和完整。信息安全：保護(hù)信息的保密性、完整性、可用性及其他屬性。信息安全事件：識(shí)別系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)發(fā)生的事件其違背了信息安全策略，或使安全措施失效，或以前未知的與安全相關(guān)的情況。信息安全事故：?jiǎn)蝹€(gè)或一系列的意外信息安全事件可能嚴(yán)重影響業(yè)務(wù)運(yùn)作并威脅信息安全。風(fēng)險(xiǎn)：特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性。風(fēng)險(xiǎn)評(píng)估：對(duì)信息和信息處理設(shè)施的威脅、影響和脆弱性及三者發(fā)生的可能性評(píng)估。引用文件ISO/IEC20000-1：2018《IT服務(wù)管理手冊(cè)》職責(zé)技術(shù)服務(wù)事業(yè)部負(fù)責(zé)制訂信息安全策略和方針，組織建立、改進(jìn)信息安全管理體系。服務(wù)部負(fù)責(zé)組織建立信息安全管理制度和方法，計(jì)劃、實(shí)施信息安全要求，監(jiān)控、報(bào)告和響應(yīng)信息安全事件。負(fù)責(zé)協(xié)助處理信息安全事件，制訂信息安全解決方案，組織評(píng)價(jià)變更對(duì)信息安全的影響，參與信息安全管理的改進(jìn)。

流程圖具體內(nèi)容組織制訂信息安全策略服務(wù)部根據(jù)IT服務(wù)工作的特點(diǎn)收集相應(yīng)的信息安全需求。根據(jù)公司的業(yè)務(wù)需求，在技術(shù)服務(wù)事業(yè)部的安排下，管理者代表組織服務(wù)部、銷售部門、研發(fā)部門根據(jù)服務(wù)級(jí)別協(xié)議（SLA）的要求，對(duì)信息安全的要求進(jìn)行討論，制訂公司《信息安全管理規(guī)范》，經(jīng)管理者代表批準(zhǔn)后發(fā)放相關(guān)部門。其中應(yīng)包括：信息安全活動(dòng)的總方向及總則框架。信息安全管理的范圍、目標(biāo)、策略和要求。安全的職能和職責(zé)。風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)。分析客戶安全需求服務(wù)部根據(jù)與客戶簽訂的SLA中的信息安全要求以及客戶系統(tǒng)運(yùn)行的特點(diǎn)，分析客戶信息系統(tǒng)的安全要求。制定信息安全管理計(jì)劃服務(wù)部負(fù)責(zé)識(shí)別信息安全風(fēng)險(xiǎn)，識(shí)別風(fēng)險(xiǎn)時(shí)應(yīng)考慮：風(fēng)險(xiǎn)發(fā)生可能帶來(lái)的業(yè)務(wù)影響和后果。風(fēng)險(xiǎn)發(fā)生的現(xiàn)實(shí)可能性。資產(chǎn)的主要威脅、脆弱點(diǎn)和影響以及已經(jīng)實(shí)施的安全控制措施。根據(jù)可接受風(fēng)險(xiǎn)的準(zhǔn)則，判斷風(fēng)險(xiǎn)的處理辦法。制定信息安全管理計(jì)劃服務(wù)部根據(jù)所識(shí)別的風(fēng)險(xiǎn)，制訂相關(guān)的信息安全管理計(jì)劃，經(jīng)服務(wù)部批準(zhǔn)后執(zhí)行。其中應(yīng)明確：技術(shù)要求（物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)），管理要求（安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理）。運(yùn)行監(jiān)控服務(wù)部根據(jù)《項(xiàng)目策劃書(shū)》中風(fēng)險(xiǎn)處置計(jì)劃的內(nèi)容實(shí)施和檢測(cè)控制措施，開(kāi)展信息安全管理的活動(dòng)，以達(dá)到安全控制的目標(biāo)。服務(wù)部負(fù)責(zé)信息安全系統(tǒng)日常的運(yùn)行監(jiān)控，檢查與信息安全有關(guān)的活動(dòng)是否滿足SLA的要求。如不符合要求，則制定服務(wù)改進(jìn)計(jì)劃。服務(wù)部根據(jù)《項(xiàng)目策劃書(shū)》中的安全意識(shí)培訓(xùn)安排，對(duì)與信息安全相關(guān)的人員實(shí)施安全培訓(xùn)。實(shí)施信息安全評(píng)估所有信息安全管理過(guò)程中的改進(jìn)結(jié)果，由服務(wù)部具體實(shí)施，服務(wù)部組織驗(yàn)證，并監(jiān)控改進(jìn)的實(shí)施。服務(wù)部按照《項(xiàng)目策劃書(shū)》中的規(guī)定，進(jìn)行信息安全評(píng)估，確保：及時(shí)檢測(cè)過(guò)程結(jié)果中的錯(cuò)誤。及時(shí)識(shí)別失敗的和成功的安全違規(guī)和事故。監(jiān)控安全活動(dòng)是否按期望實(shí)施。使用通知提示幫助檢測(cè)安全事件。確定解決安全違規(guī)的行動(dòng)是否有效。輸出的文件和記錄文件和記錄