信息安全管理流程分析

1、信息安全管理流程分析管理流程说明书(S-I)版本号版本记录作者审核批准日期全文结束 -9-19修改核对信息安全管理流程说明书汤笑咪信息安全管理流程说明书 1信息安全管理1、1目的本 流程目的在于规范服务管理和提供人员在提供服务 流程 中应遵循和执行的相关活动，保证信息安全管理目标的实现，满足SLA中的信 息安全性需求以及合同、法律和外部政策等的要求。1)在所有的服务活动中有效地管理信息安全；2)使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题，识别 并跟踪组织内任何信息安全授权访问；3)满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求；4) 执行操作级别协议和基础合同范

2、围内的信息安全需求。1、2范围本安全管理流程的规定主要是针对由公司承担完全维护和管 理职责的IT系统、技术、资源所面临的风险的安全管理。向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司 信息安全管理体系所设定的安全管理规定，以及客户自身的相关安全管理规 定。公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全 管理体系所设定的安全管理规定。2术语和定义2、1相关IS020000的术语和定义1)资产(Asset)：任何对组织有价值的事物。2)可用性(Availability)：需要时，授权实体可以访问和使用的特性。3)保密性(Confidentiality)：信息不可

3、用或不被泄漏给未授权的个人、实 体和流程的特性。4)完整性(Integrity)：保护资产的正确和完整的特性。5)信息安全(Information security)：保护信息的保密性、完整性、可用 性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。6)信息安全管理体系(Information security management system ISMS)： 整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、 保持和改进信息安全。7)注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流 程和资源。8)风险分析(Risk analysis)：系统地使用信息以

4、识别来源和估计风险。9)风险评价(Risk evaluation)：将估计的风险与既定的风险准则进行比较 以确定重要风险的流程。10)风险评估(Risk assessment)：风险分析和风险评价的全 流程。11)风险处置(Risk treatment)：选择和实施措施以改变风险的流程。12)风险管理(Risk management)：指导和控制一个组织的风险的协调的活动。13)残余风险(Residual risk)：实施风险处置后仍旧残留的风险。2、2其他术语和定义1)文件(document)：信息和存储信息的媒体；注1：本标准中，应区分记 录与文件，记录是活动的证据，文件是目标的证据；注2

5、：文件的例子，如策 略声明、计划、程序、服务级别协议和合同；2)记录(record)：描述完成结果的文件或执行活动的证据；注1：在本标 准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；注2：记 录的例子，如审核报告、变更请求、事故响应、人员培训记录；3)KPI：Key Performance Indicators 即关键绩绩效指标；也作 Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、 取样、计算、分析，衡量流程绩效的一种目标式量化管理指标，流程绩效管 理的基础。3角色和职责3、1信息安全经理职责：1)负责信息安全管理流程的设计、

6、评估和完善；2)负责确定用户和业务对IT服务信息安全的详细需求；3)负责保证需求的IT服务信息安全的实现成本是适当的；4)负责定义IT服务信息安全目标；5)负责调配相关人员实施信息安全管理流程以及相关的方法和技术；6) 负责建立度量和报告机制；7)保证IT服务信息安全管理流程以及相关的方法和技术被定期回顾和评 审。主要技能：1)很强的决策和判断能力2)了解组织的文化和政治背景3)熟悉国家颁布的安全相关法律法规4)很强的技术背景，对IT架构有总体的了解5)项目管理技能6)卓有成效的管理和组织会议、管理和组织人员的能力7)对生产环境、组织架构、与业务部门的关系等，有充分的总体了解8)良好的面向客户

7、的沟通技巧9)协调和处理多个任务的能力10)足够的社交技能和信誉，可以和各个髙层管理人员和各个支持小组进行协商 和沟通3、2信息安全责任人信息安全流程负责人通过从宏观上监控流程，来确 保信息安全流程被正确地执行。当流程不能够适应公司的情况时，流程负责 人必须及时对此进行分析、找出缺陷、进行改进，从而实现可持续提髙。职责：1)确保信息安全流程能够取得管理层的参与和支持2)确保信息安全流程符合公司实际状况和公司IT发展战略3)总体上管理和监控流程，建立信息安全流程实施、评估和持续优化机制 4)确保信息安全流程实用、有效、正确地执行，当流程不能够适应公司的情 况时，必须及时对此进行分析、找出缺陷、进

8、行改进(比如增加或合并流程的 角色),从而实现可持续提髙流程效率5)保持与其他流程负责人的定期沟通主要技能：1)深刻了解信息安全管理流程，熟悉信息安全管理流程和其他流程之间的 关系；2)具有很强的计划、组织、领导和控制才能，能够综合各方意见，按时制订和 定期优化流程；3)具有很好的沟通协调技能，能够取得公司高层的支持，获得所需资源；4)具有流程设计经验；5)具有良好的团队合作精神和跨部门沟通协调能力；6)有很强的分析和处理问题的能力，能够分析流程执行中的问题，并提出改进 意见；7)有决策权，能够确保信息安全管理流程设计要求在实施项目中得到贯彻和 执行；3、3信息安全分析员职责：1)对系统的信息

9、安全进行分析和评估，并提出修改建议；2)按照信息安全规划中对信息安全目标的要求，进行信息安全具体监控指标的 定义。主要技能：1)很强的技术背景，对IT架构有总体的了解2)有较好的风险分析能力3、4信息安全监视员信息安全监视员的职责包括：1)按照信息安全要求，对监控对象进行信息安全监视；2)对信息安全监控流程、相关行为和监控结果进行记录、存档；3)定期对信息安全监控结果进行分析，并生成信息安全监控报告。主要技能：1)熟悉信息安全监视工具2)熟悉信息安全管理流程4信息安全管理流程4、1信息安全管理概要流程为方便理解信息安全管理流程，信息安全 管理流程将采用分级的方式进行表述。信息安全管理概要流程主

10、要从整体 上描述可用性的处理流程，不会体现具体的细节和涵盖所有的人员。参见图 1信息安全管理概要流程图。信息安全管理程序支持过程信息安全分析员关联过 程P h a s e2、07、01风险规划风险处置计划监视报告服 务管理规划信息安全管理要求1、发布管理2、变更管理 风险改进计划供应商选择标准信息安全风险评估程序 资产识别风险评估指南事件监视信息安全事件报告2、 07、02控制措施实施2、07、03控制措施监视2、07、04风险评审与建议图1信息安全管理流程4、22、07、01风险规划输入：服务管理规划。信息安全风险评估程序为风险规划提供了资产识别、风险评估的指南。信息安全分析员信息安全经理相

11、关流程2、07、01、 1确定安全需求2、07、01、2风险评估2、07、01、3安全 改进建议变更/发布管理接受建议？服务项目管理N Y图2风险规划4、2、12、07、01、1确定安全需求识别客户对IT信息安全的需求和目标， 进行信息安全需求分析。信息安全需求要求的来源主要包括：1)服务合同或SLA相关条款中约定；2)法律法规的要求；3)客户业务特点或所在行业业务特性所确定的安全要求；4)公司内部的安全要求。4、2、22、07、01、2风险评估信息安全分析员根据资产识别情况制定风险评估 方法，通过识别信息资产、风险等级评估认知本公司的安全风险，在考虑控制 成本与风险平衡的前提下选择合适控制目

12、标和控制方式将安全风险控制在可接 受的水平。风险评估方法可以参考信息安全管理体系的风险评估方法和程序。4、2、32、07、01、3信息安全改进建议将风险分析的结果进行现状(AS IS) 和目标系统(TO BE)之间的差距分析，为弥补差距，提出适当的解决方案，并 进行成本估算。信息安全改进建议应由信息安全经理会同客户进行评审和批准。4、32、07、02控制措施实施根据风险规划中的相关内容，信息安全经理组织 协调控制措施实施，包括一些设备采购申请、安装等活动的执行。主要通过变更管理、发布管理和供应商管理执行O4、42、07、03控制措施监视信息安全管理和监视流程是指按照信息安全 计划实施控制措施，

13、并对控制措施进行管理和维护的活动。4、52、07、04风险评审与建议信息安全分析专家根据信息安全的运行和管 理状况，对安全状态状况进行评价和分析，对信息安全计划中的一些不合理的 要点进行汇总，并整理岀信息安全优化方案。将信息安全改进建议整合入整体信息安全改进计划中，作为今后改进的指 导，并提交给信息安全主管会同客户进行评审和批准。信息安全优化方案在批 准后应通过变更管理流程进行优化方案的实施。5与其他 流程的关系下图为信息安全管理 流程与其他 流程的之间的 强相关流程。强相关流程是指，在信息安全管理流程中，可能需要直接 触发其他管理流程，或直接向某些流程获取必要数据。对于信息安全管理 流程没有

14、直接影响的其他管理流程，则不在本流程中进行描述。信息安全管理程序支持过程采购过程关联过程P h a s e2、07、01风险规划风险处置计划监视报告服务管理 规划采购要求1、发布管理2、变更管理风险改进计划供 应商选择标准信息安全风险评估程序资产识别风险评 估指南事件监视信息安全事件报告2、07、02控制措施 实施2、07、03控制措施监视2、07、04风险评审与建议 图3与其他流程的关系5、1、1服务级别管理安全管理根据安全协议，制定安全控制措施，确保 服务达到安全协议标准，供其进行SLA的协商、签订动作，当完成SLA签订之 后，安全管理流程负责安全的实施、监控。安全管理流程必须保证SLA目

15、标可以完成，并进行持续的改进动作。5、1、2连续性管理信息安全管理和服务连续性管理密切相关，两种流程 均以化解IT服务可用性风险为努力目标。信息安全管理规程以应对人们意料 之中的常见可用性风险（如硬件故障等）为第一要务。而服务连续性管理则集 中致力于化解较为极端且相对罕见的可用性风险（如火灾和洪水）。连续性管理的重要输出是关键业务清单，其中定义了所有的关键业务、每个 关键业务的最终用户等信息。当确定可用性需求时，必须以关键业务清单作为重要输入，从而真正满足 最终业务部门的需求。5、1、3变更管理变更管理应考虑对安全的影响，安全管理需参与CAB会 议并提出意见；安全改进计划的实施应当通过变更管理流程控制。5、1、4事件/问题管理安全监视流程中，发现的信息安全事件需要上 报给事件管理流程，由事件管理/问题管理流程负责解决。另外，安全