企业信息安全管理流程
- 介绍
本文档适用于公司IT服务团队对所有运维服务对象;用于进行资产的识别与风险评估的管理。包括但不限于:
|
中 文 术 语 |
英 文 术 语 |
说明 |
|
信息安全管理体系 |
ISMS Information SecurityManagement System |
信息安全管理体系(ISMS)是 IT服务项目整体管理体系的一部分,基于业务风险方法以建立、 实施、运行、监视、评审、保持和改进信息安全 |
|
风险评估 |
Risk Assessment |
风险评估是信息安全管理的最要环节之一,是在已确定的范围内进行风险识别、风险评估、风险评价和风险处置等活动 |
|
信息安全 |
IS Information Security |
信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性,可用性 |
|
角色 |
职 责 |
|
信息安全管理经理 |
|
|
信息安全员 |
|
风险分析和风险评价:识别资产(保密性(C)、完整性(I)、可用性(A))、威胁、脆弱性,风险的影响和可能性。
在风险评估方法中,公司的风险方针为:接受处于可接受级别之下的风险,对于超出可接受级别的风险,在满足适当的法律法规要求以及合同要求的情况下,如果降低风险所付出的成本大于风险所造成的损失,则选择接受。
- IT服务与作业活动中资产类别区分,以IT服务的领域、系统来进行分类,并将该系统所属的服务/资产项进行归类;可参见《资产分类表》。
- 填写《关键资产风险评估及控制表》的资产清单字段。内容包括但不限于领域﹑资产类别﹑服务/资产编号﹑放置位置﹑责任人及数量等。
- ISMS体系策划
ISMS体系策划包含对项目现状进行调研,明确信息安全方针,确定信息安全管理的范围等活动。需要做以下工作:公司IT服务团队首先要考虑的是谁来做 ISMS体系建设的主导方,需要根据自身团队是否有全面信息安全管理能力来决定,当自身团队能力不够全面主导时,可聘请外部的安全咨询顾问。
4.3.1.1定义信息安全目标与方针
信息安全目标与方针是 IT服务项目信息安全管理的最高方针,公司IT服务团队需要根据项目内部的实际情况,制订信息安全策略。信息安全目标与方针应该简单明了、通俗易懂,并形成书面文件,发给所有项目成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于所有项目员工的脑海,并落实到实际工作中。
4.3.1.2定义 ISMS体系的范围
范围的确定应公司IT服务团队做出最后的决定,根据实施信息安全管理人员的丰富经验才能正确的、完整地识别出项目内信息安全应管理的范围,并能正合理的划分信息安全管理的“域”。 ISMS体系的范围确定需要重点进行信息安全管理的领域,公司IT服务团队需要根据自己所管理项目的实际情况,在整个项目范围内构架 ISMS体系。
具体如下:
目标
- 建立流程化、规范化的IT服务信息安全管理体系ISMS。
- 不出现高于或等于第三级(包含第三级)的安全事故。
- 与客户的关系保持畅通,客户满意度达到3.5分或以上(满分5分)。
方针
- 遵守国家的各项法律法规要求,同时利用法律法规来保护相关的利益。
- 由青岛弯弓信息技术有限公司IT服务团队管理IT服务过程,建立IT服务信息安全管理体系,控制服务风险,保证信息安全,并检查IT服务信息安全管理体系的执行情况。
- 项目组内严格按照IT服务信息安全管理体系ISMS中的流程和规范进行各相应工作的开展。
- 遵循PDCA的持续改进机制,不断优化完善流程和规范,持续改进IT服务信息安全管理体系。
- 建立流程岗位职责、责任人和绩效评价的对应关系并落实到计划中去跟踪;定期评估流程和规范的执行效果,记录评估结果、制定相应的改进计划。
- 实行IT系统的规划、建设与运行维护相分离,运行操作与维护相分离的策略。
- 实行从“以人驱动”,到以“流程和规范驱动”的转变,减少人的因素,提高流程和规范的执行效率。
- 实行以“域”为基础的,不同等级“域”采用不同技术和规范要求进行安全控制的指导思想。
- 风险识别
针对已识别的资产类进行确认已经存在的控制及管理方法,管理方法参照《机房环境安全管理规范》、《系统与网络安全管理规范》和《应用系统安全管理规范》来进行。
针对变更对IT基础架构带来的影响,应当对原先的防护和控制措施进行重新的评估,以使当前的控制措施能够满足组织的信息安全要求。
|
任务 |
任务描述 |
输入/前提条件 |
输出结果 |
|
1、沟通交流 |
现场工作计划交流 发放调查问卷与调查表 |
《现场工作计划》 |
|
|
2、信息系统基 本状况调查 |
调查组织基本信息 |
《组织基本信息调查表》 |
组织基本信息调查结 果记录 |
| 调查网络平台基本信息 |
《网络平台基本信息调查表》 |
网络平台基本信息调 查结果记录 |
|
| 收集主要设备配置信息 |
《主要设备配置信息调查表》 |
主要设备配置信息调 查结果记录 |
|
| 调查业务应用系统信息 |
《业务应用系统信息调查表》 |
业务应用系统信息调 查结果记录 |
|
|
3、威胁调查 |
填写威胁调查问卷 |
《威胁调查问卷》 |
威胁调查结果记录 |
|
4、安全管理访 谈 |
面对面进行安全管理访 谈 |
《安全管理访谈表》 |
安全管理访谈结果记 录 |
|
|||||||||||||||||||||||||||||||||
- 风险概率: 预计风险发生的机率值1-5分;
|
范围 |
得分 |
|
1% 至 20% |
1 |
|
21% 至 40% |
2 |
|
41% 至 60% |
3 |
|
61% 至 80% |
4 |
|
81% 至 100% |
5 |
- 资产重要度: 资产重要度主要在体现资产类别在IT服务的项目中所占的重要程度,依据原值和关联的服务地重要度将系统分类为5级,其中有一项高时,表达即为高;
|
原值 |
关联的服务重要度 |
得分 |
|
低 |
低 |
1 |
|
较低 |
较低 |
2 |
|
中 |
中 |
3 |
|
较高 |
较高 |
4 |
|
高 |
高 |
5 |
风险值计算:风险值介于1~25之间。
- 计算公式:风险值=资产重要度 * 风险概率
确定可接受风险水平:依照风险评估值列表﹑成本及紧急程度的考虑确定可接受风险水平值,作为改善风险水平的基准,对于超出风险值水平的风险需要按照考虑如何处置风险,根据风险评估的结果开出《风险处置单》,安排相关资源进行风险处置活动。风险处置单实例如下图:
- 超过风险可接受风险的处置
超过可接受风险水平值时可按以下方法进行处理:
- 采用适当的控制措施(此措施可参照《机房环境安全管理规范》、《系统与网络安全管理规范》和《应用系统安全管理规范》中提及的各项安全措施来进行);
- 若提供风险明显地符合组织的政策与风险承受准则,可在掌握状况下客观地接受此等风险;
- 回避风险:即将相关的营运风险转移至其它机构,如保险公司、第三方服务商;
- 对于不可接受风险的资产,经过采取控制措施并实施后,重新评估以确认其风险等级,确保所采取的控制措施是充分的,直到其风险降至可接受(即低于可接受风险水平值)为止。
每年至少一次全面审查风险评估内容与状态的适应性,以确定是否存在新的风险及是否需要增加新的控制措施,对发生以下情况需及时进行风险评估:
- 当发生重大信息安全事故时;
- 当信息网络系统发生重大变更时;
- 当新增加服务/资产项时;
- IT服务委员会确定有必要时。
- 信息安全事件
信息安全管理经理应定期分析和汇总信息安全事件,生成《重要资产风险评估及处置表》。
公司IT服务团队应将项目中的信息安全管理的内容,定期形成报告(可合并在服务报告中),向客户进行汇报。如:
|
序号 |
衡量指标 |
指标计算说明 |
|
1 |
安全事故数量 |
0 |
|
2 |
发现的风险数量 |
告警+新威胁的数量 |
每个员工都有维护本公司信息安全的职责。每个员工都要了解和履行公司规定的信息安全管理规范和制度。员工应当了解并且承担个人的安全责任,及时上报信息安全类事件,形成良好的信息安全意识。
全体员工在工作期间都要签订保密协议,或在劳动合同中明确规定信息安全条款。
为了保障公司的信息安全管理有效性,在与第三方组织建立合作关系时,要签订信息安全协议,或在商务合同中明确规定信息安全条款。
所有相关方在履行职务过程中,对因使用的基础设施而产生的、存储的或交换的信息资产都属于本公司。
变更单中应当由专门的位置给审批人员,对变更的信息安全风险进行评估。
企业信息安全管理流程相关推荐
- 工控企业信息安全管理重点(上)
工控安全企业信息管理背景 我们知道,工控企业在运转.发展的过程中,需要技术.大型设备的支持,设备的正常运转.高效运作是企业生存和发展的前提,那么既然是机器就需要软件和系统的支持,这就给了在全球范围内从 ...
- [第180期]我在51CTO的提问:如何做好企业信息安全管理
[第180期]我在51CTO的提问:如何做好企业信息安全管理 149banzhang 发表于 2010-10-15 14:08:51 第 5 楼 窗体顶端 李工:您好,很高兴能在51CTO与您交流,我 ...
- 企业信息安全管理建设(0)
首先,这一定会是一个系列文章,但究竟会有多少期,我也不确定,这取决于我的时间和精力,也许我会有一个总纲,照着总纲一步一步写完:或者我可能会想到哪里写到哪里:再或者我会根据写文章期间发生的一些安全事件, ...
- 企业信息安全管理建设(2)
完成了一个工作 进了一个项目 没什么特别的 前言 上一篇文章中讲了一些我对信息安全的理解,以及对信息安全容易产生的误解,然后说了一些关于信息安全管理体系建立的初始化内容. 今天这篇文章,我们可以来讨论 ...
- 企业信息安全管理建设(1)
昨天刮了一夜的大风,今天天气格外晴朗,但风没见小,降温了,明显比上周凉了不少.早上我想开车去公司上班,但十一假期去了外地,车停在了树下,假期回来车上全是落叶,我人又懒,周末是向来能不出门就不出门的,车 ...
- 大型企业信息安全管理实践(05年第六期)
中兴通讯 陈 飞 我所在的企业是一个超万人的大型高科技企业,我在其中从事信息安全管理方面的工作,每天接触到各种安全管理理念.安全技术.安全产品,感受到信息安全对一个企业怎么说都不为过的重要性.这里 ...
- alm系统的使用流程_支持MBSE的企业信息管理系统发展与启示
导读:本文介绍了模型管理与MBSE.产品生命周期管理(PLM)的概念及其之间的关系,分析了不同行业的模型管理现状,提出了模型管理的解决方案与技术方向,最后给出了建设企业信息管理系统的建议,以期为企业信 ...
- 信息孤岛影响_多系统流程整合,打破企业信息孤岛
信息孤岛是一个普遍的问题,不仅企业内各环节存在着信息孤岛,企业间也存在信息孤岛. 企业信息孤岛有哪些弊端? 从企业的自身原因分析,前期的信息化建设大多缺乏长远与统筹规划,不同阶段只考虑各种局部需求,造 ...
- isecure center 综合安防管理平台_企业综合安全管理平台
企业综合安全管理平台 企业综合安全管理平台是为保障军工制造企业安全的综合监管平台 .该平台实现对重要监管点和重要出入口域进行集中全面控制管理,同时对火工区的安全生产和企业信息化发展,杜绝预防不安全因素 ...
最新文章
- 初识Linux C线程
- oracle在非归档模式下,Oracle在非归档模式下不能更改表空间为备份模式
- flash 3D在线游戏
- AS插件-Android Layout ID Converter
- python监控进程状态_python监控进程脚本
- 第15天学习Java的笔记(封装性,this,构造方法)
- java string类型时间段 转换 date类型
- Java面向对象(五)abstract --- 抽象
- 中缀表达式转换为前缀及后缀表达式并求值【摘】
- mysql左右连接举例_MYSQL 连接举例
- H - A Shooting Game
- vim 保存文件的回车换行模式
- Power BI应用案例:淘宝用户行为分析实战
- 2009年10月 档案_39健康博客_benwen520dan
- Win8系统108个运行命令
- HTML+CSS项目练习(8)-发光文字动画
- 图解技术原理,真的太赞了!
- 【搬运】1 简谱和基本知识
- DFS分布式文件存储系统
- HDCP Key工作原理
热门文章
- 正弦交流电三要素表示方法:解析法、正弦曲线法、旋转矢量法
- 【Unity3D】 Blender2.9+二足角色FPS(TPS)手臂的IK骨骼绑定经验总结
- 解决WARNING: Error loading config file: /home/kang/.docker/config.json: stat /home/kang/.docker/conf
- 十八个最常用的学术搜索引擎【转载】
- Python保存数据到Excel文件
- 给各位码神介绍“场景”概念,顺便集思广益~
- 手机上怎么将视频做成gif动图?三步教你手机视频转gif
- 【SEER数据库简介】
- 流星雨分屏软件 —— VC写的分屏工具
- Omni Converter全能转换器 for Mac(全能视频转换工具)v1.0.3中文BAN的特点