信息安全系统管理系统流程

信息安全管理流程说明书
（S-I）
信息安全管理流程说明书
1 信息安全管理
1.1目的
本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动，保证信息安全管理目标的实现，满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。

1) 在所有的服务活动中有效地管理信息安全；
2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题，识别并跟
踪组织内任何信息安全授权访问；
3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求；
4) 执行操作级别协议和基础合同范围内的信息安全需求。

1.2范围
本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。

向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定，以及客户自身的相关安全管理规定。

公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。

2术语和定义
2.1相关ISO20000的术语和定义
1) 资产（Asset）：任何对组织有价值的事物。

2) 可用性（Availability）：需要时，授权实体可以访问和使用的特性。

3) 保密性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的
特性。

4) 完整性（Integrity）：保护资产的正确和完整的特性。

5) 信息安全（Information security）：保护信息的保密性、完整性、可用性及其他属
性，如：真实性、可核查性、可靠性、防抵赖性。

6) 信息安全管理体系（Information security management system ISMS）：整体管理
体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改
进信息安全。

7) 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资
源。

8) 风险分析（Risk analysis）：系统地使用信息以识别来源和估计风险。

9) 风险评价（Risk evaluation）：将估计的风险与既定的风险准则进行比较以确定重
要风险的流程。

10) 风险评估（Risk assessment）：风险分析和风险评价的全流程。

11) 风险处置（Risk treatment）：选择和实施措施以改变风险的流程。

12) 风险管理（Risk management）：指导和控制一个组织的风险的协调的活动。

13) 残余风险（Residual risk）：实施风险处置后仍旧残留的风险。

2.2其他术语和定义
1) 文件（document）：信息和存储信息的媒体；
注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；
注2：文件的例子，如策略声明、计划、程序、服务级别协议和合同；
2) 记录（record）：描述完成结果的文件或执行活动的证据；
注1：在本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；
注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录；
3) KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process
Indication即关键流程指标。

是通过对组织内部流程的关键参数进行设置、取样、
计算、分析，衡量流程绩效的一种目标式量化管理指标，流程绩效管理的基础。

3 角色和职责
3.1信息安全经理
职责：
1) 负责信息安全管理流程的设计、评估和完善；
2) 负责确定用户和业务对IT服务信息安全的详细需求；
3) 负责保证需求的IT服务信息安全的实现成本是适当的；
4) 负责定义IT服务信息安全目标；
5) 负责调配相关人员实施信息安全管理流程以及相关的方法和技术；
6) 负责建立度量和报告机制；
7) 保证IT服务信息安全管理流程以及相关的方法和技术被定期回顾和评审。

主要技能：
1) 很强的决策和判断能力
2) 了解组织的文化和政治背景
3) 熟悉国家颁布的安全相关法律法规
4) 很强的技术背景，对IT架构有总体的了解
5) 项目管理技能
6) 卓有成效的管理和组织会议、管理和组织人员的能力
7) 对生产环境、组织架构、与业务部门的关系等，有充分的总体了解
8) 良好的面向客户的沟通技巧
9) 协调和处理多个任务的能力
10) 足够的社交技能和信誉，可以和各个高层管理人员和各个支持小组进行协商和沟通
3.2信息安全责任人
信息安全流程负责人通过从宏观上监控流程，来确保信息安全流程被正确地执行。

当流程不能够适应公司的情况时，流程负责人必须及时对此进行分析、找出缺陷、进行改进，从而实现可持续提高。

职责：
1) 确保信息安全流程能够取得管理层的参与和支持
2) 确保信息安全流程符合公司实际状况和公司IT发展战略
3) 总体上管理和监控流程，建立信息安全流程实施、评估和持续优化机制
4) 确保信息安全流程实用、有效、正确地执行，当流程不能够适应公司的情况时，
必须及时对此进行分析、找出缺陷、进行改进(比如增加或合并流程的角色)，从而
实现可持续提高流程效率
5) 保持与其他流程负责人的定期沟通
主要技能：
1) 深刻了解信息安全管理流程，熟悉信息安全管理流程和其他流程之间的关系；
2) 具有很强的计划、组织、领导和控制才能，能够综合各方意见，按时制订和定期
优化流程；
3) 具有很好的沟通协调技能，能够取得公司高层的支持，获得所需资源；
4) 具有流程设计经验；
5) 具有良好的团队合作精神和跨部门沟通协调能力；
6) 有很强的分析和处理问题的能力，能够分析流程执行中的问题，并提出改进意见；
7) 有决策权，能够确保信息安全管理流程设计要求在实施项目中得到贯彻和执行；
3.3信息安全分析员
职责：
1) 对系统的信息安全进行分析和评估，并提出修改建议；
2) 按照信息安全规划中对信息安全目标的要求，进行信息安全具体监控指标的定义。

主要技能：
1) 很强的技术背景，对IT架构有总体的了解
2) 有较好的风险分析能力
3.4信息安全监视员
信息安全监视员的职责包括：
1) 按照信息安全要求，对监控对象进行信息安全监视；
2) 对信息安全监控流程、相关行为和监控结果进行记录、存档；
3) 定期对信息安全监控结果进行分析，并生成信息安全监控报告。

主要技能：
1) 熟悉信息安全监视工具
2) 熟悉信息安全管理流程
4 信息安全管理流程
4.1信息安全管理概要流程
为方便理解信息安全管理流程，信息安全管理流程将采用分级的方式进行表述。

信息安全管理概要流程主要从整体上描述可用性的处理流程，不会体现具体的细节和涵盖所有的人员。

参见图1 信息安全管理概要流程图。

信息安全风险评估程序为风险规划提供了资产识别、风险评估的指南。

图2 风险规划
4.2.1 2.07.01.1确定安全需求
识别客户对IT信息安全的需求和目标，进行信息安全需求分析。

信息安全需求要求的来源主要包括：
1) 服务合同或SLA相关条款中约定；
2) 法律法规的要求；
3) 客户业务特点或所在行业业务特性所确定的安全要求；
4) 公司内部的安全要求。

4.2.2 2.07.01.2风险评估
信息安全分析员根据资产识别情况制定风险评估方法，通过识别信息资产、风险等级评估认知本公司的安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将安全风险控制在可接受的水平。

风险评估方法可以参考信息安全管理体系的风险评估方法和程序。

4.2.3 2.07.01.3信息安全改进建议
将风险分析的结果进行现状（AS IS）和目标系统(TO BE)之间的差距分析，为弥补差距，提出适当的解决方案，并进行成本估算。

信息安全改进建议应由信息安全经理会同客户进行评审和批准。

4.3 2.07.02控制措施实施
根据风险规划中的相关内容，信息安全经理组织协调控制措施实施，包括一些设备采购申请、安装等活动的执行。

主要通过变更管理、发布管理和供应商管理执行。

4.4 2.07.03控制措施监视
信息安全管理和监视流程是指按照信息安全计划实施控制措施，并对控制措施进行管理和维护的活动。

4.5 2.07.04风险评审与建议
信息安全分析专家根据信息安全的运行和管理状况，对安全状态状况进行评价和分析，对信息安全计划中的一些不合理的要点进行汇总，并整理出信息安全优化方案。

将信息安全改进建议整合入整体信息安全改进计划中，作为今后改进的指导，并提交给信息安全主管会同客户进行评审和批准。

信息安全优化方案在批准后应通过变更管理流程进行优化方案的实施。

5 与其他流程的关系
下图为信息安全管理流程与其他流程的之间的强相关流程。

强相关流程是指，在信息安全管理流程中，可能需要直接触发其他管理流程，或直接向某些流程获取必要数据。

对于信息安全管理流程没有直接影响的其他管理流程，则不在本流程中进行描述。

安全管理流程必须保证SLA目标可以完成，并进行持续的改进动作。

5.1.2连续性管理
信息安全管理和服务连续性管理密切相关，两种流程均以化解IT 服务可用性风险为努力目标。

信息安全管理规程以应对人们意料之中的常见可用性风险（如硬件故障等）为第一要务。

而服务连续性管理则集中致力于化解较为极端且相对罕见的可用性风险（如火灾和洪水）。

连续性管理的重要输出是关键业务清单，其中定义了所有的关键业务、每个关键业务的最终用户等信息。

当确定可用性需求时，必须以关键业务清单作为重要输入，从而真正满足最终业务部门的需求。

5.1.3变更管理
变更管理应考虑对安全的影响，安全管理需参与CAB会议并提出意见；安全改进计划的实施应当通过变更管理流程控制。

5.1.4事件/问题管理
安全监视流程中，发现的信息安全事件需要上报给事件管理流程，由事件管理/问题管理流程负责解决。

另外，安全管理需要对问题数据库及事件数据库进行分析，来找出安全事件，从而提出改进措施，最终确保服务中的安全。

6 信息安全管理流程的KPI
为了保证信息安全管理良好执行，定义以下关键指标，
信息安全经理：
1) 与信息安全相关的重大事件数量；
2) 服务信息安全达标率；
3) 信息安全计划的质量和更新及时率。

信息安全分析员：
1) 已完成分析的服务系统框架的比例；
2) 由于未分析出风险而产生安全事件的数量。

信息安全监视员：
1) 没有对安全事件进行监视而导致安全事件放大的数量。

信息安全责任人：
1) 有效的改进建议
2)。