本文件定义了公司IT服务团队及其客户的IT运维环境信息安全管理规范,信息安全管理体系的策划、风险评估、体系文件编写、体系建立完成后的运转和执行、持续改进、审计、报告、培训流程。规定公司IT服务团队活动中,对客户关键应用所关联的资产进行风险等级评估、确定信息安全威胁源,并采取相应的控制措施的方法,以保证公司IT服务团队及所运维客户的IT环境信息资产的安全, 降低安全风险, 保证信息技术服务业务的连续性, 提高信息技术服务质量。
本文档适用于公司IT服务团队对所有运维服务对象;用于进行资产的识别与风险评估的管理。包括但不限于:
- 服务器
- 存储
- 网络系统
- 系统软件
| 中 文 术 语 | 英 文 术 语 | 说明 |
| 信息安全管理体系 | ISMS Information SecurityManagement System | 信息安全管理体系(ISMS)是 IT服务项目整体管理体系的一部分,基于业务风险方法以建立、 实施、运行、监视、评审、保持和改进信息安全 |
| 风险评估 | Risk Assessment | 风险评估是信息安全管理的最要环节之一,是在已确定的范围内进行风险识别、风险评估、风险评价和风险处置等活动 |
| 信息安全 | IS Information Security | 信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性,可用性 |
| 角色 | 职 责 |
| 信息安全管理经理 |
|
| 信息安全员 |
|
风险分析和风险评价:识别资产(保密性(C)、完整性(I)、可用性(A))、威胁、脆弱性,风险的影响和可能性。
在风险评估方法中,公司的风险方针为:接受处于可接受级别之下的风险,对于超出可接受级别的风险,在满足适当的法律法规要求以及合同要求的情况下,如果降低风险所付出的成本大于风险所造成的损失,则选择接受。
信息安全管理的活动有信息安全管理体系(Information Security Management System,简称为 ISMS)的策划、风险评估、体系文件编写、体系建立完成后的运转和执行、持续改进、审计、报告、培训等。
-
- IT服务与作业活动中资产类别区分,以IT服务的领域、系统来进行分类,并将该系统所属的服务/资产项进行归类;可参见《资产分类表》。
- 填写《关键资产风险评估及控制表》的资产清单字段。内容包括但不限于领域﹑资产类别﹑服务/资产编号﹑放置位置﹑责任人及数量等。
-
-
- ISMS体系策划
-
ISMS体系策划包含对项目现状进行调研,明确信息安全方针,确定信息安全管理的范围等活动。需要做以下工作:公司IT服务团队首先要考虑的是谁来做 ISMS体系建设的主导方,需要根据自身团队是否有全面信息安全管理能力来决定,当自身团队能力不够全面主导时,可聘请外部的安全咨询顾问。
4.3.1.1定义信息安全目标与方针
信息安全目标与方针是 IT服务项目信息安全管理的最高方针,公司IT服务团队需要根据项目内部的实际情况,制订信息安全策略。信息安全目标与方针应该简单明了、通俗易懂,并形成书面文件,发给所有项目成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于所有项目员工的脑海,并落实到实际工作中。
4.3.1.2定义 ISMS体系的范围
范围的确定应公司IT服务团队做出最后的决定,根据实施信息安全管理人员的丰富经验才能正确的、完整地识别出项目内信息安全应管理的范围,并能正合理的划分信息安全管理的“域”。 ISMS体系的范围确定需要重点进行信息安全管理的领域,公司IT服务团队需要根据自己所管理项目的实际情况,在整个项目范围内构架 ISMS体系。
具体如下:
目标
-
-
-
- 建立流程化、规范化的IT服务信息安全管理体系ISMS。
- 不出现高于或等于第三级(包含第三级)的安全事故。
- 与客户的关系保持畅通,客户满意度达到3.5分或以上(满分5分)。
-
-
方针
-
-
-
- 遵守国家的各项法律法规要求,同时利用法律法规来保护相关的利益。
- 由青岛弯弓信息技术有限公司IT服务团队管理IT服务过程,建立IT服务信息安全管理体系,控制服务风险,保证信息安全,并检查IT服务信息安全管理体系的执行情况。
- 项目组内严格按照IT服务信息安全管理体系ISMS中的流程和规范进行各相应工作的开展。
- 遵循PDCA的持续改进机制,不断优化完善流程和规范,持续改进IT服务信息安全管理体系。
- 建立流程岗位职责、责任人和绩效评价的对应关系并落实到计划中去跟踪;定期评估流程和规范的执行效果,记录评估结果、制定相应的改进计划。
- 实行IT系统的规划、建设与运行维护相分离,运行操作与维护相分离的策略。
- 实行从“以人驱动”,到以“流程和规范驱动”的转变,减少人的因素,提高流程和规范的执行效率。
- 实行以“域”为基础的,不同等级“域”采用不同技术和规范要求进行安全控制的指导思想。
- 风险识别
-
-
4.3.2.1识别风险
根据各资产类别所识别的服务/资产项进行风险的描述,确定信息安全威胁源;风险的判别和风险存在点可以参照《机房环境安全管理规范》、《系统与网络安全管理规范》和《应用系统安全管理规范》来进行,并区别风险发生的关键因素为资产类外部的因素或内部的因素,若为资产类外部因素则归类为威胁,若为资产类内部因素则归类为弱点。应在变更审批时充分考虑信息安全因素,识别可能发生的风险隐患。使信息安全风险的判断和评估作为变更审批与否的重要依据。对于那些违反信息安全要求的变更操作,应当及时终止以避免风险发生。
4.3.2.2确认已经存在的防护及控制措施
针对已识别的资产类进行确认已经存在的控制及管理方法,管理方法参照《机房环境安全管理规范》、《系统与网络安全管理规范》和《应用系统安全管理规范》来进行。
针对变更对IT基础架构带来的影响,应当对原先的防护和控制措施进行重新的评估,以使当前的控制措施能够满足组织的信息安全要求。
风险评估是信息安全管理的最要环节之一,是在已确定的范围内进行风险识别、风险评估、风险评价和风险处置等活动。风险评估的方法有多种,具体实施遵循 ISO/IEC TR13335-3《IT安全管理指南-IT安全管理技术》或者 ISO27005《信息技术–安全技术–信息安全风险管理》标准进行。需要制定风险评估实施计划:
2、信息系统基
本状况调查
| 任务 | 任务描述 | 输入/前提条件 | 输出结果 |
| 1、沟通交流 | 现场工作计划交流 发放调查问卷与调查表 | 《现场工作计划》 | |
| 2、信息系统基 本状况调查 | 调查组织基本信息 | 《组织基本信息调查表》 | 组织基本信息调查结 果记录 |
| 调查网络平台基本信息 | 《网络平台基本信息调查表》 | 网络平台基本信息调 查结果记录 | |
| 收集主要设备配置信息 | 《主要设备配置信息调查表》 | 主要设备配置信息调 查结果记录 | |
| 调查业务应用系统信息 | 《业务应用系统信息调查表》 | 业务应用系统信息调 查结果记录 | |
| 3、威胁调查 | 填写威胁调查问卷 | 《威胁调查问卷》 | 威胁调查结果记录 |
| 4、安全管理访 谈 | 面对面进行安全管理访 谈 | 《安全管理访谈表》 | 安全管理访谈结果记 录 |
| |||||||||||||||||||||||||||||||||
风险评估实施工作任务表
风险评估中综合考虑的二个方面:
-
- 风险概率: 预计风险发生的机率值1-5分;
| 范围 | 得分 |
| 1% 至 20% | 1 |
| 21% 至 40% | 2 |
| 41% 至 60% | 3 |
| 61% 至 80% | 4 |
| 81% 至 100% | 5 |
-
- 资产重要度: 资产重要度主要在体现资产类别在IT服务的项目中所占的重要程度,依据原值和关联的服务地重要度将系统分类为5级,其中有一项高时,表达即为高;
| 原值 | 关联的服务重要度 | 得分 |
| 低 | 低 | 1 |
| 较低 | 较低 | 2 |
| 中 | 中 | 3 |
| 较高 | 较高 | 4 |
| 高 | 高 | 5 |
风险值计算:风险值介于1~25之间。
-
- 计算公式:风险值=资产重要度 * 风险概率
确定可接受风险水平:依照风险评估值列表﹑成本及紧急程度的考虑确定可接受风险水平值,作为改善风险水平的基准,对于超出风险值水平的风险需要按照考虑如何处置风险,根据风险评估的结果开出《风险处置单》,安排相关资源进行风险处置活动。风险处置单实例如下图:
超过可接受风险水平值时可按以下方法进行处理:
-
-
- 采用适当的控制措施(此措施可参照《机房环境安全管理规范》、《系统与网络安全管理规范》和《应用系统安全管理规范》中提及的各项安全措施来进行);
- 若提供风险明显地符合组织的政策与风险承受准则,可在掌握状况下客观地接受此等风险;
- 回避风险:即将相关的营运风险转移至其它机构,如保险公司、第三方服务商;
- 对于不可接受风险的资产,经过采取控制措施并实施后,重新评估以确认其风险等级,确保所采取的控制措施是充分的,直到其风险降至可接受(即低于可接受风险水平值)为止。
-
每年至少一次全面审查风险评估内容与状态的适应性,以确定是否存在新的风险及是否需要增加新的控制措施,对发生以下情况需及时进行风险评估:
-
-
- 当发生重大信息安全事故时;
- 当信息网络系统发生重大变更时;
- 当新增加服务/资产项时;
- IT服务委员会确定有必要时。
- 信息安全事件
-
所有引起信息的机密性(预防数据欺骗及组织敏感信息泄漏),完整性(防止数据被篡改)和可用性缺失(核心业务的连续性)的事件都是信息安全事件。(例如病毒引起的故障,由于密码失窃引发的事件等等),发生有关信息安全事件的时候按事件管理的流程来执行
信息安全管理经理应定期分析和汇总信息安全事件,生成《重要资产风险评估及处置表》。
按照已确定的信息安全体系 ISMS范围和统一的文档模板进行体系文档的编写工作。IT服务项目制定编写计划,分配项目成员进行编写工作,负责编写质量的把关GB/T22080从保证信息的机密性、完整性和可用性方面,提出了 11个信息安全管理领域中的39个管理目标和 133个控制项。IT服务项目不会用到其中所有的内容,需要根据项目其实情况,和已确定的信息安全体系进行编写。IT服务项目经理在信息安全员的配合下制定相应的控制措施。
信息安全的审计活动包含了内部审计和外部审计。作为公司IT服务团队应定期组织团队力量执行内部审计,或者联系外部咨询专家进行外部审计。其中内部审计间隔时间短;外部审计在项目范围、生产架构有重大变动时进行,或者每年定期进行一次。在配置审计前,根据实际情况制定信息安全审计计划,在审计过程中的发现要真实地记录下来。
公司IT服务团队应将项目中的信息安全管理的内容,定期形成报告(可合并在服务报告中),向客户进行汇报。如:
●信息安全事件发生多少起;
●原因;
●是否解决;
●解决的方法;
●避免方法
由于信息安全管理范围难以确定。每个IT服务项目的范围都不同,GB/T22080几乎涵盖了所有的方面,公司IT服务团队在做信息资产识别时需要把所有的信息资产都正确的识别出来,但往往项目组内员工无法做到。请外部的咨询专家,又对项目不够了解。作为公司IT服务团队要积极进行协调,加强沟通,使外部咨询专家和项目员工更好的配合,将信息资产全部识别出来。
信息安全技术能力不足。信息安全管理对技术的要求非常高,是安全威胁方和IT服务项目信息安全管理人员之间技术对抗。各种安全相关的技术不断的推陈出新,需要安全管理人员不断的学习。作为 IT服务项目经理应鼓励员工自我学习,并安排相关的培训。
体系执行不力。规定再完善的体系如果不执行就和没有一样,所以要经常给员工进行信息安全体系培训和安全意识培训,加强落地。员工内部破坏内部破坏是现实情况最容易出现的情况。在落实信息安全管理时,IT服务一方面应从管理体系角度去避免单人权限过大、单人操作风险,另一方面在技术角度上防范内部破坏。
详细见《运维服务KPI指标体系》
| 序号 | 衡量指标 | 指标计算说明 |
| 1 | 安全事故数量 | 0 |
| 2 | 发现的风险数量 | 告警+新威胁的数量 |
- 保护信息安全,全员有责
每个员工都有维护本公司信息安全的职责。每个员工都要了解和履行公司规定的信息安全管理规范和制度。员工应当了解并且承担个人的安全责任,及时上报信息安全类事件,形成良好的信息安全意识。
- 员工签署保密协议
全体员工在工作期间都要签订保密协议,或在劳动合同中明确规定信息安全条款。
- 与第三方签署信息安全协议
为了保障公司的信息安全管理有效性,在与第三方组织建立合作关系时,要签订信息安全协议,或在商务合同中明确规定信息安全条款。
- 保护知识产权
所有相关方在履行职务过程中,对因使用的基础设施而产生的、存储的或交换的信息资产都属于本公司。
变更单中应当由专门的位置给审批人员,对变更的信息安全风险进行评估。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
