《ITSS-15-08信息安全管理控制程序.docx》由会员分享,可在线阅读,更多相关《ITSS-15-08信息安全管理控制程序.docx(11页珍藏版)》请在课桌文档上搜索。
1、信息安全管理控制程序目录1 .目的32 .适用范围33 .职责与术语34 .工作程序34.1识别信息安全需求34.2资产识别64.3风险评估74.3.1风险识别74.3.2风险分析及判定74.3.3风险评价84.4风险处置84.5定期评估和检查84.6信息安全事件94.6.1信息安全事件分级94.6.Ll分级要素94.6.1.2分级描述94.6.2事件分类94.6.3处理程序104.6.3.1发现安全事件并报告104.6.3.2评估事件类别104.6.3.3判断事件等级和处理104.6.3.4事件解决结果评审104.6.3.5事件总结及惩戒处理114.6.4处罚确定114. 6.4.1处罚种类
2、115. 6.4.2违纪种类116. 7关键绩效指标127. 相关文件错误!未定义书签。8. 记录错误!未定义书签。1 .目的为建立一个适当的信息安全事态、信息安全事故、薄弱点和故障报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。2 .适用范围适用活动:运维服务过程中的信息安全事故管理相关内容。3 .职责与术语3. 1职责:运维部:牵头管理信息安全管理。其他部门:按照公司管理制度实施信息安全管理。3. 2术语: 信息安全事件是指由于客户信息资产的可用性、完整性或机密性受损而造成危害的事件。 安全管理是顺应信息安全的需要而产生的,其主要目标是确保
3、信息的安全性。 安全管理致力于确保服务的安全性在任何时候都能达到与客户约定的级别。 安全性在服务中被视为可用性管理的一部分。 安全管理已经成为现代服务管理中一个重要的问题。 安全性是指不易遭到已知风险的侵袭,并且尽可能地规避未知风险的性能。提供这种性能的工具是安全措施。 安全措施的目标是要保护信息的价值,这种价值取决于机密性、完整性和可用性三个方面。术语定义机密性指保护信息免受未经授权的访问和使用。完整性指信息的准确性、完全性和及时性。可用性是信息在任何约定的时间内都可以被访问,这取决于由信息处理系统所提供的持续性。4.工作程序4. O安全策略(1)安全方针遵循公司“统一规划、分级管理、积极防
4、范、人人有责”的原则,按照公司统一部署,结合服务/经营活动的特点,采取一切必要的措施,加强信息安全体系的建设和推进管理。(2)安全措施和安全规范公司信息化设备管理:1)严禁将公司配发给员工用于办公的计算机转借给非公司员工使用,严禁利用公司信息化设备资源为第三方从事兼职工作。2)公司所有硬件服务器统一放置在机房内,由专人承担管理职责,专人负责服务器杀毒、升级、备份。3)非公司技术人员对我单位的设备、系统等进行维修、维护时,必须由公司相关技术人员现场全程监督。计算机设备送外维修,必须经过部门负责人批准。4)严格遵守计算机设备使用及安全操作规程和正确的使用方法。任何人不允许私自对信息化设备进行维修及
5、操作,不得擅自拆卸、更换或破坏信息化设备及其部件。5)计算机的使用部门和个人要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。6)原则上公司所有终端电脑、服务器都必须设定开机登录密码和屏幕保护密码,对于交换机、防火墙、路由器等网络设备也必须设置管理密码。7)公司所有终端电脑、服务器都必须安装正版杀毒软件,公司网络管理员必须对服务器进行定期杀毒、病毒库升级、补丁修复。(3)密码与权限管理1)密码设置应具有安全性、保密性,不能使用简单的代码和标记。2)密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码设置
6、不应是名字、生日、重复、顺序、规律数字等容易猜测的数字和字符串;密码如发现或怀疑密码遗失或泄露应立即修改。3)服务器、防火墙、路由器、交换机等重要设备的管理密码由公司网络管理员(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码妥善保存。4)有关密码授权工作人员调离岗位,公司网络管理员应对密码立即修改或用户删除。(4)公司信息安全管理1)公司每一位员工都有保守公司信息安全防止泄密的责任,任何人不得向任何单位或个人泄露公司技术和商业机密,如因学术交流或论文发表涉及公司技术或商业机密,应提前向公司汇报,并在获取批准同意后,方能认可的形式对外发布。2)定期对公司重要信息包括软件代码进行备
7、份,管理人员实施备份操作时,必须有两人在场,备份完成后,立即交由研发中心封存保管。3)存放备份数据的介质包括电脑、U盘、移动硬盘、光盘和纸质,所有备份介质必须明确标识备份内容和事件,并实行异地存放。4)数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中,如果出现问题时由工程中心进行现场技术支持。5)数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要进行定期保存或者永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期避免对联系业务运行造成影响。6)非本公司技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现
8、场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内的应用软件和数据等信息备份后删除,并进行登记。对修复的设备,设备维修人员对应设备进行验收、病毒检测和登记。7)管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。8)运维服务部负责计算机病毒的防范工作,经常进行计算机病毒检查,发现病毒及时清除。(5)运维项目现场/客户的信息安全管理D公司每一位员工都有保守客户信息安全,防止泄密的责任,任何人不得向任何单位或个人泄密客户信息。2)各项目经理应主动向客户提出信息安全的管理服务,若客户不愿意做,项目经理应向客户阐明利弊
9、,提出合理的信息安全管理服务建议。3)如果为客户提供的数据备份服务,应定期对服务范围内的重要信息进行备份,管理人员实施备份操作时,必须有两人在场,备份完成后,立即交由客户制定的备份管理人员进行保管。4)存放备份数据的介质包括电脑、U盘、移动硬盘、光盘和纸质等,涉密单位介质使用参照客户保密要求。5)数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。6)数据清理前必须对数据进行备份,在确认备份正确后可进行清理操作,历次清理前的备份数据要定期保存或者永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期避免对客户业务运行造
10、成影响。7)同意送修的设备,送修前,需将设备存储介质内的应用软件和数据等涉及经营管理的信息备份后删除,并进行登记。对修复的设备,应进行病毒检测。8)管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。9)严禁利用客户的信息化设备资源为第三方提供服务。10)非客户授权人员对服务范围内的设备、系统等进行维修、维护时,必须由相关技术人员现场全程监督。计算机设备送外维修,必须经过客户相关负责人批准。11)禁止在计算机应用环境中放置易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。12)客户的密码管理需由客户指定专人进行管理,项目经理应建议客户定期修改并
11、妥善保管。13)涉及系统管理员的服务项目,系统管理员权限由客户授权。(6)风险识别评估项目经理应组织人员主动检查客户/公司在信息技术的安全方面所面临的风险。针对安全要求高,客户明确运维对象的信息安全属于我方责任范围的项目,信息安全评估遵循信息安全风险评估实施指南。针对客户明确运维对象的信息安全属于客户责任范围的项目,遵循以下原则进行列举检查表形式的风险评估:1)主动识别来自法律法规、行业规定、客户要求(包括服务级别协议)的安全需求,制定安全措施和安全规范满足安全需求;2)制定措施确保服务相关人员遵守客户现场的安全制度;3)应主动识别服务相关人员可能接触到的客户机密和敏感信息,制定措施确保服务相
12、关人员不会故意或无意泄漏客户的有价值信息;4)应主动识别服务相关人员在服务过程中可能造成客户信息的不完整或不可用,制定服务规范和相应措施规避此风险;5)应做到“适当勤奋”,识别出服务相关人员接触到的客户信息系统所面临的物理、人员、管理、设置等方面的安全风险,告知客户并提供相应建议;6)进行适度的安全检查,以确保安全风险和安全事件的暴漏和处理;7)进行全面的信息安全教育,做到信息安全,人人有责;8)主动地进行信息安全方面的评审和改进,确保安全体系的有效。4.1 识别信息安全需求识别运行维护过程中应遵守的相关法律法规,与需方进行沟通和协商,了解其对运行维护服务过程的信息安全需求,同时考虑我方的信息
13、安全需求。4.2资产识别识别出在信息安全管理体系范围内与被评估的业务运营及信息相关的资产,形成资产识别清单。资产分类方法如下表:资产分类方法分类示例备注软件应用软件:办公软件、数据库软件、工具软件系统软件:操作系统、数据库管理系统、开发系统等源程序:各种共享源代码、自行开发的各种代码硬件存储设备:磁带机、光盘、软盘、移动硬盘等网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等安全设备:防火墙、入侵检测系统等其他:打印机、扫描仪、复印机等数据保存在信息媒介上的各种数据资料,包括源代
14、码、数据库数据、系统文档、运行管理规程、报告、用户手册、各类纸质的文档等服务网络服务:各种网络设备、设施提供的网络连接服务信息服务:对外依赖该系统开展的各类服务办公服务:为提高效率而开发的管理信息系统人员掌握重要信息和核心业务的人员,如管理者代表、体系人员、主机维护主管、网络维护主管及运维项目经理等4.3风险评估风险评估过程包括风险识别、风险分析和风险评价。4.3.1风险识别风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等,形成全面的风险列表。识别可能发生的或可能存在的影响系统和组织实现信息安全目标的事件或情况。针对已识别的风险进行确认已经存在的控制及管理方法,管理方法包括公司依
15、据存在和执行的机房环境、系统安全、网络安全、应用系统安全等方面的技术控制和管理措施。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。针对变更对IT基础架构带来的影响,应当对原先的防护和控制措施进行重新的评估,以使当前的控制措施能够满足组织的信息安全要求。4.3.2风险分析及判定在完成了风险识别以及已有安全措施确认后,将采用适当的方法与工具确定导致安全事件发生的可能性。综合安全事件所作用的资产价值,判断安全事件造成的损失对组织的影响,从而判断风险的等级。可以依据下表中准则判断风险的等级
16、。风险等级划分表等级描述备注高风险发生对组织信誉严重破坏、严重影响组织的正常经营,影响组织范围或一定范围,经济损失重大、社会影响恶劣。中风险发生会造成组织一定的经济、生产经营或社会影响,但影响面和影响程度不大。低风险发生造成的影响程度较低,一般仅限于组织内部,通过一定手段或简单手段很快能解决。4.3.3风险评价风险评价是将估计后的风险与给定的风险接受准则对比,以决定风险的水平并确定控制风险的优先顺序。经过风险评价,确定该风险是可承受还是需进行处理。风险接受的准则如下表:等级描述高严重不可接受的风险中一般不可接收风险或有条件接受的风险低不需要评审即可接受的风险4.4风险处置超过可接受风险水平值时
17、可按以下方法进行处理,并形成信息安全风险处置计划:1)风险降低:采用适当的控制措施降低风险;2)风险接受:若风险明显地符合组织的政策与风险承受准则,可在掌握状况下客观地接受风险造成的后果;3)风险转移:即将相关的营运风险转移至其它机构,如保险公司、第三方服务商;4)对于不可接受的风险,经过采取控制措施并实施后,重新评估以确认其风险等级,确保所采取的控制措施是充分的,直到其风险降至可接受。4.5定期评估和检查每年至少一次全面审查风险评估内容与状态的适应性,以确定是否存在新的风险及是否需要增加新的控制措施,对发生以下情况需及时进行风险评估:1)管理层确定有必要时。2)当发生重大信息安全事故时;3)
18、当新增加服务/资产项时;4)当信息网络系统发生重大变更时。4.6信息安全事件所有引起信息的机密性(预防数据欺骗及组织敏感信息泄漏),完整性(防止数据被篡改)和可用性缺失(核心业务的连续性)的事件都是信息安全事件。(例如病毒引起的故障,由于密码失窃引发的事件等等),发生有关信息安全事件的时候按事件管理的流程来执行。4.6.1信息安全事件分级4.6.1.1分级要素信息安全事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失四项。各参考要素分别说明如下:(1)信息密级影响是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素;(2)公众影响是衡量信息安全事件所造成的负面影响范
19、围和程度的要素;(3)业务影响是衡量信息安全事件对事发公司正常业务开展所造成的负面影响程度的要素,业务分为项目业务、运营业务、内部服务(网络服务、网站服务、邮件系统三务、ITSMIS系统服务、实验环境和数据库服务等);(4)资产损失是衡量恢复该资产正常运行所需付出资金代价的要素。4.6.1.2分级描述根据信息安全事件所造成后果的严重程度,信息安全事件可划分为4个等级。其中一级危害程度最高,四级危害程度最低。各级别的信息安全事件具体描述如下:一级:本级信息安全事件对公司有严重的影响或破坏;二级:本级信息安全事件对公司有较大的影响或破坏;三级:本级信息安全事件对公司有一般的影响或破坏;四级:本级信
20、息安全事件对公司有较小的影响或破坏。对于综合类事件定级时以单个要素的最高定级结果作为该类事件的最后定级结果;特殊的、复杂的、难以界定清楚的事件,由公司领导召开会议评审后确定最终结果。4.6.2事件分类对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和吸取经验教训等信息安全应急响应工作的重要依据。分类如下表:信息安全事件分类表大类小类例子环境事件自然灾害水灾、地震、火灾等外围保障设施故障电力故障、外围网络故障等资产自身故障自然老化、硬件故障、软件故障等人为事件内部员工有意事件偷窃、有意泄密、故意破坏等内部员工无意事件无意泄密、操作失误等外部人员有意事件偷窃、非授权访问等外部人员无
21、意事件误操作、误访问等4.6.3处理程序4.6.3.1发现安全事件并报告任何员工发现信息安全事件(如:公司或客户系统被未授权人访问,公司或客户机密信息被未授权人更改或删除,公司或客户系统与网络出现异常现象,盗窃,硬件设施被损毁,文档资料丢失或其他方面的事件)时,立即向技术部IT服务管理小组报告并填写信息安全事件报告。4.6.3.2评估事件类别IT服务管理小组相关人员评估事件的范围、影响、严重性和类别,并初步判断事件等级按照分级和分类准则,填写信息安全事件报告中的“事件等级”和“事件分类”。4.6.3.3判断事件等级和处理IT服务管理小组应充分评估事件类别、性质、严重程度并对事件等级做出判断。当
22、事件定义为二、三、四级时,由IT服务管理小组协调相关资源和相关人员,组建信息安全反应小组,并以积极、负责的态度为原则,制定解决方案并及时处理,确保事件对业务运行的影响最小化和控制事件的发展和蔓延。当事件定义为一级时,由IT服务管理小组协调相关资源和相关人员,组建信息安全应急小组,通报公司决策层并指定责任人,制定解决方案及时处理,及时向决策层汇报事件处理进度及情况。在处理事件的过程中必须权衡各种利弊关系,以对业务运行的最小化影响或损失为原则。信息安全反应小组/应急小组相关人员在事件处理完毕后,填写信息安全事件报告并通报给IT服务管理小组。4.6.3.4事件解决结果评审IT服务管理小组对事件的处理
23、结果审核,审核不通过时可要求重新处理,同时应该保持经常与公司管理层沟通。4.6.3.5事件总结及惩戒处理IT服务管理小组详细分析整个事件的前因后果,充分总结。协调技术部根据信息安全事件发生的类型和严重程度执行惩戒处理,在处理时应以有责必究为原则并填在信息安全事件报告中的“必要的处罚”O4.6.3.6判定是否采取纠正措施IT服务管理小组相关人员根据事件处理情况和事件总结,给出建议或纠正措施,填写信息安全事件报告,将信息安全事件报告提交技术部。如要采取新的纠正措施涉及到利用公司资源的,需要相关部门积极配合,必要时还需上报给公司管理层决定。信息安全管理流程4.6.4处罚确定4.6.4.1处罚种类口头
24、警告、书面警告、记过、开除降级、免除或撤消职务减发绩效工资和岗位工资、降低绩效工资和岗位工资级数4.6.4.2违纪种类以下违纪给予口头警告1)一个自然月内被信息安全管理员安全检查中发现违反公司信息安全制度累计两次者;2)造成的信息安全事件等级为四级;以下违纪给予书面警告,并可降级降薪、减发当月基础工资的8-10%1)累计两次以上口头警告者;2)违反机密、信息安全管理规定,造成的信息安全事件等级为三级;以下违纪给予记过,并可免除或撤消职务、降薪、减发当月基础工资的11-30%1)累计两次以上书面警告者;2)违反机密、信息安全管理规定,信息安全事件等级为二级;以下违纪给予开除(作违纪解除劳动合同处理)或采取法律诉讼1)累计两次记过者;2)违反机密、信息安全管理规定,信息安全事件等级为一级。4.7关键绩效指标KPI频度责任部门目标值计算公式/方法重大信息安全事件数量按季度运维部0次重大信息安全事件发生的次数
