228 华为IT安全管理流程.doc

1 目的确保访问受保护的资产的用户被严格限制；为用户提出的IT安全需求提供解决途径；及时发现和排除IT安全隐患，减少IT安全事故发生次数。 2 范围本流程适用于涉及公司IT安全的逻辑访问控制的活动3 流程提要用户根据IT规划与控制部门制定的IT安全标准提出安全需求，IT热线将其中的安全问题转给安全控制办，对应用系统的问题，按IT立项管理流程处理，对非应用系统的问题，由技术支持人员提出解决方案并实施，改进IT安全管理系统，由安全控制办负责其日常管理与维护。日常IT安全监控由系统操作人员负责，并报告发现的安全隐患。审计人员执行IT安全审计并输出设计报告，对发现的问题按上述办法处理。4 输入4.1 IT安全标准5 输出5.1 IT安全审计报告5.2 IT安全控制工作月报5.3 IT安全监控月报5.4 系统维护手册5.5 系统监控手册5.6 用户手册6 职责6.1 用户6.1.1 提出应用和数据安全需求6.1.2 提出日常安全申请6.2 IT规划与控制部门6.2.1 制定IT安全标准（现由NI项目提供）；6.3 IT热线判断是否安全问题6.4 安全控制人员 6.4.1 判断安全问题类型； 6.4.2 执行日常安全管理和维护；6.5 技术支持人员 6.5.1 分析问题、提出解决方案； 6.5.2 实施解决方案6.6 系统操作人员 6.5.1 监控IT安全标准； 6.5.2 报告IT安全隐患6.7 审计人员 6.5.1 执行IT安全审计； 6.5.2 报告IT安全状况和隐患7 技能要求无8 信息系统本流程需以下信息系统支持：网络安全管理系统，各应用系统的安全管理功能，NOTES平台的信息系统服务申请等。9 设备标准办公设备10 流程图11 流程说明01 制定IT安全标准IT规划控制人员根据相关规章制度和公司业务与IT管理上的特定要求制定IT安全标准。02 提出应用和数据安全需求用户根据IT安全标准，分析自身的业务需要，在其二级部门负责人的签字同意后，通过联络单或签名邮件的形式向IT热线提出应用和数据方面的安全需求。03 判断是否安全问题IT热线接到用户问题后，对不属于IT安全的问题（如：ID丢失、修改密码等）按提供IT运作支持流程予以答复，对属于IT安全的问题转交安全控制人员，同时抄送知识产权部。04 IT安全审计IT安全审计人员（知识产权部）根据工作计划，对日常IT安全控制、安全监控工作或针对公司某一应用、服务器、部门的IT安全等进行专项审计和例行审计。05 报告IT安全状况和隐患IT安全审计报告在描述IT安全状况的同时，也要着重指出IT安全隐患，并就主要的安全性问题提出相应的改进建议。IT安全审计报告主送安全控制人员。06 判断安全问题类型IT安全控制人员分析该安全问题是否属于应用系统，对属于应用的问题请用户按IT立项管理流程处理，否则提交技术支持。07 分析问题、提出解决方案技术支持人员在充分理解、分析用户需求后，可以调集相关的安全控制人员、系统操作人员、技术顾问、技术专家、网络安全专家、规划控制人员、IT安全审计人员等制定实施方案。08 实施解决方案技术支持人员按照IT生产环境变更管理流程要求实施解决方案，并针对实施结果制定相关系统维护手册、监控手册、用户手册等文档。09 提出日常安全申请用户对于日常工作中的安全问题，如：MRPII、NOTES等系统的开户、设置权限、修改口令等，可通过信息系统服务申请电子流提交申请10 执行日常安全管理与维护安全控制人员在现有IT安全管理系统环境中按规定执行日常安全管理和维护（包括：ID管理、口令管理、权限管理等），并根据业务需要制定、修订有关的安全制度、流程、操作指导书等文件（详见参考文件14.2-14.6）。11 监控IT安全标准系统操作人员根据系统安全监控手册监控IT安全标准的执行情况，并定期递交IT安全监控报告。12 报告IT安全隐患一旦发现IT系统的安全隐患和问题，系统操作人员应报告安全控制人员处理。12 例外原则无13 表格与记录无14 参考文件14.1 提供IT运作支持流程14.1 IT立项管