返回
(itil体系管理)信息安全管理流程.doc

(itil体系管理)信息安全管理流程.doc

ID:54602815

大小:208.50 KB

页数:11页

时间:2020-04-18

(itil体系管理)信息安全管理流程.doc_第1页
(itil体系管理)信息安全管理流程.doc_第2页
(itil体系管理)信息安全管理流程.doc_第3页
(itil体系管理)信息安全管理流程.doc_第4页
(itil体系管理)信息安全管理流程.doc_第5页
资源描述:

《(itil体系管理)信息安全管理流程.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、安全管理流程信息安全管理流程Page11of11安全管理流程版本记录版本编号版本日期修改者说明文件名V1.02011-11-15孙小明初稿信息安全管理流程V1.12012-3-15孙小明修订稿,确认流程执行人员信息安全管理流程Page11of11安全管理流程目 录信息安全管理流程11介绍41.1基本概念41.2用途和目标41.3范围41.4流程运行的前提和时机52流程详细说明52.1输入52.2输出52.3流程执行72.4流程质量控制92.4.1关键绩效指标KPI92.4.2流程报告103流程角色和职责104附录124.1术语表12Page11of11安全管

2、理流程介绍1.1基本概念安全管理流程主要描述为确保企业信息系统中信息资源的安全而制定安全政策和规章制度,并且通过实施一整套适当的控制措施(包括策略、实践、流程、组织结构和工具)来实现企业信息的保密性、完整性、可用性的整个过程。安全管理中的关键词汇定义如下:·信息安全(InformationSecurity):对于信息的保密性、完整性和可用性的保证。·可用性(availability):确保被授权的用户在需要时可以访问到相关的信息和资产。·完整性(Integrity):维护信息的正确性和完全性。·保密性(Confidentiality):保证信息只能由被授权者

3、访问。·风险评估(RiskAssessment):对与信息与信息处理机制所面临的威胁、影响和弱点分析以及这些威胁、影响和薄弱环节发生几率的评估。1.2用途和目标安全管理流程的目标是通过持续性提高的方式,不断分析、发现潜在的风险,通过成本平衡的手段消除和控制潜在或已经发生的风险与威胁,从而保障远东租赁信息技术服务的保密性、完整性与可用性,其用途在于:·保证满足内部的安全需求,保证远东租赁内部的信息完整性以及其之持续提高。·通过不同的服务级别协议、合同、法律条款以及其它安全策略的贯彻实施来保障外部安全要求的满足。1.3范围下表对一些容易混淆的方面作了说明,用来表

4、明安全管理的工作覆盖范围:包括不包括信息和IT服务层次的安全大楼防窃、防爆炸等物理安全信息安全风险评估信息安全策略信息安全管理规范和流程信息安全审计和评估流程Page11of11安全管理流程1.1流程运行的前提和时机信息安全管理为公司服务管理体系中的重要管理流程,然而不同的管理流程之间又相互依赖与关联,因此关注安全管理运行的前提与时机就成为流程应用的重要环节,其运行的前提与时机包括:·公司管理层的支持,公司管理层认识到的IT日常运营中对于对于潜在的安全风险和隐患需要采取主动的行动来防范与未然。·为安全管理流程提供相应的组织和技术资源,例如落实流程执行负责人、

5、安全经理、安全分析员、培养一批在相应安全与技术领域独挡一面的专业人才,总结和完善安全管理工具等。·紧密相关流程的实施,特别是配置管理流程、热线支持、突发事件管理流程、问题管理流程、项目管理流程、变更管理流程、连续性管理流程和可用性管理流程,以上这些流程的实施将会为安全管理流程的全面实施带来较好的效果。2流程详细说明2.1输入输入项来源周期服务级别需求服务级别管理半年影响可用性、完整性和机密性的事件报告、问题报告事件管理、问题管理日常可用性计划变更管理流程、连续性管理流程、容量管理半年可用性报告服务级别管理流程、服务报告流程每月可用性事件报告事件管理日常配置数

6、据库配置管理日常2.2输出输出项去向周期安全事件处理办法和解决方案事件管理流程日常安全问题处理办法和解决方案问题管理流程日常安全管理报告服务级别管理流程、服务报告流程服务报告管理Page11of11安全管理流程安全系统的配置信息配置管理流程日常安全处置变更申请变更管理流程日常变更的对安全的影响评估变更管理流程日常安全风险评估信息连续性和可用性管理一年/变更时安全管理流程改进建议服务改进流程半年1.1流程执行图3:安全管理流程编号管理活动描述输入/触发条件输出3.4.1计划和维护安全管理框架启动维护公司的信息安全管理组织、信息安全策略。并全面安全政策的定期维护

7、周期企业的安全政策的重大改变《信息安全策略》Page11of11安全管理流程考虑各方面对于安全性的要求,包括连续性计划、容量计划、现存安全技术标准、各项目的需求说明书、与安全性相关的服务级别协议、运维信息,以及现存的策略和流程等等。其主要活动包括:-评估、维护已有的《信息技术安全策略》-开发并维护安全管理架构(包括组织架构、管理策略等);-建立信息安全培训机制,并制定总体培训计划。3.4.2制定详细安全管理规范和具体安全管理流程根据企业安全策略及对安全需求的分析,由安全经理领导、安全分析员协助,针对各管理分类制定详细的安全管理规范和流程,其主要活动包括:-根

8、据安全管理策略与业界标准,确定安全管理需求分类与范围

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。