信息化安全管理手册.docx
《信息化安全管理手册.docx》由会员分享,可在线阅读,更多相关《信息化安全管理手册.docx(83页珍藏版)》请在冰点文库上搜索。
信息化安全管理手册
信息化治理务实手册
一平安治理分册
1平安治理业务分类-1-
2业务流程-2-
2.1计算机终端AD域请求治理-2-
2.1.1治理流程-2-
2.1.2相关输出物-4-
2.1.3输出物来源依据-4-
2.2平安防护策略请求治理-4-
2.2.1治理流程-4-
2.2.2相关输出物-6-
2.2.3输出物来源依据-6-
2.3计算机终端及外设平安检查治理-6-
2.3.1治理流程-6-
2.3.2相关输出物-8-
2.3.3输出物来源依据-8-
2.4计算机终端互联网访问治理-8-
2.4.1治理流程-8-
2.4.2相关输出物-9-
2.4.3输出物来源依据-9-
2.5计算机终端移动介质治理-10-
2.5.1治理流程-10-
2.5.2相关输出物-11-
2.5.3输出物来源依据-11-
2.6计算机终端领用治理-11-
2.6.1治理流程-11-
2.6.2相关输出物-12-
2.6.3输出物来源依据-13-
2.7生产计算机终端接入公司综合数据网-13-
2.7.1治理流程-13-
2.7.2相关输出物-15-
2.7.3输出物来源依据-16-
2.8计算机终端账号清理-16-
2.8.1治理流程-16-
2.8.2相关输出物-18-
2.8.3输出物来源依据-18-
2.9计算机终端报废治理-18-
2.9.1治理流程-18-
2.9.2相关输出物-19-
2.9.3输出物来源依据-19-
2.10网络平安运行治理-20-
2.10.1治理流程-20-
2.10.2相关输出物-20-
2.10.3输出物来源依据-21-
2.11网络平安维护治理-21-
2.11.1治理流程-21-
2.11.2相关输出物-22-
2.11.3输出物来源依据-22-
2.12网络平安巡检治理-22-
2.12.1治理流程-22-
2.12.2相关输出物-23-
2.12.3输出物来源依据-23-
2.13信息平安宣贯培训-24-
2.13.1治理流程-24-
2.13.2相关输出物-25-
2.13.3输出物来源依据-25-
2.14重大活动信息平安保证效劳-26-
2.14.1治理流程-26-
2.14.2相关输出物-28-
2.14.3输出物来源依据-28-
2.15等级保护定级治理-28-
2.15.1治理流程-28-
2.15.2相关输出物-29-
2.15.3输出物来源依据-29-
2.16等级保护评估实施治理-30-
2.16.1治理流程-30-
2.16.2相关输出物-32-
2.16.3输出物来源依据-32-
2.17等级保护加固实施治理-33-
2.17.1治理流程-33-
2.17.2相关输出物-34-
2.17.3输出物来源依据-34-
2.18等级保护测评验收治理-35-
2.18.1治理流程-35-
2.18.2相关输出物-36-
2.18.3输出物流程-36-
2.19生产平安监督检查-36-
2.19.1治理流程-36-
iii
2.19.2相关输出物-37-
2.19.3输出物来源依据-38-
2.20涉密平安治理检查-38-
2.20.1治理流程-38-
2.20.2相关输出物-39-
2.20.3输出物来源依据-39-
2.21风险评估与限制-39-
2.21.1治理流程-39-
2.21.2相关输出物-42-
2.21.3输出物来源依据-42-
2.22应急预案治理-43-
2.22.1治理流程-43-
2.22.2相关输出物-45-
2.22.3输出物来源依据-46-
2.23应急方案及演练-46-
2.23.1治理流程-46-
2.23.2相关输出物-47-
2.23.3输出物来源依据-47-
2.24信息平安事件应急处理-48-
2.24.1治理流程-48-
2.24.2相关输出物-49-
2.24.3输出物来源依据-49-
2.25信息平安事件报告治理-50-
2.25.1治理流程-50-
2.25.2相关输出物-51-
2.25.3输出物来源依据-51-
iv
2.26
信息平安事件调查处置
-51-
2.26.1治理流程-51-
2.26.2相关输出物-53-
2.26.3输出物来源依据-53-
1平安治理业务分类
平安治理属于一级业务,主要包括:
平安防护治理、平安等级保护治理、平安督查治理、平安事件治理等四项业务活动.
一级业务、二级业务、三级业务为网公司信息领域一体化治理要求,四级业务为根据网、省公司信息化治理相关制度,结合信息中心实际治理工作梳理而来,具体分类如下表:
1
平安治理
平安防护治理
终端平安防护治理
计算机终端AD域请求治理
2.1
2
平安防护策略请求治理
2.2
3
计算机终端及外设检查治理
2.3
4
计算机终端移动介质领用治理
2.5
5
计算机终端互联网访问治理
2.4
6
生产计算机终端接入公司综合数据网
2.7
7
计算机终端账号清理
2.8
8
计算机终端领用治理
2.6
9
计算机终端报废治理
2.9
10
网络平安防护治理
网络平安运行治理
2.10
11
网络平安维护治理
2.11
12
网络平安巡检治理
2.12
13
组织及人员平安治理
信息平安宣贯培训
2.13
14
重大活动平安保证治理
重大活动信息平安保证效劳
2.14
15
平安等级保护治理
等级保护定级
等级保护定级治理
2.15
16
等级保护评估
等级保护评估实施治理
2.16
17
等级保护加固实施
等级保护加固实施治理
2.17
18
等级保护测评验收
等级保护测评验收治理
2.18
19
平安督查治理
信息平安检查治理
生产平安监督检查
2.19
20
涉密平安治理检查
2.20
21
信息平安风险评估
风险评估与限制
2.21
22
信息平安事件治理
信息平安事件应急治理
应急预案治理
2.22
23
应急方案及演练
2.23
24
信息平安事件应急处理
2.24
25
信息平安事件报告治理
信息平安事件报告治理
2.25
26
信息平安事件调查处置治理
信息平安事件调查处置
2.26
2业务流程
2.1计算机终端AD域请求治理
2.1.1治理流程
序号
流程节点
细节描述
频度
时限
涉及岗位角色
输入/输出
是否有系
持
所遵循的制啦工作要求
是否需要
有作业指导书
备注
1
WAD
域请求
初次申请、注销和变更
AD域,填写计算机终端AD域请求申请表
/
/
制#人
输入:
无
输出:
?
计算机终端AD域
否
?
信息中央
ISO27000信息安全治理体系?
-终端平安治理程序
否
初次申请、注销和变更AD域
2
审批计算机终端
AD域请求胸K
审批计算机终端AD域
/
/
申请人所在部门负责人
输入:
?
计算机终端AD域
输出:
审批意见
否
第6.1.5节接入内网的客户端计算机终端必须使用PKI证书进行身份认证并通过实名制方式登录,不允许使用他人账号,并且
应纳入AD域和桌面治理系统统一治理
否
3
发起
ITSM服
务请求
把计算机终端AD域请求申请表提交信息服务中央办理
/
1小时
/个
部门联络员
输入:
?
计算机终端AD域
输出:
ITSM工单
是
?
计算机终端安全治理方法
QCSG-GPG218003-2022»
5.4.1.2节
5.4.1.2IT客服部门统一分配办公计算机终端名称、计算机终端帐号、用户权限
否
4
实施
1、分配、修改终端名称、帐号、终端用户权
限
2、软件、访问策略配
置
3、PKI证书发放或回收
4、平安防护策略配置
/
1小时
/个
一线支持人员
输入:
ITSM工单
输出:
无
否
否
5
归档、检查
一线支持人员把计算机终端帐号、平安治理策略,用户权限信息记录到申请表并归档,系统治理员进行检查
/
1个工作日
一线支持人员、系统治理员
输入:
ITSM工单
输出:
计算机终端AD域请求备案表、关闭工单
否
否
1.1.2相关输出物
1〕?
计算机终端AD域请求申请表?
2〕?
计算机终端AD域请求备案表?
1.1.3输出物来源依据
计算机终端AD域请求治理相关输出物来源参考?
计算机终端平安治理方法QCSG-GPG218003-2022、?
ISO27001信息安
全治理体系?
.
2.2平安防护策略请求治理
2.2.1治理流程
序号
流程节点
细节描述
频度
时限
输入/输出
涉及岗位
是否有系统支持
所遵循的制度或工作要求
是否需要有作业指导书
备注
1
提交平安防护策略请求申请表
提交平安防护策略请求胸K
/
/
输入:
无
输出:
?
平安防护策略请求申w»
制#人
否
«ISO27000信息安全治理体系?
-终端平安治理程序第6.1.5节IT运维部门对计算机终端制
否
包括:
计算机终端和平安设备的平安防护策略制定、停用、配置艾更
2
审批申请内容
审批申请内容
/
/
输入:
?
平安防护策略请求申w»
申请人所在部门负责人
否
7E开徘着统一日勺女全防护策略和网络准入策略
否
输出:
审批意见
3
发起ITSM服
务请求
把通过审批的申请报效劳台,发起ITSM服
务请求
/
1个
小时
输入:
?
平安防护策略请求申w»
输出:
ITSM服务请求
一线支持人员
是
?
信息平安治理办法?
8.1访问限制策略制定和治理、?
计算机终端平安治理方法QCSG-GPG18003-2022»
5.4.1.10节
否
4
审批ITSM服
务请求
审批ITSM效劳请求
/
1个工作日
输入:
ITSM服
务请求
输出:
审批意见
信息平安运行分部信息"作
是
否
5
派单
信息平安运行分部信息平安专责派单给运维班组
/
1个
小时
输入:
无
输出:
ITSM工
单
信息平安运行分部信息"作
是
否
6
实施
通知用户、实施并做好登记
/
1个
工作日
输入:
ITSM工
单
输出:
信息工作
票
运维班组人员
否
否
全局性、影响面大和影响业务运行的平安防护策略实施需要走信息工作票流程
7
备案、归档并通知用户
效劳台登记备案、归档并通知用户
/
1个工作日
输入:
ITSM工
单
输出:
关闭
ITSM请求单、
关闭信息工作票
效劳台
是
否
2.2.2相关输出物
1〕?
平安防护策略请求申请表?
2〕?
信息工作票?
2.2.3输出物来源依据
平安防护策略请求治理相关输出物来源参考?
信息平安治理方法QCSG-GPG218040-2022?
、?
计算机终端平安治理方法
QCSG-GPG218003-2022>、?
ISO27001信息平安治理体系?
.
2.3计算机终端及外设平安检查治理
2.3.1治理流程
序号
流程节点
细节描述
频度
时限
涉及岗位角色
输入/输出
是否有系
持
所遵循的制度或工作要求
是否需要
有作业指
导书
备注
1
制定终端及外设定期检查方案
制定终端及外设定期检查计划
一次/每年
3个工作日
信息平安专员、怎息赁产专责
输入:
无
输出:
定期检查方案表、计算机终端及外设巡检表
否
?
ISO27001信息安全治理体系?
-终端平安治理程序第6章6.1.5计算机终端平安防护
否
计算机终端及外设范围:
属于内部资产的办公计算机及外设.
2
终端及外设检查
1、审核计算机终端及外设安全防护策略,保证平安策略成效性
2、清理计算机终端及外设用户和用户组,及时注销和停止停用的帐号
3、计算机终端及外设健康检查
一次/每年
/
一线支持人员、二线支持人员、系统治理员
输入:
计算机终端及外设巡检表
输出:
问题检查记录表
是
是
巡检方式:
远程检查和现场人工巡检.
巡检内容包括:
计算机终端及外设账户密码是否符合规定,软件安装情况、平安防护策略有效性、计算机终端防病毒健康检查、外设健康检查.
3
整改
依据问题检查记录,对终端及外设平安问题进行整改,笄针整改结果填入问题检查记小表
一次/每年
15个工作日
一线支持人员、二线支持人员、系统治理员
输入:
问题检查记录表输出:
整改记出表
是
?
计算机终端平安
治理规定QCSG-GPG
218003-2022»
5.4.1.12、
5.4.1.13、5.4.1.16
否
重大漏洞需要在3个工作日内完成整改.
4
检查
对整改结果进行核实
一次/每年
5个工作日
信息平安专员、怎息赁产专责
输入:
整改记
出表
输出:
无
否
否
5
归档
把问题整改检查记录表进行归档
一次/每年
5个工作日
二线支持人员
输入:
整改记
出表
输出:
无
否
否
-7-
2.3.2相关输出物
1〕?
计算机终端及外设巡检表?
2〕?
整改记录表?
3〕?
问题检查记录表?
2.3.3输出物来源依据
计算机终端及外设平安检查治理流程相关输出物来源参考?
计算机终端平安治理方法QCSG-GPG218003-2022?
、
?
ISO27001信息平安治理体系?
2.4计算机终端互联网访问治理
2.4.1治理流程
序号
流程节点
细节描述
频度
时限
输入/输出
涉及岗位
是否有系统支持
所遵循的制度或工作要求
是否需要
有作业指导书
备注
1
提交计算机终端访问互联网
提交计算机终端访问互联网申请表
/
/
输入:
无
输出:
?
计算机终端访问互联网
制#人
否
?
信息平安管理方法
QCSG-GPG218
040-2022?
、
?
计算机终端
平安治理方法
否
2
部门审批
部门审批
/
/
输入:
?
计算机终端访问互联网
输出:
审批意见
申请人所在
部门负责人
否
否
3
办公室审批
非配置标准的申请由办公室人员审批
/
/
输入:
输出:
?
计算机终端访问互联网
审批意见
办公室负责
主管
否
QCSG-GPG218
003-2022»
否
4
发起ITSM服
务请求
把通过审批的申请报效劳台,发起
ITSM效劳请求
/
1个
小时
输入:
输出:
?
计算机终端访问互联网
ITSM效劳请求
一线支持人员
是
否
5
审批ITSM服
务请求
审批ITSM效劳请求
/
1个
工作
日
输入:
输出:
ITSM效劳请求
审批意见
信息平安运
行分部信息
是
否
信息平安运行分部
1个
小时
输入:
输出:
无
ITSM工单
信息平安运
6
派单
信息平安专责派单
给运维班组
/
行分部信息
是
否
7
实施
实施并做好登记
/
1个
工作
日
输入:
输出:
ITSM工单
无
运维班组人员
否
否
8
备案、归档并
效劳台登记备案、
/
1个
输入:
ITSM工单
效劳台
是
否
通知用户
归档并通知用户
-MF
日
输出:
关闭ITSM请求单
2.4.2相关输出物
1〕?
计算机终端访问互联网申请?
2.4.3输出物来源依据
计算机终端访问互联网请求治理相关输出物来源参考?
信息平安治理方法QCSG-GPG218040-2022〉、?
计算机终端平安管
-9-
理方法QCSG-GPG218003-2022〉.
2.5计算机终端移动介质治理
2.5.1治理流程
序号
流程节点
细节描述
频度
时限
涉及岗位角色
输入/输出
是否有系统支持
所遵循的制度或工作要求
是否需要
有作业指
导书
备注
1
移动介质使用
申请人通过企业级资产治理系统物资模块,提出移动介质领用需求
半
年
/
西#人
输入:
无
输出:
移动介质使用申请单
否
?
计算机终端安全治理方法QCSG-GPG218003-2022»5.5移动介质治理
否
2
部门审核
申请人所在部门审批移动介质领用申请,并提交物资治理员
半年
2个
工作
日
申请人所在部门负责人
输入:
移动介质使用申请单输出:
审核意见
否
否
3
审批
资产治理专责审批需求,并将审批通过的需求提交物资治理部门进行采购
半
年
2个
工作
日
资产治理
输入:
移动介质使用申请单
输出:
审批意见
否
否
3
移动介质采购
物资治理部门根据需求清单进行采购
半
年
15个
工作
日
物资治理部门
输入:
移动介质使用申请单输出:
移动介质记录表
否
?
ISO27001信息平安治理体系?
-移动存储介质安全治理程序第6.1章节移动存储介质治理
否
4
平安认
证
对采购的移动介质进行平安认证,贴上标签.
半
年
3个
工作
日
运维班组人员
输入:
移动介质记录表
输出:
无
否
是
5
移动介
质派发
信息中央效劳台根据移动介质使用申请单进行介质派发
半
年
/
效劳台
输入:
移动介质使用申请单输出:
无
否
否
移动介质使用前,须通过进行
-10-
计算机病毒检测
2.5.2相关输出物
1〕?
移动介质使用申请单?
2〕?
移动介质记录表?
2.5.3输出物来源依据
计算机终端移动介质治理流程相关输出物来源参考?
计算机终端平安治理方法QCSG-GPG218003-2022〉、?
ISO27001信息
平安治理体系?
.
2.6计算机终端领用治理
2.6.1治理流程
序号
流程节点
细节描述
频度
时限
涉及岗位角色
输入/输出
是否有系统支持
所遵循的制度或工作要求
是否需要后作业指导书
备注
1
计算机终端使用申请
申请人通过企业级资产治理系统物资模块,提出计算机终端领用需求
半年
/
朝#人
输入:
无
输出:
计算机终端使
用朝##
否
?
计算机终端平安治理方法
否
-11-
2
部门审核
申请人所在部门审批计算机终
端领用申请,并提交物资治理员
半年
2个工作日
朝#人所在部门负责人
输入:
计算机终端使
用朝##
输出:
审核总见
否
QCSG-GPG2
18003-2022»
5.4.1办公计
算机终端管
理
否
3
审批
资产治理专责审批需求,并将审批通过的需求提交物资治理部门进行采购
半年
2个工作日
资产管理专责
输入:
计算机终端使
用朝##
输出:
审批意见
否
否
3
计算机终端
采购
物资治理部门根据需求清单进行采购
半年
15个工作日
物资管
理部门
输入:
计算机终端使
用朝##
输出:
计算机终端记录表
否
?
ISO27001
信息平安管理体系?
-软硬件设备安全治理程序
第6.1设备
购置、6.3设备标识
否
4
计算机终端
初始化
1、对采购的计算机终端进行初
始化安装,贴标签
2、新用户转到计算机终端AD
域请求治理
半年
3个工
作日
运维班
组人员
输入:
计算机终端记
录表
输出:
无
否
是
5
计算机终端
派发
信息中央效劳台根据计算机终端使用申请单进行介质派发
半年
/
效劳台
输入:
计算机终端使
用朝##
输出:
无
否
否
计算机终端使用
前,须通过进行计算机病毒检测
2.6.2相关输出物
1〕?
计算机终端使用申请单?
-12-
2〕?
计算机终端记录表?
2.6.3输出物来源依据
计算机终端领用治理流程相关输出物来源参考?
计算机终端平安治理方法QCSG-GPG218003-2022>、?
ISO27001信息平安
治理体系?
.
2.7生产计算机终端接入公司综合数据网
2.7.1治理流程
序号
流程节点
细节描述
频度
时限
涉及岗位角色
输入/输出
是否有系统支持
所遵循的制度或工作要求
是否需要
有作业指
导书
备注
1
提交访问申请
申请人提交生产计算机终端接入公司综合数据网申请
/
/
朝#人
输入:
无
输出:
生产计算机终端接入公司综合数据网申请
否
«ISO27001信息安全治理体系?
-终端平安治理程序第6.1.5节生产计算机终端的运行单位必须明确相关责任人,填写?
生产计算机终端接入综合数据网备案表?
经信息中央备案后,方口」接入综合数据网
否
2
审批申请内容
申请人所在部门负责人审批用户申请
/
/
朝#人所在部门的负责人
输入:
生产计算机终端接入公司综合数据网申请输出:
审批意见
否
否
升级会员 