信息安全管理规范

太极计算机股份有限公司ISO20000体系文件信息安全管理规范（版次：0/A）编制人（部门）：电子政务日期：2010-3-1审核人：日期：批准人：日期：2010年3月1日发布2010年3月1日实施信息安全管理程序2手册修订履历版本修改日期修订人审核人批准人说明A草案A初次发布信息安全管理程序3目录1目的...........................................................................................................................................42适用范围....................................................................................................................................43术语定义....................................................................................................................................44角色及职责................................................................................................................................45工作说明....................................................................................................................................45.1资产识别.........................................................................................................................45.2风险的识别.....................................................................................................................55.3风险评估.........................................................................................................................55.4风险等级评价:.................................................................................................................65.5超过可接受风险的处置:..................................................................................................65.6定期评估.........................................................................................................................65.7信息安全事件..................................................................................................................65.8信息安全事件分析..........................................................................................................65.9改进计划.........................................................................................................................76相关文件及记录.........................................................................................................................76.1相关文件.........................................................................................................................76.2表单与记录.........................................................................................错误!未定义书签。信息安全管理程序41目的本文件编写的目的是规定了在运维服务部花都分部服务与作业活动中，对客户关键应用所关联的资产进行风险等级评估并采取相应的控制措施的方法。2适用范围本文档适用于运维服务部PV分部的所有领域；本文档适用于IT服务商进行资产的识别与风险评估的管理。3术语定义无4角色及职责角色职责信息安全管理经理负责信息安全管理负责进行资产盘点及风险评估信息安全员执行信息安全管理经理分派的任务5工作说明5.1资产识别资产的分类IT服务与作业活动中资产类别区分，以IT服务的领域、系统来进行分类，并将该系统所属的服务/资产项进行归类；填写《资产盘点及风险评估表》的资产清单字段。内容包括但不限于领域﹑资产类别﹑服务/资产编号﹑服务/资产项﹑放置位置﹑责任人及数量等。信息安全管理程序55.2风险的识别1）识别风险根据各资产类别所识别的服务/资产项进行风险的描述，风险的判别和风险存在点可以参照《网络安全管理规范》、《系统安全管理规范》、《应用系统安全管理规范》和《机房环境安全管理规范》来进行，并区别风险发生的关键因素为资产类外部的因素或内部的因素，若为资产类外部因素则归类为威胁，若为资产类内部因素则归类为弱点。2）确认已经存在的防护及控制措施针对已识别的资产类进行确认已经存在的控制及管理方法，管理方法参照《网络安全管理规范》、《系统安全管理规范》、《应用系统安全管理规范》和《机房环境安全管理规范》来进行。5.3风险评估1)风险评估中，综合考虑的二个方面：风险概率:预计风险发生的机率值1-5分；范围得分1%至20%121%至40%241%至60%361%至80%481%至100%5资产重要度:资产重要度主要在体现资产类别在IT服务的项目中所占的重要程度，依据原值和关联的服务地重要度将系统分类为5级，其中有一项高时，表达即为高；原值关联的服务重要度表达得分低低低1较低较低较低2中中中3较高较高较高4高高高52)风险值计算：风险值介于1~25之间。计算公式：风险值=资产重要度*风险概率信息安全管理程序65.4风险等级评价:确定可接受风险水平：由IT服务管理委员会依照风险评估值列表﹑成本及紧急程度的考虑确定可接受风险水平值，作为改善风险水平的基准，对于超出风险值水平的风险需要按照以下5.5的方式考虑如何处置风险。5.5超过可接受风险的处置:超过可接受风险水平值时可按以下方法进行处理：1)采用适当的控制措施(此措施可参照《网络安全管理规范》、《系统安全管理规范》、《应用系统安全管理规范》和《机房环境安全管理规范》中提及的各项安全措施来进行)；2)若提供风险明显地符合组织的政策与风险承受准则，可在掌握状况下客观地接受此等风险；3)回避风险：即将相关的营运风险转移至其它机构，如保险公司、第三方服务商；4)对于不可接受风险的资产，经过采取控制措施并实施后，重新评估以确认其风险等级，确保所采取的控制措施是充分的，直到其风险降至可接受(即低于可接受风险水平值)为止。5.6定期评估每年至少一次全面审查风险评估内容与状态的适应性，以确定是否存在新的风险及是否需要增加新的控制措施，对发生以下情况需及时进行风险评估：当发生重大信息安全事故时；当信息网络系统发生重大变更时；当新增加服务/资产项时；IT服务管理委员会确定有必要时。5.7信息安全事件所有引起信息的机密性（预防数据欺骗及组织敏感信息泄漏），完整性（防止数据被篡改）和可用性缺失（核心业务的连续性）的事件都是信息安全事件。（例如病毒引起的故障，由于密码失窃引发的事件等等），发生有关信息安全事件的时候按《事件管理程序》的流程来执行。5.8信息安全事件分析信息安全管理经理应定期分析和汇总信息安全事件，生成《信息安全事件统计表》。信息安全管理程序75.9改进计划本流程的改进措施，需要输入到服务改进计划中。6相关文件及记录6.1相关文件文件编号文件名称ITSM-2-IM-0-1事件管理程序ITSM-3-IS-001机房环境安全管理规范ITSM-3-IS-002网络安全管理规范ITSM-3-IS-003系统安全管理规范ITSM-3-IS-004应用系统安全管理规范