信息化安全管理手册.docx

信息化安全管理手册.docx

《信息化安全管理手册.docx》由会员分享，可在线阅读，更多相关《信息化安全管理手册.docx（86页珍藏版）》请在冰点文库上搜索。

信息化安全管理手册

信息化管理务实手册

—安全管理分册

1安全管理业务分类

安全管理属于一级业务，主要包括：

安全防护管理、安全等级保护管理、安全督查管理、安全事件管理等四项业务活动。

一级业务、二级业务、三级业务为网公司信息领域一体化管理要求，四级业务为根据网、省公司信息化管理相关制度，结合信息中心实际管理工作梳理而来，具体分类如下表：

序号

一级业务

二级业务

三级业务

四级业务

流程编号

1

安全管理

安全防护管理

终端安全防护管理

计算机终端AD域请求管理

　2.1

2

安全防护策略请求管理

　2.2

3

计算机终端及外设检查管理

　2.3

4

计算机终端移动介质领用管理

　2.5

5

计算机终端互联网访问管理

　2.4

6

生产计算机终端接入公司综合数据网

　2.7

7

计算机终端账号清理

　2.8

8

计算机终端领用管理

　2.6

9

计算机终端报废管理

　2.9

10

网络安全防护管理

网络安全运行管理

　2.10

11

网络安全维护管理

　2.11

12

网络安全巡检管理

　2.12

13

组织及人员安全管理

信息安全宣贯培训

　2.13

14

重大活动安全保障管理

重大活动信息安全保障服务

　2.14

15

安全等级保护管理

等级保护定级

等级保护定级管理

　2.15

16

等级保护评估

等级保护评估实施管理

　2.16

17

等级保护加固实施

等级保护加固实施管理

　2.17

18

等级保护测评验收

等级保护测评验收管理

　2.18

19

安全督查管理

信息安全检查管理

生产安全监督检查

　2.19

20

涉密安全管理检查

　2.20

21

信息安全风险评估

风险评估与控制

　2.21

22

信息安全事件管理

信息安全事件应急管理

应急预案管理

　2.22

23

应急计划及演练

　2.23

24

信息安全事件应急处理

　2.24

25

信息安全事件报告管理

信息安全事件报告管理

　2.25

26

信息安全事件调查处置管理

信息安全事件调查处置

　2.26

2业务流程

2.1计算机终端AD域请求管理

2.1.1管理流程

序号

流程节点

细节描述

频度

时限

涉及岗位角色

输入/输出

是否有系统支持

所遵循的制度或工作要求

是否需要有作业指导书

备注

1

申请AD域请求

初次申请、注销和变更AD域，填写计算机终端AD域请求申请表

/

/

申请人

输入：

无

输出：

《计算机终端AD域请求申请表》

否

《信息中心ISO27000信息安全管理体系》-终端安全管理程序第6.1.5节接入内网的客户端计算机终端必须使用PKI证书进行身份认证并通过实名制方式登录，不允许使用他人账号,并且应纳入AD域和桌面管理系统统一管理

否

初次申请、注销和变更AD域

2

审批计算机终端AD域请求申请表

审批计算机终端AD域请求申请表

/

/

申请人所在部门负责人

输入：

《计算机终端AD域请求申请表》

输出：

审批意见

否

否

3

发起ITSM服务请求

把计算机终端AD域请求申请表提交信息服务中心办理

/

1小时/个

部门联络员

输入：

《计算机终端AD域请求申请表》

输出：

ITSM工单

是

《计算机终端安全管理办法QCSG-GPG218003-2012》5.4.1.2节5.4.1.2IT客服部门统一分配办公计算机终端名称、计算机终端帐号、用户权限

否

4

实施

1、分配、修改终端名称、帐号、终端用户权限

2、软件、访问策略配置

3、PKI证书发放或回收

4、安全防护策略配置

/

1小时/个

一线支持人员

输入：

ITSM工单

输出：

无

否

否

5

归档、检查

一线支持人员把计算机终端帐号、安全管理策略，用户权限信息记录到申请表并归档，系统管理员进行检查

/

1个工作日

一线支持人员、系统管理员

输入：

ITSM工单

输出：

计算机终端AD域请求备案表、关闭工单

否

否

2.1.2相关输出物

1）《计算机终端AD域请求申请表》

2）《计算机终端AD域请求备案表》

2.1.3输出物来源依据

计算机终端AD域请求管理相关输出物来源参考《计算机终端安全管理办法QCSG-GPG218003-2012》、《ISO27001信息安全管理体系》。

2.2安全防护策略请求管理

2.2.1管理流程

序号

流程节点

细节描述

频度

时限

输入/输出

涉及岗位

是否有系统支持

所遵循的制度或工作要求

是否需要有作业指导书

备注

1

提交安全防护策略请求申请表

提交安全防护策略请求申请表

/

/

输入：

无

输出：

《安全防护策略请求申请表》

申请人

否

《ISO27000信息安全管理体系》-终端安全管理程序第6.1.5节IT运维部门对计算机终端制定并部署统一的安全防护策略和网络准入策略

否

包括：

计算机终端和安全设备的安全防护策略制定、停用、配置变更

2

审批申请内容

审批申请内容

/

/

输入：

《安全防护策略请求申请表》

输出：

审批意见

申请人所在部门负责人

否

否

3

发起ITSM服务请求

把通过审批的申请报服务台，发起ITSM服务请求

/

1个小时

输入：

《安全防护策略请求申请表》

输出：

ITSM服务请求

一线支持人员

是

《信息安全管理办法》8.1访问控制策略制定和管理、《计算机终端安全管理办法QCSG-GPG218003-2012》5.4.1.10节

否

4

审批ITSM服务请求

审批ITSM服务请求

/

1个工作日

输入：

ITSM服务请求

输出：

审批意见

信息安全运行分部信息安全专责

是

否

5

派单

信息安全运行分部信息安全专责派单给运维班组

/

1个小时

输入：

无

输出：

ITSM工单

信息安全运行分部信息安全专责

是

否

6

实施

通知用户、实施并做好登记

/

1个工作日

输入：

ITSM工单

输出：

信息工作票

运维班组人员

否

否

全局性、影响面大和影响业务运行的安全防护策略实施需要走信息工作票流程

7

备案、归档并通知用户

服务台登记备案、归档并通知用户

/

1个工作日

输入：

ITSM工单

输出：

关闭ITSM请求单、关闭信息工作票

服务台

是

否

2.2.2相关输出物

1）《安全防护策略请求申请表》

2）《信息工作票》

2.2.3输出物来源依据

安全防护策略请求管理相关输出物来源参考《信息安全管理办法QCSG-GPG218040-2011》、《计算机终端安全管理办法QCSG-GPG218003-2012》、《ISO27001信息安全管理体系》。

2.3计算机终端及外设安全检查管理

2.3.1管理流程

序号

流程节点

细节描述

频度

时限

涉及岗位角色

输入/输出

是否有系统支持

所遵循的制度或工作要求

是否需要有作业指导书

备注

1

制定终端及外设定期检查计划

制定终端及外设定期检查计划

一次/每年

3个工作日

信息安全专责、信息资产专责

输入：

无

输出：

定期检查计划表、计算机终端及外设巡检表

否

《ISO27001信息安全管理体系》-终端安全管理程序第6章6.1.5计算机终端安全防护

否

计算机终端及外设范围：

属于内部资产的办公计算机及外设。

2

终端及外设检查

1、审核计算机终端及外设安全防护策略，确保安全策略有效性

2、清理计算机终端及外设用户和用户组，及时注销和停止停用的帐号

3、计算机终端及外设健康检查

一次/每年

/

一线支持人员、二线支持人员、系统管理员

输入：

计算机终端及外设巡检表

输出：

问题检查记录表

是

是

巡检方式：

远程检查和现场人工巡检。

巡检内容包括：

计算机终端及外设账户密码是否符合规定，软件安装情况、安全防护策略有效性、计算机终端防病毒健康检查、外设健康检查。

3

整改

依据问题检查记录，对终端及外设安全问题进行整改，并针整改结果填入问题检查记录表

一次/每年

15个工作日

一线支持人员、二线支持人员、系统管理员

输入：

问题检查记录表

输出：

整改记录表

是

《计算机终端安全管理规定QCSG-GPG218003-2012》5.4.1.12、5.4.1.13、5.4.1.16

否

重大漏洞需要在3个工作日内完成整改。

4

检查

对整改结果进行核实

一次/每年

5个工作日

信息安全专责、信息资产专责

输入：

整改记录表

输出：

无

否

否

5

归档

把问题整改检查记录表进行归档

一次/每年

5个工作日

二线支持人员

输入：

整改记录表

输出：

无

否

否

2.3.2相关输出物

1）《计算机终端及外设巡检表》

2）《整改记录表》

3）《问题检查记录表》

2.3.3输出物来源依据

计算机终端及外设安全检查管理流程相关输出物来源参考《计算机终端安全管理办法QCSG-GPG218003-2012》、《ISO27001信息安全管理体系》。

2.4计算机终端互联网访问管理

2.4.1管理流程

序号

流程节点

细节描述

频度

时限

输入/输出

涉及岗位

是否有系统支持

所遵循的制度或工作要求

是否需要有作业指导书

备注

1

提交计算机终端访问互联网申请表

提交计算机终端访问互联网申请表

/

/

输入：

无

输出：

《计算机终端访问互联网申请》

申请人

否

《信息安全管理办法QCSG-GPG218040-2011》、《计算机终端安全管理办法QCSG-GPG218003-2012》

否

2

部门审批

部门审批

/

/

输入：

《计算机终端访问互联网申请》

输出：

审批意见

申请人所在部门负责人

否

否

3

办公室审批

非配置标准的申请由办公室人员审批

/

/

输入：

《计算机终端访问互联网申请》

输出：

审批意见

办公室负责主管

否

否

4

发起ITSM服务请求

把通过审批的申请报服务台，发起ITSM服务请求

/

1个小时

输入：

《计算机终端访问互联网申请》

输出：

ITSM服务请求

一线支持人员

是

否

5

审批ITSM服务请求

审批ITSM服务请求

/

1个工作日

输入：

ITSM服务请求

输出：

审批意见

信息安全运行分部信息安全专责

是

否

6

派单

信息安全运行分部信息安全专责派单给运维班组

/

1个小时

输入：

无

输出：

ITSM工单

信息安全运行分部信息安全专责

是

否

7

实施

实施并做好登记

/

1个工作日

输入：

ITSM工单

输出：

无

运维班组人员

否

否

8

备案、归档并通知用户

服务台登记备案、归档并通知用户

/

1个工作日

输入：

ITSM工单

输出：

关闭ITSM请求单

服务台

是

否

2.4.2相关输出物

1）《计算机终端访问互联网申请》

2.4.3输出物来源依据

计算机终端访问互联网请求管理相关输出物来源参考《信息安全管理办法QCSG-GPG218040-2011》、《计算机终端安全管理办法QCSG-GPG218003-2012》。

2.5计算机终端移动介质管理

2.5.1管理流程

序号

流程节点

细节描述

频度

时限

涉及岗位角色

输入/输出

是否有系统支持

所遵循的制度或工作要求

是否需要有作业指导书

备注

1

移动介质使用申请

申请人通过企业级资产管理系统物资模块，提出移动介质领用需求

半年

/

申请人

输入：

无

输出：

移动介质使用申请单

否

《计算机终端安全管理办法QCSG-GPG218003-2012》5.5移动介质管理

否

2

部门审核

申请人所在部门审批移动介质领用申请，并提交物资管理员

半年

2个工作日

申请人所在部门负责人

输入：

移动介质使用申请单

输出：

审核意见

否

否

3

审批

资产管理专责审批需求，并将审批通过的需求提交物资管理部门进行采购

半年

2个工作日

资产管理专责

输入：

移动介质使用申请单

输出：

审批意见

否

否

3

移动介质采购

物资管理部门根据需求清单进行采购

半年

15个工作日

物资管理部门

输入：

移动介质使用申请单

输出：

移动介质记录表

否

《ISO27001信息安全管理体系》-移动存储介质安全管理程序第6.1章节移动存储介质管理

否

4

安全认证

对采购的移动介质进行安全认证，贴上标签。

半年

3个工作日

运维班组人员

输入：

移动介质记录表

输出：

无

否

是

5

移动介质派发

信息中心服务台根据移动介质使用申请单进行介质派发

半年

/

服务台

输入：

移动介质使用申请单

输出：

无

否

否

移动介质使用前，须通过进行计算机病毒检测

2.5.2相关输出物

1）《移动介质使用申请单》

2）《移动介质记录表》

2.5.3输出物来源依据

计算机终端移动介质管理流程相关输出物来源参考《计算机终端安全管理办法QCSG-GPG218003-2012》、《ISO27001信息安全管理体系》。

2.6计算机终端领用管理

2.6.1管理流程

序号

流程节点

细节描述

频度

时限

涉及岗位角色

输入/输出

是否有系统支持

所遵循的制度或工作要求

是否需要有作业指导书

备注

1

计算机终端使用申请

申请人通过企业级资产管理系统物资模块，提出计算机终端领用需求

半年

/

申请人

输入：

无

输出：

计算机终端使用申请单

否

《计算机终端安全管理办法QCSG-GPG218003-2012》5.4.1办公计算机终端管理

否

2

部门审核

申请人所在部门审批计算机终端领用申请，并提交物资管理员

半年

2个工作日

申请人所在部门负责人

输入：

计算机终端使用申请单

输出：

审核意见

否

否

3

审批

资产管理专责审批需求，并将审批通过的需求提交物资管理部门进行采购

半年

2个工作日

资产管理专责

输入：

计算机终端使用申请单

输出：

审批意见

否

否

3

计算机终端采购

物资管理部门根据需求清单进行采购

半年

15个工作日

物资管理部门

输入：

计算机终端使用申请单

输出：

计算机终端记录表

否

《ISO27001信息安全管理体系》-软硬件设备安全管理程序第6.1设备购置、6.3设备标识

否

4

计算机终端初始化

1、对采购的计算机终端进行初始化安装，贴标签

2、新用户转到计算机终端AD域请求管理

半年

3个工作日

运维班组人员

输入：

计算机终端记录表

输出：

无

否

是

5

计算机终端派发

信息中心服务台根据计算机终端使用申请单进行介质派发

半年

/

服务台

输入：

计算机终端使用申请单

输出：

无

否

否

计算机终端使用前，须通过进行计算机病毒检测

2.6.2相关输出物

1）《计算机终端使用申请单》

2）《计算机终端记录表》

2.6.3输出物来源依据

计算机终端领用管理流程相关输出物来源参考《计算机终端安全管理办法QCSG-GPG218003-2012》、《ISO27001信息安全管理体系》。

2.7生产计算机终端接入公司综合数据网

2.7.1管理流程

序号

流程节点

细节描述

频度

时限

涉及岗位角色

输入/输出

是否有系统支持

所遵循的制度或工作要求

是否需要有作业指导书

备注

1

提交访问申请

申请人提交生产计算机终端接入公司综合数据网申请

/

/

申请人

输入：

无

输出：

生产计算机终端接入公司综合数据网申请

否

《ISO27001信息安全管理体系》-终端安全管理程序第6.1.5节生产计算机终端的运行单位必须明确相关责任人，填写《生产计算机终端接入综合数据网备案表》经信息中心备案后，方可接入综合数据网

否

2

审批申请内容

申请人所在部门负责人审批用户申请

/

/

申请人所在部门的负责人

输入：

生产计算机终端接入公司综合数据网申请

输出：

审批意见

否

否

3

发起ITSM服务请求

把通过审批的申请报服务台，发起ITSM服务请求

/

1个小时

申请部门信息联络员

输入：

生产计算机终端接入公司综合数据网申请

输出：

ITSM交互单

是

《计算机终端安全管理办法QCSG-GPG218003-2012》5.4.2生产计算机终端管理

否

4

生成ITSM服务请求工单

生成ITSM服务请求工单

/

1个小时

一线支持人员

输入：

ITSM请求

输出：

ITSM工单

是

否

5

派单

一线支持人员派单

/

1个小时

一线支持人员

输入：

ITSM工单

输出：

ITSM工单

是

否

6

审批ITSM服务请求

审批ITSM服务请求

/

1个工作日

信息中心安全运行分部信息安全管理专责

输入：

ITSM工单

输出：

审批意见

是

否

生产计算机终端的运行单位必须明确相关责任人，经信息中心备案后，方可接入综合数据网。

7

安全防护措施加固

对生产计算机终安全防护措施加固

/

1个工作日

三线支持人员

输入：

ITSM工单

输出：

安全加固记录

否

是

依据《主流IT设备安全基线标准》对生产计算机终端操作系统、中间件、数据库等做好安全防护配置。

8

入网安全检测

生产计算机终端入网安全检测

/

1个工作日

三线支持人员

输入：

ITSM工单、安全加固记录

输出：

入网安全检测记录表

否

否

IT客服部门对生产计算机终端经过入网安全检测合格后，方能接入综合数据网

9

接入综合数据网

生产计算机终端接入综合数据网

/

1个工作日

三线支持人员

输入：

入网安全检测记录表

输出：

入网接入记录

否

否

IT运维部门根据其用途和性质，分配合适的网络区域与接入方式。

10

关闭服务请求

回复用户并关闭服务请求

/

1个小时

一线支持人员

输入：

ITSM工单

输出：

回复用户

是

否

11

备案

信息运维部门服务台登记备案

/

1个工作日

一线支持人员

输入：

ITSM工单

输出：

生产计算机终端接入公司综合数据网备案记录表

否

否

2.7.2相关输出物

1）《生产计算机终端接入公司综合数据网申请》

2）《生产计算机终端接入公司综合数据网备案记录表》

2.7.3输出物来源依据

生产计算机终端接入公司综合数据网相关输出物来源参考《计算机终端安全管理办法QCSG-GPG218003-2012》、《ISO27001信息安全管理体系》。

2.8计算机终端账号清理

2.8.1管理流程

序号

流程节点

细节描述

频度

时限

输入/输出

涉及岗位

是否有系统支持

所遵循的制度或工作要求

是否需要有作业指导书

备注

1

整理帐号列表

整理计算机终端帐号列表，通过比对当前计算机终端用户和在编人员情况，编制计算机终端帐号差异表

一年

3个工作日

输入：

计算机终端帐号列表、在编人员清单

输出：

《计算机终端帐号差异表》

运维班人员

否

《计算机终端安全管理办法QCSG-GPG218003-2012》5.4.13IT运维部门应定期检查、清理计算机终端用户和用户组，及时注销和停止停用的帐号、《信息系统运行维护管理办法Q/CSG-GPG218009-2012》5.5.14

否

2

向信息中心运维部门提交计算机终端帐号差异表

向信息中心运维部门提交计算机终端帐号差异表

一年

1个工作日

输入：

《计算机终端帐号差异表》

输出：

无

运维班人员

否

否

3

整理、汇总计算机终端帐号差异表

信息中心运维部门组织各部门更正计算机终端帐号差异表并整理汇总。

一年

3个工作日

输入：

《计算机终端帐号差异表》

输出：

《计算机终端帐号差异表》

信息中心信息安全专责

否

否

4

差异表确认

各部门确认、更正差异表并提交业务负责人

一年

5个工作日

输入：

《计算机终端帐号差异表》

输出：

确认后的《计算机终端帐号差异表》

全局各部门

否

否

5

差异表整理

根据确认结果整理确认差异表

一年

3个工作日

输入：

确认后的《计算机终端帐号差异表》

输出：

《计算机终端帐号差异表》

运维班人员

否

否

6

编制实施方案

根据信息中心运维部门确认后的计算机终端帐号差异表编制具体的实施方案。

一年

5个工作日

输入：

《计算机终端帐号差异表》

输出：

《计算机终端帐号整理实施方案》

信息中心信息安全专责

否

否

7

审批实施方案

信息部门审批实施方案

一年

1个工作日

输入：

《计算机终端帐号整理实施方案》

输出：

审批意见

信息中心信息安全主管

否

否

8

实施

执行审批后的实施方案。

一年

5个工作日

输入：

《计算机终端帐号整理实施方案》

输出：

无

运维班人员

否

否

2.8.2相关输出物

1）《计算机终端帐号差异表》

2）《计算机终端帐号整理实施方案》

2.8.3输出物来源依据

计算终端帐号清理相关输出物来源参考《计算机终端安全管理办法QCSG-GPG218003-2012》、《信息系统运行维护管理办法Q/CSG-GPG218009-2012》

2.9计算机终端报废管理

2.9.1管理流程

序号

流程节点

细节描述

频度

时限

输入/输出

涉及岗位

是否有系统支持

所遵循的制度或工作要求

是否需要有作业指导书

备注

1

计算机终端报废申请

在计算机终端使用期限达报废年限或不具备运行条件时，资产管理员提交计算机报废申请。

/

1个工作日内

输入：

无

输出：

计算机终端报废申请

资产管理员

是

《ISO27000信息安全管理体系》-终端安全管理程序第6.1.8节6.1.8计算机终端报废

否

2

介质消磁

对待报废设备进行介质消磁，并填写《介质销毁记录表》

/

1个工作日内

输入：

介质销毁记录表

输出：

无

二线支持人员

否

是

3

资产核销申请

在FMIS系统和企业资产管理系统进行资产报废申请

/

30个工作日内

输入：

报废申请

输出：

无

资产管理员

是

《固定资产管理办法》5.11固