信息安全管理流程说明书(S—I)版本号版本记录作者审核批准日期2010-9-19修改核对信息安全管理流程说明书汤笑咪信息安全管理流程说明书1信息安全管理1.1目的本流程目的在于法律规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足 SLA 中的信息安全性需求以及合同、法律和外部政策等的要求。1)在所有的服务活动中有效地管理信息安全;2)使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟踪组织内任何信息安全授权访问;3)满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求;4)执行操作级别协议和基础合同范围内的信息安全需求。1.2范围本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的 IT 系统、技术、资源所面临的风险的安全管理。向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。2术语和定义2.1相关 ISO20000 的术语和定义1)资产(Asset):任何对组织有价值的事物。2)可用性(Availability):需要时,授权实体可以访问和使用的特性。3)保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的特性。4)完整性(Integrity):保护资产的正确和完整的特性。5)信息安全(Information security):保护信息的保密性、完整性、可用性及其他属性,如:真实性、可核查性、可靠性、防抵赖性。6)信息安全管理体系(Information security management system ISMS):整体管理体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全.7)注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源.8)风险分析(Risk analysis):系统地使用信息以识别来源和估量风险.9)风险评价(Risk evaluation):将估量的风险与既定的风险准则进行比较以确定重要风险的流程。10) 风险评估(Risk assessment):风险分析和风险评价的全流程。11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。2.2其他术语和定义1)文件(document...
