华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO20000信息技术服务管理体系认证 > 信息安全管理程序

ISO20000认证:信息安全管理程序

文章录入:华道众合   文章来源:华道众合   添加时间:2021-2-20
1.目的
本流程的目的是在所有服务活动中有效管理信息安全。
·满足服务级别协议中的安全性需求以及合同、法律和外部政策等外部要求;
·提供一个独立于外部需求的基本的信息系统安全基线;
·确保有效的信息安全措施在战略层、战术层和运营层三个层面都得到贯彻。
2.范围
本流程适用于IT服务管理体系所覆盖的所有部门。
3.定义
信息安全管理的目的是要保护信息的价值,这种价值取决于机密性、完整性和可用性三个方面。
机密性是指保护信息免受未经授权的访问和使用。
完整性指信息的准确性、完全性和及时性。
可用性是信息再任何约定的时间内都可以被访问。这取决于由信息处理系统所提供的连续性。
4.职责
信息安全管理负责人:
·负责整个安全管理流程的有效运作;
·定义并维护信息安全管理相关的文件及所需要的记录模板;
·管理信息安全管理的措施;
·确保信息安全管理目标的实现;
·识别信息安全管理过程中存在的问题并提出改进措施;
·定期向IT服务管理小组汇报实施过程中存在的问题;
·定期组织进行漏洞扫描,并根据漏洞扫描的结果提出并落实改进措施。
5.流程
(1)流程图
(2)流程说明:
a)需求识别和分析
根据服务级别协议中签订的关于安全的详细说明,确定安全需求并进行分析。服务级别协议中应该定义安全需求,在可能的情况下还应该以可测度的术语进行定义。该协议的安全部分应当确保客户所有的安全需求和标准能够实现,并且实现的结果能够进行明确的验证。需求识别包括人员安全需求、数据安全的需求,机房、设备等的安全需求。
b)确定安全实施范围
根据安全需求确定安全实施范围。安全实施范围包括列为相应安全等级的数据、人员、机房设备等。
c)信息安全风险评估
对公司与所提供IT服务有关的关键资产进行风险评估,并提交风险评估报告。
d)设计安全规范
根据风险评估结果制定相关安全管理制度:如《信息安全管理办法》《计算机网络与信息安全考核办法》《相关方人员管理规定》《网络与信息安全专项应急预案》《数据中心运行维护管理规定》。
e)实施安全规范
在设计好安全规范后,日常需按照安全规范来实施安全管理。对发生的信息安全事件按照《事件和服务请求管理程序》执行。
f)监控安全状况
对安全规范实施进行监控。
对发生的信息安全事件按照《事件和服务请求管理程序》执行。
g)信息安全报告
对信息安全管理的实施状况及日常发生的安全事件等需编写安全报告。输出为服务报告流程。
报告可以提供有关已实现安全绩效方面的信息,并可以让客户了解有关的安全问题。这些报告通常是在与客户签订的协议中所要求的。
不论对于客户还是服务提供商来说,报告都是很重要的。客户必须正确地了解有关努力所取得的效率以及实际被采用的安全措施。
客户还需要了解所有的安全事件。为报告服务级别协议中定义的安全事件,可通过服务级别经理、事件经理或安全经理与客户代表建立直接的沟通渠道。
除了在特殊情形下的例外事项,报告都是通过服务级别经理进行传达的。
根据信息安全管理需要报告信息安全的实施情况,并提交给《服务报告》中。
6.相关文件
《事件和服务请求管理程序》
《服务报告程序》
7.相关记录
《风险评估报告》
信息安全管理规范
想了解更多的关于ISO20000认证信息可以经常关注我们