ITSM-02-IS-01 信息安全管理手册 v1.0

Xxx 有限公司 ISO20000 体系文件信息安全管理手册文档信息文档编号：ITSM-02-IS-01 文档名称：信息安全管理规范起草人：审核人：批准人：生效日期：发布范围：版本记录版本号版本日期修改修改章节修改记录 1 目录目的和范围......................................................................4 1.1 1.2 2 3 4 5 编写目的.........................................................................................................................4 适用范围.........................................................................................................................4 制定依据.........................................................................4 术语定义.........................................................................4 流程角色及职责.................................................................4 具体条款.........................................................................4 5.1 信息安全政策.................................................................................................................4 5.1.1 信息安全方针..........................................................................................................4 5.1.2 信息安全风险评估..................................................................................................5 5.1.3 信息安全内审..........................................................................................................5 5.1.4 信息安全外审..........................................................................................................5 5.2 信息安全措施.................................................................................................................5 5.2.1 资产分类和保护......................................................................................................5 5.2.2 人力资源安全..........................................................................................................6 5.2.3 物理与环境安全......................................................................................................6 5.2.4 通讯和操作安全......................................................................................................6 5.2.5 访问控制..................................................................................................................7 5.2.6 法律法规符合性......................................................................................................7 5.3 信息安全事件.................................................................................................................8 6 相关文件与记录...............................................................................8 1 目的和范围 1.1 编写目的本文件编写的目的是为了规范信息安全管理流程的相关策略及活动，确保信息安全管理流程的执行质量和执行有效性。 1.2 适用范围本文档适用于 xxx 有限公司技术中心的运维及 IT 服务部（以下简称“运维及 IT 服务部”），本文档所规定的 IT 服务是指运维及 IT 服务部为公司研发部门所提供的 IT 服务。 2 制定依据 ISO/IEC 20000-1:2011。 3 术语定义本文档采用《ITSM 标准术语表》中的定义。 4 流程角色及职责 4.1 相关流程 4.2 流程活动说明编活动责任人说明需求识别与评估信息安全经理 02 发起信息安全风险信息安全经理 03 信息安全满足业务需求信息安全经理根据分析结果，判断当前信息安全规范是否能够满足业务需求 04 制定/更新信息安全规范信息安全经理根据业务对信息安规范要求，制定和更新信息安全规范计划。 05 信息安全规范是否需要实施信息安全经理计划制定完成后，根据计划要求判断是否需要实施。确认需要实施进入变更流程 06 是否满足业务需求信息安全经理检查实施结果确认是否达到计划要求，满足业务需求。码 01 根据新应用/服务系统上线、信息安全管理回顾发起需求识别与评估。根据现有状态，分析信息安全相关风险。具体流程角色与运维及 IT 服务部相关岗位/人员的对应关系请参见三级文件《信息安全管理策略》。 5 具体条款 5.1 信息安全政策 5.1.1 信息安全方针安全管理、风险控制、内控外防、快速响应保护信息系统的物理环境、系统软硬件和信息资源，增强信息系统的安全预警能力、保护能力、检测能力及应急处置能力，确保信息系统的安全； a) 增强内部信息安全综合治理能力，实现安全风险可控制、内部操作可审计、措施执行可度量； b) 确保重要业务数据的保密性和完整性，降低信息系统的故障率，提高灾难恢复能力，保证各项业务系统的可持续运行； c) 提高公司信息技术人员的安全思想意识、安全专业素质以及安全管理水平，确保信息技术人员具备与其岗位要求相应的能力。 5.1.2 信息安全风险评估  频率：至少每年一次；  范围：所有系统；  目标：确认系统的安全性、找出系统漏洞、对漏洞进行修复。 5.1.3 信息安全内审  每年进行信息安全的内部审核。 5.1.4 信息安全外审  重要业务系统通过等保测评，并在网监进行备案。 5.2 信息安全措施 5.2.1 资产分类和保护应明确运维及 IT 服务部所有重要信息资产的所有者，所有者要确保资产受到合适的保护。信息安全经理应根据信息资产的价值、法规要求、敏感度和对组织的重用程度不同对其进行分类，不同级别的信息资产要有适合其相应安全保护要求的控制措施。 5.2.2 人力资源安全建立并将信息安全相关的控制贯穿于运维及 IT 服务部的人力资源管理中，对于关键岗位需要建立相关的安全监督机制；确保员工、合同方和第三方人员在雇佣前、雇佣中或离职以及雇佣关系变更时都以一种有序的方式进行应根据运维及 IT 服务部的信息安全管理要求明确定义员工、第三方人员的安全角色和责任，并记录在职责描述中；并且根据相关的职责，制定相关的信息安全基本行为准则和安全操作准则。对所有员工、第三方人员要开展合适的安全意识培训和教育，确保其了解运维及 IT 服务部的信息安全管理规范，以减少人为错误、偷窃、欺诈及滥用设施所带来的安全风险。如果出现了任何违反信息安全政策的行为并造成损失的要依照运维及 IT 服务部规定和国家相关的法律法规进行处罚。 5.2.3 物理与环境安全信息资产在物理上应有访问控制和保护，防止偷窃、滥用、损坏或未经授权的访问；办公场所要满足相关的常规安全要求，在物理上应有访问控制和保护。 5.2.4 通讯和操作安全网络自身的设计、构建和使用应满足安全控制的要求，并部署必要的基于网络的安全技术和手段。网络设备在运行维护过程中应严格遵照安全技术规范和操作管理规范，所有网络设备接入、配置变更、设备废弃或更换应遵循变更流程，所有变更实施过程都必须记录在案。针对运维及 IT 服务部目前所维护的所有基础设施及信息系统必须制定相应的安全技术规范和操作管理规范，通过对日常操作的管理、备份管理、信息交换过程的控制以及系统的规划验收等措施，确保运维及 IT 服务部信息处理设施的正确和安全操作。明确针对第三方组织人员的信息安全管理要求，建立相应的安全控制措施。应保障存储介质使用和保管的安全。废弃的存储介质应确保被安全销毁，其中存储的敏感信息被彻底消除或覆盖，不会造成信息泄漏。将任何含有敏感信息的信息系统设备或存储介质带