信息安全服务管理规范

XXXXX公司文件名称信息安全服务管理规范版本2.0管制印文件编号PD-WI-0201制定部门安全服务部页次1/31目的本文档编写的目的，是帮助公司服务团队明确岗位保密职责，规范信息安全服务操作流程，确保公司及客户信息资产安全，并为进一步完善和改进信息安全服务奠定基础，特制定此管理规范。2范围本程序适用于信息系统安全应急处理项目的服务团队向客户提供约定信息安全应急处理服务级别的管理。3权责3.1安全服务部负责策划和制订公司信息安全策略、监督安全规定的实施，提出改善要求，确保信息系统满足公司业务安全要求。负责加解密授权管理、用户申报、开通访问授权和机房管理、数据备份3.2信服部负责依公司的系统安全规定和部门业务要求，对网络进行维护管理、计算机维护及故障处理等，保证系统安全运行。4定义4.1公司信息分类：a)技术信息：产品图纸、制造技术、主要存在于技术部。b)质量信息：主要保存在质管部。c)商务信息：主要存在于采购部、经营部。d)财务信息：主要存在于财务部。e)人事信息：公司员工及为公司服务的特殊技能人才信息资料。f)密码信息：个人登录、开机密码及IT管理员密码。g)内部运作其他信息：包括设备、基础设施、工程等信息资料。以上信息，根据信息秘密程度，分为可公开信息和保密信息。公司任何员工均不可将公司保密信息（文件）以任何方式传递、泄露给非授权人4.2公开信息：此类信息、文件可从公司公开渠道所获取，如公司广告、网站修订记录版本修订日期分发部门制作核准1.02013/06/20公司全体2.02017/11/30XXXXX公司文件名称信息安全服务管理规范版本2.0管制印文件编号PD-WI-0201制定部门安全服务部页次2/3中所涉及的公司名称、地址、经营产品等。4.3秘密信息：不可从公开渠道所能获取的信息，如产品技术文件，包括产品图纸、客户文件、工艺技术规范等；人事行政文件、管理程序和规范、生产经营统计信息和其他记录、文件等。5参考文件信息技术信息安全等级保护基本要求GB/T22239-2008信息技术信息系统安全保护等级定级指南GB/T22240-2008信息安全技术信息安全信息安全应急处理规范GB/T20984-2007信息安全应急处理服务资质认证实施规则ISCCC-SV002：2010信息技术-安全技术-信息安全管理体系要求ISO/IEC27001:20136管理流程图：无7作业内容与要求7.1服务合同签订后，销售经理需反馈技术中心进行项目立项，按照公司项目管理规范，任命项目经理，拟制项目所需的内部其他部门的支持活动，以及需要相关供方提供的服务等。7.2项目经理组织销售部、信息安全服务部经理及项目组代表等，就相关支持活动进行评审，评审确定活动细节后，公司内部其他部门按照评审中约定的细节给予支持。7.3针对项目选择适当的应急处理工具包，及时解决客户网站系统安全故障或事件（计算机病毒事件、蠕虫病毒事件、特洛伊木马事件、网页内嵌恶意代码事件、拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、信息篡改事件、信息假冒事件、信息窃取事件等），修复网站信息系统，使网站网络系统和信息服务恢复正常运行，尽可能挽回或减少损失；对安全故障或事件发生的系统作安全检查和清理，保证网站信息系统安全；弥补安全故障或事件发生系统上的安全漏洞，加强安全保护措施，防止类似事件的再次发生；收集由于安全故障或事件造成的入侵记录、破坏情况、直接损失情况等证据；并为主机和网络设备安全初始化快照和备份XXXXX公司7.4制定和实施信息安全服务流程和管理制度，规范服务过程中的工作行为和文件名称信息安全服务管理规范版本2.0管制印文件编号PD-WI-0201制定部门安全服务部页次3/3作业规范。7.5积极开展各类信息安全服务技术和安全教育，项目开始前均需组织项目人员进行安全教育和技术教育。7.6保证使用的应急处理工具和测试工具的可用性、稳定性、安全性。7.7安全服务部及时关注国内外权威机构发布的安全和漏洞公告及时的更新应急处理工具包，并了解和掌握相关信息安全技术和国家标准。8相关文件与表单3.1相关文件：无3.2相关表单：无XXXXX公司