1、.PAGE . 標 題： 工程方法文件名：SPC-M工程方法頁數(shù)： NUMPAGES 5頁信息平安管理流程說明書S-I版本號版本記錄作者審核批準日期2010-9-19修改核對信息平安管理流程說明書湯笑咪信息平安管理流程說明書信息平安管理目的本流程目的在于規(guī)效勞管理和提供人員在提供效勞流程中應(yīng)遵循和執(zhí)行的相關(guān)活動，保證信息平安管理目標的實現(xiàn)，滿足SLA中的信息平安性需求以及合同、法律和外部政策等的要求。在所有的效勞活動中有效地管理信息平安；使用標準的方法和步驟有效而迅速的處理各種與信息平安相關(guān)的問題，識別并跟蹤組織任何信息平安授權(quán)訪問；滿足效勞級別協(xié)議、合同、相關(guān)法規(guī)所記錄的各項外部信息平安需求

2、；執(zhí)行操作級別協(xié)議和根底合同圍的信息平安需求。圍本平安管理流程的規(guī)定主要是針對由公司承當完全維護和管理職責(zé)的IT系統(tǒng)、技術(shù)、資源所面臨的風(fēng)險的平安管理。向客戶提供效勞的相關(guān)人員在效勞提供流程中所應(yīng)遵循的規(guī)則依據(jù)公司信息平安管理體系所設(shè)定的平安管理規(guī)定，以及客戶自身的相關(guān)平安管理規(guī)定。公司部信息、信息系統(tǒng)等信息資產(chǎn)相關(guān)的平安管理也應(yīng)遵循公司信息平安管理體系所設(shè)定的平安管理規(guī)定。術(shù)語和定義相關(guān)ISO20000的術(shù)語和定義資產(chǎn)Asset：任何對組織有價值的事物?？捎眯訟vailability：需要時，授權(quán)實體可以訪問和使用的特性。性Confidentiality：信息不可用或不被泄漏給未授權(quán)的個人、

3、實體和流程的特性。完整性Integrity：保護資產(chǎn)的正確和完整的特性。信息平安Information security：保護信息的性、完整性、可用性及其他屬性，如：真實性、可核查性、可靠性、防抵賴性。信息平安管理體系Information security management system ISMS：整體管理體系的一局部，基于業(yè)務(wù)風(fēng)險方法以建立、實施、運行、監(jiān)視、評審、保持和改良信息平安。注：管理體系包括組織機構(gòu)、策略、籌劃、活動、職責(zé)、慣例、程序、流程和資源。風(fēng)險分析Risk analysis：系統(tǒng)地使用信息以識別來源和估計風(fēng)險。風(fēng)險評價Risk evaluation：將估計的風(fēng)險與既定

4、的風(fēng)險準則進展比擬以確定重要風(fēng)險的流程。風(fēng)險評估Risk assessment：風(fēng)險分析和風(fēng)險評價的全流程。風(fēng)險處置Risk treatment：選擇和實施措施以改變風(fēng)險的流程。風(fēng)險管理Risk management：指導(dǎo)和控制一個組織的風(fēng)險的協(xié)調(diào)的活動。剩余風(fēng)險Residual risk：實施風(fēng)險處置后仍舊殘留的風(fēng)險。其他術(shù)語和定義文件document：信息和存儲信息的媒體；注1：本標準中，應(yīng)區(qū)分記錄與文件，記錄是活動的證據(jù)，文件是目標的證據(jù)；注2：文件的例子，如策略聲明、方案、程序、效勞級別協(xié)議和合同；記錄record：描述完成結(jié)果的文件或執(zhí)行活動的證據(jù)；注1：在本標準中，應(yīng)區(qū)分記錄與文件

5、，記錄是活動的證據(jù)，文件是目標的證據(jù)；注2：記錄的例子，如審核報告、變更請求、事故響應(yīng)、人員培訓(xùn)記錄；KPI：Key Performance Indicators 即關(guān)鍵績績效指標；也作Key Process Indication即關(guān)鍵流程指標。是通過對組織部流程的關(guān)鍵參數(shù)進展設(shè)置、取樣、計算、分析，衡量流程績效的一種目標式量化管理指標，流程績效管理的根底。角色和職責(zé)信息平安經(jīng)理職責(zé)：負責(zé)信息平安管理流程的設(shè)計、評估和完善；負責(zé)確定用戶和業(yè)務(wù)對IT效勞信息平安的詳細需求；負責(zé)保證需求的IT效勞信息平安的實現(xiàn)本錢是適當?shù)模回撠?zé)定義IT效勞信息平安目標；負責(zé)調(diào)配相關(guān)人員實施信息平安管理流程以及相關(guān)

6、的方法和技術(shù)；負責(zé)建立度量和報告機制；保證IT效勞信息平安管理流程以及相關(guān)的方法和技術(shù)被定期回憶和評審。主要技能：很強的決策和判斷能力了解組織的文化和政治背景熟悉國家公布的平安相關(guān)法律法規(guī)很強的技術(shù)背景，對IT架構(gòu)有總體的了解工程管理技能卓有成效的管理和組織會議、管理和組織人員的能力對生產(chǎn)環(huán)境、組織架構(gòu)、與業(yè)務(wù)部門的關(guān)系等，有充分的總體了解良好的面向客戶的溝通技巧協(xié)調(diào)和處理多個任務(wù)的能力足夠的社交技能和信譽，可以和各個高層管理人員和各個支持小組進展協(xié)商和溝通信息平安責(zé)任人信息平安流程負責(zé)人通過從宏觀上監(jiān)控流程，來確保信息平安流程被正確地執(zhí)行。當流程不能夠適應(yīng)公司的情況時，流程負責(zé)人必須及時對此

7、進展分析、找出缺陷、進展改良，從而實現(xiàn)可持續(xù)提高。職責(zé)：確保信息平安流程能夠取得管理層的參與和支持確保信息平安流程符合公司實際狀況和公司 IT開展戰(zhàn)略總體上管理和監(jiān)控流程，建立信息平安流程實施、評估和持續(xù)優(yōu)化機制確保信息平安流程實用、有效、正確地執(zhí)行，當流程不能夠適應(yīng)公司的情況時，必須及時對此進展分析、找出缺陷、進展改良(比方增加或合并流程的角色)，從而實現(xiàn)可持續(xù)提高流程效率保持與其他流程負責(zé)人的定期溝通主要技能：深刻了解信息平安管理流程，熟悉信息平安管理流程和其他流程之間的關(guān)系；具有很強的方案、組織、領(lǐng)導(dǎo)和控制才能，能夠綜合各方意見，按時制訂和定期優(yōu)化流程；具有很好的溝通協(xié)調(diào)技能，能夠取得公

8、司高層的支持，獲得所需資源；具有流程設(shè)計經(jīng)歷；具有良好的團隊合作精神和跨部門溝通協(xié)調(diào)能力；有很強的分析和處理問題的能力，能夠分析流程執(zhí)行中的問題，并提出改良意見；有決策權(quán)，能夠確保信息平安管理流程設(shè)計要求在實施工程中得到貫徹和執(zhí)行；信息平安分析員職責(zé)：對系統(tǒng)的信息平安進展分析和評估，并提出修改建議；按照信息平安規(guī)劃中對信息平安目標的要求，進展信息平安具體監(jiān)控指標的定義。主要技能：很強的技術(shù)背景，對IT架構(gòu)有總體的了解有較好的風(fēng)險分析能力信息平安監(jiān)視員信息平安監(jiān)視員的職責(zé)包括：按照信息平安要求，對監(jiān)控對象進展信息平安監(jiān)視；對信息平安監(jiān)控流程、相關(guān)行為和監(jiān)控結(jié)果進展記錄、存檔；定期對信息平安監(jiān)控結(jié)

9、果進展分析，并生成信息平安監(jiān)控報告。主要技能：熟悉信息平安監(jiān)視工具熟悉信息平安管理流程信息平安管理流程信息平安管理概要流程為方便理解信息平安管理流程，信息平安管理流程將采用分級的方式進展表述。信息平安管理概要流程主要從整體上描述可用性的處理流程，不會表達具體的細節(jié)和涵蓋所有的人員。參見圖1 信息平安管理概要流程圖。圖1 信息平安管理流程風(fēng)險規(guī)劃輸入：效勞管理規(guī)劃。信息平安風(fēng)險評估程序為風(fēng)險規(guī)劃提供了資產(chǎn)識別、風(fēng)險評估的指南。圖2 風(fēng)險規(guī)劃.1確定平安需求識別客戶對IT信息平安的需求和目標，進展信息平安需求分析。信息平安需求要求的來源主要包括：效勞合同或SLA相關(guān)條款中約定；法律法規(guī)的要求；客戶

10、業(yè)務(wù)特點或所在行業(yè)業(yè)務(wù)特性所確定的平安要求；公司部的平安要求。.2風(fēng)險評估信息平安分析員根據(jù)資產(chǎn)識別情況制定風(fēng)險評估方法，通過識別信息資產(chǎn)、風(fēng)險等級評估認知本公司的平安風(fēng)險，在考慮控制本錢與風(fēng)險平衡的前提下選擇適宜控制目標和控制方式將平安風(fēng)險控制在可承受的水平。風(fēng)險評估方法可以參考信息平安管理體系的風(fēng)險評估方法和程序。.3信息平安改良建議將風(fēng)險分析的結(jié)果進展現(xiàn)狀A(yù)S IS和目標系統(tǒng)(TO BE)之間的差距分析，為彌補差距，提出適當?shù)慕鉀Q方案，并進展本錢估算。信息平安改良建議應(yīng)由信息平安經(jīng)理會同客戶進展評審和批準。2控制措施實施根據(jù)風(fēng)險規(guī)劃中的相關(guān)容，信息平安經(jīng)理組織協(xié)調(diào)控制措施實施，包括一些設(shè)

11、備采購申請、安裝等活動的執(zhí)行。主要通過變更管理、發(fā)布管理和供給商管理執(zhí)行。3控制措施監(jiān)視信息平安管理和監(jiān)視流程是指按照信息平安方案實施控制措施，并對控制措施進展管理和維護的活動。4風(fēng)險評審與建議信息平安分析專家根據(jù)信息平安的運行和管理狀況，對平安狀態(tài)狀況進展評價和分析，對信息平安方案中的一些不合理的要點進展匯總，并整理出信息平安優(yōu)化方案。將信息平安改良建議整合入整體信息平安改良方案中，作為今后改良的指導(dǎo)，并提交給信息平安主管會同客戶進展評審和批準。信息平安優(yōu)化方案在批準后應(yīng)通過變更管理流程進展優(yōu)化方案的實施。與其他流程的關(guān)系下列圖為信息平安管理流程與其他流程的之間的強相關(guān)流程。強相關(guān)流程是指，

12、在信息平安管理流程中，可能需要直接觸發(fā)其他管理流程， 或直接向*些流程獲取必要數(shù)據(jù)。對于信息平安管理流程沒有直接影響的其他管理流程，則不在本流程中進展描述。圖3與其他流程的關(guān)系效勞級別管理平安管理根據(jù)平安協(xié)議，制定平安控制措施，確保效勞到達平安協(xié)議標準，供其進展SLA的協(xié)商、簽訂動作，當完成SLA簽訂之后，平安管理流程負責(zé)平安的實施、監(jiān)控。平安管理流程必須保證SLA目標可以完成，并進展持續(xù)的改良動作。連續(xù)性管理信息平安管理和效勞連續(xù)性管理密切相關(guān)，兩種流程均以化解 IT 效勞可用性風(fēng)險為努力目標。信息平安管理規(guī)程以應(yīng)對人們意料之中的常見可用性風(fēng)險如硬件故障等為第一要務(wù)。而效勞連續(xù)性管理則集中致力于化解較為極端且相對罕見的可用性風(fēng)險如火災(zāi)和洪水。連續(xù)性管理的重要輸出是關(guān)鍵業(yè)務(wù)清單，其中定義了所有的關(guān)鍵業(yè)務(wù)、每個關(guān)鍵業(yè)務(wù)的最終用戶等信息。 當確定可用性需求時，必須以關(guān)鍵業(yè)務(wù)清單作為重要輸入，從而真正滿足最終業(yè)務(wù)部門的需求。變更管理變更管理應(yīng)考慮對平安的影響，平安管理需參與CAB會議并提出意見；平安改良方案的實施應(yīng)當通過變更管理流程控制。事件/問題管理平安監(jiān)視流程中，發(fā)現(xiàn)的信息平安事件需要上報給事件管理流程，由事件管理/問題管理流程負責(zé)解決。另外，平安管理需要對問題數(shù)據(jù)庫及事件數(shù)據(jù)庫進展分析，來