ITSS-15-08信息安全管理控制程序.docx
《ITSS-15-08信息安全管理控制程序.docx》由会员分享,可在线阅读,更多相关《ITSS-15-08信息安全管理控制程序.docx(11页珍藏版)》请在优知文库上搜索。
1、信息安全管理控制程序目录1 .目的32 .适用范围33 .职责与术语34 .工作程序34.1识别信息安全需求34.2资产识别64.3风险评估74.3.1风险识别74.3.2风险分析及判定74.3.3风险评价84.4风险处置84.5定期评估和检查84.6信息安全事件94.6.1信息安全事件分级94.6.Ll分级要素94.6.1.2分级描述94.6.2事件分类94.6.3处理程序104.6.3.1发现安全事件并报告104.6.3.2评估事件类别104.6.3.3判断事件等级和处理104.6.3.4事件解决结果评审104.6.3.5事件总结及惩戒处理114.6.4处罚确定114. 6.4.1处罚种类
2、115. 6.4.2违纪种类116. 7关键绩效指标127. 相关文件错误!未定义书签。8. 记录错误!未定义书签。1 .目的为建立一个适当的信息安全事态、信息安全事故、薄弱点和故障报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。2 .适用范围适用活动:运维服务过程中的信息安全事故管理相关内容。3 .职责与术语3. 1职责:运维部:牵头管理信息安全管理。其他部门:按照公司管理制度实施信息安全管理。3. 2术语: 信息安全事件是指由于客户信息资产的可用性、完整性或机密性受损而造成危害的事件。 安全管理是顺应信息安全的需要而产生的,其主要目标是确保
3、信息的安全性。 安全管理致力于确保服务的安全性在任何时候都能达到与客户约定的级别。 安全性在服务中被视为可用性管理的一部分。 安全管理已经成为现代服务管理中一个重要的问题。 安全性是指不易遭到已知风险的侵袭,并且尽可能地规避未知风险的性能。提供这种性能的工具是安全措施。 安全措施的目标是要保护信息的价值,这种价值取决于机密性、完整性和可用性三个方面。术语定义机密性指保护信息免受未经授权的访问和使用。完整性指信息的准确性、完全性和及时性。可用性是信息在任何约定的时间内都可以被访问,这取决于由信息处理系统所提供的持续性。4.工作程序4. O安全策略(1)安全方针遵循公司“统一规划、分级管理、积极防
4、范、人人有责”的原则,按照公司统一部署,结合服务/经营活动的特点,采取一切必要的措施,加强信息安全体系的建设和推进管理。(2)安全措施和安全规范公司信息化设备管理:1)严禁将公司配发给员工用于办公的计算机转借给非公司员工使用,严禁利用公司信息化设备资源为第三方从事兼职工作。2)公司所有硬件服务器统一放置在机房内,由专人承担管理职责,专人负责服务器杀毒、升级、备份。3)非公司技术人员对我单位的设备、系统等进行维修、维护时,必须由公司相关技术人员现场全程监督。计算机设备送外维修,必须经过部门负责人批准。4)严格遵守计算机设备使用及安全操作规程和正确的使用方法。任何人不允许私自对信息化设备进行维修及
5、操作,不得擅自拆卸、更换或破坏信息化设备及其部件。5)计算机的使用部门和个人要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃易爆、强腐蚀、强磁性等有害计算机设备安全的物品。6)原则上公司所有终端电脑、服务器都必须设定开机登录密码和屏幕保护密码,对于交换机、防火墙、路由器等网络设备也必须设置管理密码。7)公司所有终端电脑、服务器都必须安装正版杀毒软件,公司网络管理员必须对服务器进行定期杀毒、病毒库升级、补丁修复。(3)密码与权限管理1)密码设置应具有安全性、保密性,不能使用简单的代码和标记。2)密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码设置
6、不应是名字、生日、重复、顺序、规律数字等容易猜测的数字和字符串;密码如发现或怀疑密码遗失或泄露应立即修改。3)服务器、防火墙、路由器、交换机等重要设备的管理密码由公司网络管理员(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码妥善保存。4)有关密码授权工作人员调离岗位,公司网络管理员应对密码立即修改或用户删除。(4)公司信息安全管理1)公司每一位员工都有保守公司信息安全防止泄密的责任,任何人不得向任何单位或个人泄露公司技术和商业机密,如因学术交流或论文发表涉及公司技术或商业机密,应提前向公司汇报,并在获取批准同意后,方能认可的形式对外发布。2)定期对公司重要信息包括软件代码进行备
7、份,管理人员实施备份操作时,必须有两人在场,备份完成后,立即交由研发中心封存保管。3)存放备份数据的介质包括电脑、U盘、移动硬盘、光盘和纸质,所有备份介质必须明确标识备份内容和事件,并实行异地存放。4)数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中,如果出现问题时由工程中心进行现场技术支持。5)数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要进行定期保存或者永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期避免对联系业务运行造成影响。6)非本公司技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ITSS 15 08 信息 安全管理 控制程序