itil体系管理信息安全管理流程v.docx
《itil体系管理信息安全管理流程v.docx》由会员分享,可在线阅读,更多相关《itil体系管理信息安全管理流程v.docx(11页珍藏版)》请在冰点文库上搜索。
信息安全管理流程
版本记录
版本
编号
版本日期
修改者
说明
文件名
V1.0
2011-11-15
孙小明
初稿
信息安全管理流程
V1.1
2012-3-15
孙小明
修订稿,确认流程执行人员
信息安全管理流程
目 录
信息安全管理流程 1
1介绍 4
1.1基本概念 4
1.2用途和目标 4
1.3范围 4
1.4流程运行的前提和时机 5
2流程详细说明 5
2.1输入 5
2.2输出 5
2.3流程执行 7
2.4流程质量控制 9
2.4.1关键绩效指标KPI 9
2.4.2流程报告 10
3流程角色和职责 10
4 附录 12
4.1 术语表 12
1介绍
1.1基本概念
安全管理流程主要描述为确保企业信息系统中信息资源的安全而制定安全政策和规章制度,并且通过实施一整套适当的控制措施(包括策略、实践、流程、组织结构和工具)来实现企业信息的保密性、完整性、可用性的整个过程。
安全管理中的关键词汇定义如下:
·信息安全(InformationSecurity):
对于信息的保密性、完整性和可用性的保证。
·可用性(availability):
确保被授权的用户在需要时可以访问到相关的信息和资产。
·完整性(Integrity):
维护信息的正确性和完全性。
·保密性(Confidentiality):
保证信息只能由被授权者访问。
·风险评估(RiskAssessment):
对与信息与信息处理机制所面临的威胁、影响和弱点分析以及这些威胁、影响和薄弱环节发生几率的评估。
1.2用途和目标
安全管理流程的目标是通过持续性提高的方式,不断分析、发现潜在的风险,通过成本平衡的手段消除和控制潜在或已经发生的风险与威胁,从而保障远东租赁信息技术服务的保密性、完整性与可用性,其用途在于:
·保证满足内部的安全需求,保证远东租赁内部的信息完整性以及其之持续提高。
·通过不同的服务级别协议、合同、法律条款以及其它安全策略的贯彻实施来保障外部安全要求的满足。
1.3范围
下表对一些容易混淆的方面作了说明,用来表明安全管理的工作覆盖范围:
包括
不包括
信息和IT服务层次的安全
大楼防窃、防爆炸等物理安全
信息安全风险评估
信息安全策略
信息安全管理规范和流程
信息安全审计和评估流程
1.4流程运行的前提和时机
信息安全管理为公司服务管理体系中的重要管理流程,然而不同的管理流程之间又相互依赖与关联,因此关注安全管理运行的前提与时机就成为流程应用的重要环节,其运行的前提与时机包括:
·公司管理层的支持,公司管理层认识到的IT日常运营中对于对于潜在的安全风险和隐患需要采取主动的行动来防范与未然。
·为安全管理流程提供相应的组织和技术资源,例如落实流程执行负责人、安全经理、安全分析员、培养一批在相应安全与技术领域独挡一面的专业人才,总结和完善安全管理工具等。
·紧密相关流程的实施,特别是配置管理流程、热线支持、突发事件管理流程、问题管理流程、项目管理流程、变更管理流程、连续性管理流程和可用性管理流程,以上这些流程的实施将会为安全管理流程的全面实施带来较好的效果。
2流程详细说明
2.1输入
输入项
来源
周期
服务级别需求
服务级别管理
半年
影响可用性、完整性和机密性的事件报告、问题报告
事件管理、问题管理
日常
可用性计划
变更管理流程、连续性管理流程容量管理
、
半年
可用性报告
服务级别管理流程、服务报告流程
每月
可用性事件报告
事件管理
日常
配置数据库
配置管理
日常
2.2输出
输出项
去向
周期
安全事件处理办法和解决方案
事件管理流程
日常
安全问题处理办法和解决方案
问题管理流程
日常
安全管理报告
服务级别管理流程、服务报告流程
服务报告管理
安全系统的配置信息
配置管理流程
日常
输出项
去向
周期
安全处置变更申请
变更管理流程
日常
变更的对安全的影响评估
变更管理流程
日常
安全风险评估信息
连续性和可用性管理
一年/变更时
安全管理流程改进建议
服务改进流程
半年
2.3流程执行
安全性管理流程
服务级别经理
及
安全管理委员会
服务级别协议
及
安全管理要求
3.4.4
安全审计
安全经理
3.4.1
计划和维护安全管理框架
3.4.2
制订详细安全管理规范和具体安全管理流程
3.4.6
安全管理报告
安全分析员
3.4.3
风险评估
3.4.5
安全管理的操作与监控
安全管理员
工单 变更请求
变更经理
图3:
安全管理流程
编号
管理活动
描述
输入/触发条件
输出
3.4.1
计划和维护安全管理框架
启动维护公司的信息安全管理组织、信息安全策略。
并全面考虑各方面对于安全性的要求,包括连续性计划、容量计划、现存安全技术标准、各项目的需求说明书、与安全性相关的服务级别协议、运维信息,以及现存的策略和流程等等。
其主要活动包括:
安全政策的定期维护周期
企业的安全政策的重大改变
《信息安全策略》
- 评估、维护已有的《信息技术安全策略》
- 开发并维护安全管理架构(包括组织架
编号
管理活动
描述
输入/触发条件
输出
构、管理策略等);
- 建立信息安全培训机制,并制定总体培
训计划。
3.4.2
制定详细安全管理规范和具体安全管理流程
根据企业安全策略及对安全需求的分析,由安全经理领导、安全分析员协助,针对各管理分类制定详细的安全管理规范和流程,其主要活动包括:
-根据安全管理策略与业界标准,确定安全管理需求分类与范围;
-针对确定的不同安全管理范畴,开发具体的管理规范和流程,主要包括:
·组织的安全
·资产的分类与管理
·人员安全
·物理与环境安全
·通信与操作安全
·访问控制安全
·系统开发与维护安全
·业务连续性(体现在连续性管理流程中)
·安全遵守(Compliance);
-文档化并回顾管理规范和流程。
企业安全策略的要求
技术规范文档
3.4.3
风险分析
周期性的执行公司安全管理状况的风险分析其主要活动包括为:
-根据公司安全管理策略提供的分类,为各分类准备检查点,准备调查问卷与评分标准,进行安全风险评估。
启动安全风险评估的条件有:
安全风险评估的具体任务包括:
·资产识别与估价
·威胁评估
·薄弱点评估
·现有的与计划中安全控制的识别
·风险评估
·安全控制和降低风险手段的识别与选择
·风险接受
o首次安全管理评估
重大变更(系统建设、升级、组织变更等等)重大安全事故发生后
周期性的安排
(例如每6个月执行一次风险评估)
其他必要的时机。
《风险评估指南》
3.4.4
安全审计
针对与安全管理的审计活动指对于从远东租赁安全管理体系标准、体系文件与相关法律法规的角度出发,为了验证所有安全程序的正确实施与监察信息系统符合安全标准的情况所进行的系统的、独立的检查和评价。
通常由信息安全管理委员会决策通过,由安全经理推动,通过内部审计或外部审计人员执行。
首次安全审计;
、重大变更(系统建设、升级、组
织变更等等);重大安全事故发生后;
周期性的安排
(例如每6个月执行一次信息安
《安全合规指南》
编号
管理活动
描述
输入/触发条件
输出
安全审计的具体任务包括:
-安全审计准备,包括编制审计计划、组成审计组、收集信息、编写检查表
(Checklist)、通知被审计部门并约定审计时间;
-审计实施,包括召开启动会议、进行现场审计、编写符合情况报告、汇总分析结果、总结会及宣布结果;
-提交和分发审计报告;
-持续审计。
全审计);
其他必要的时机。
3.4.5
安全管理操作与监控
根据安全分析员设计与提供的监控步骤与指导,由安全管理员执行信息安全政策与规范的监控与操作,当出现对于违反或威胁信息安全政策与规范的情况时,进行升级上报处理。
安全管理的要求
安全工作报告
3.4.6
安全管理报告
在安全经理的领导下与安全分析员的支持下周期性的生成安全管理报告,并交付安全管理委员会与管理层,其主要内容应包括:
-安全管理阶段目标
-安全管理政策执行情况
-风险分析结果
-主要发现与差距
-安全管理改进手段与行动
-阶段安全事件统计
-重大安全事件及处理
-其他。
安全管理报告活动包括:
-生成安全审计与评估报告
-分析安全审计与评估报告
-罗列主要发现以及制定提高计划
-总结报告数据并提供给相应的接收人
-回顾对于服务级别中与安全相关条款的执行情况并生成报告。
相关管理报告提交公司信息技术委员会
,首次安全报告;重大安全事故发
生后;
周期性的安排
(例如每6个月执行一次信息安全审计);
其他必要的时机。
《安全管理报告》
2.4流程质量控制
2.4.1关键绩效指标KPI
KPI
目标值
衡量方式
周期
负责人
备注
年度安全风险评估次数
>=1
考察信息安全体系的有效性。
每年
流程执行负责
KPI
目标值
衡量方式
周期
负责人
备注
(每年发起安全风险评估的次数)
人
考察当前安全控制体系
对安全风险的处理能力。
重大安全风险的处置率
100%
(每年处置重大安全风险数量/每年安全风险评估发现的重大安全风险
每年
流程执行负责人
总数)
2.4.2流程报告
名称
说明
周期
负责人
去向
安全管理月报
说明安全管理工作的月度执行情况
每月
安全管理经理
服务报告管理
风险评估报告
执行风险评估工作,总结评估结论
一年
安全管理经理
连续性管理、部门
3流程角色和职责
流程的实现是通过不同的流程角色以及其所赋有的职责来实现的,因此流程的每一个角色可以被定义为一系列职责的集合,在实际的管理操作中,不同的人员将被赋予不同的职责,也可能一个人被赋予多个职责,同时也可以将其职责授权给其管理结构之下的人员,因此,以下所提及的管理流程和角色的目的是为了在充分满足流程所需角色的基础上,为具体的实现提供足够的灵活性。
其具体的部署,取决于远东租赁在实际实施中的流程负责人。
根据实际管理的需要,建议安全分析员角色应与安全管理员角色分开。
角色
职责
人员
信息安全管理委员会
1.制定与信息安全相关的重大决策
2.回顾安全风险分析、安全审计的上报结果以及安全管理报告
3.为信息安全管理提供资源、包括人力、财力以及其他需要的支持
4.回顾重大安全事件
安全管理流程负责人
1.建立跨部门的安全管理流程实施、评估和持续优化机制。
2.确保流程执行能够取得公司高层的支持。
孙小明
角色
职责
人员
3.确保安全管理流程在公司及所属子公司内实用而高效地执行。
4.保持与其他流程主管的定期沟通。
5.确保安全管理流程模型的系统性、科学性、规范性、稳定性。
1.确保和改进安全管理流程和工作实践的有效性和效率。
2.确保所有与安全管理相关的方面都充分参与到安全管理流程中。
3.确保安全管理流程与其他相关管理流程之间的联系。
4.负责发布和沟通远东租赁安全管理方面的流程与标准。
安全经理
1.代表安全管理部门提出安全管理的标准和流程
2.领导制定信息安全标准、信息安全指导原则、安排安全管理培训
3.执行安全政策、安全标准和安全流程
4.监督安全政策与安全标准的遵循情况
5.领导并组织安排风险评估与安全审计活动
6.组织并提交安全管理报告。
孙小明
安全分析员
1.实施和维护有效的安全架构,使之符合远东租赁的业务需求
2.参与制定安全标准、指导原则和管理流程
3.推广实施安全管理标准
4.执行风险评估
5.执行或参与安全审计
6.参与调查安全威胁、违例行为和安全突发事件
7.为改进安全策略、标准、流程等提供建议
8.为远东租赁负责员工培训的机构(如人力资源部)提供内部安全培训资料。
各功能方向负责人
安全管理员
1.监控并采取响应行动确保对于公司安全标准与流程的遵循
各功能方向负责
角色
职责
人员
2.迅速通报即时法发现的安全隐患
3.跟踪处理安全事件与违例行为
4.维护和管理公司内部与安全有关的系统。
人
4附录
4.1术语表
参见《运行服务管理体系术语表》。
升级会员 