20150708    淡然

目录

[  /a/125.html#_Toc237541301]1 文档介绍[/url]

[  /a/125.html#_Toc237541302]1.1 编写目的[/url]

[  /a/125.html#_Toc237541303]1.2 适用范围[/url]

[  /a/125.html#_Toc237541304]2 术语、定义和缩略语[/url]

[  /a/125.html#_Toc237541305]3 角色及职责[/url]

[  /a/125.html#_Toc237541306]4 内容[/url]

[  /a/125.html#_Toc237541307]4.1 信息安全政策[/url]

[  /a/125.html#_Toc237541308]4.2 资产分类和保护[/url]

[  /a/125.html#_Toc237541309]4.3 人力资源安全[/url]

[  /a/125.html#_Toc237541310]4.4 物理与环境安全[/url]

[  /a/125.html#_Toc237541311]4.5 通讯和操作安全[/url]

[  /a/125.html#_Toc237541312]4.6 访问控制[/url]

[  /a/125.html#_Toc237541313]4.7 信息系统的获取、开发和维护[/url]

[  /a/125.html#_Toc237541314]4.8 信息安全事件管理[/url]

[  /a/125.html#_Toc237541315]4.9 法律法规符合性[/url]

[  /a/125.html#_Toc237541316]5 参考[/url]

[  /a/125.html#_Toc237541317]5.1 相关文件[/url]

[  /a/125.html#_Toc237541318]5.2 相关表单[/url]

本页故意留白。

1 文档介绍
1.1 编写目的

本信息安全管理规范的编写目的是：

l  明确某总公司（以下简称公司）安全管理的目标和方向。

l  保护公司内所维护的基础设施、信息系统及其所存储处理的信息资产，保护其机密性、完整性和可用性。

l  建立公司内人员的信息安全意识，逐步促使公司内团队人员合理、安全使用IT资产。              ITSS培训

1.2 适用范围

本信息安全管理规范处于某总公司信息安全管理体系的最高层次，是所有信息安全标准、流程和指南必须遵从的纲领。

本信息安全管理规范在总公司的范围内发布，要求公司内所有人员及其第三方合作伙伴都必须遵守。

2 术语、定义和缩略语

术语/定义	说明
资产	任何对组织有价值的事物
信息安全	对信息保密性、完整性和可用性的保护
保密性	确保信息只能由那些被授权的人访问
完整性	保护信息的正确性和完整性以及信息的处理方法
可用性	保证经授权的用户可以在需要时访问到信息和相关的资产
第三方合作方	是指除某公司以外，所有第三方合作的组织和人员

3 角色及职责

角色	职责
信息安全管理经理	l 负责信息安全管理
信息安全员	l 执行信息安全管理经理分派的任务

4 内容

4.1 信息安全政策

信息安全政策文件应由地铁总公司负责人审核批准，并公布与传达给公司所有员工与相关外部团体。

信息安全政策文件应定期回顾，如果公司内的业务活动、基础设施或外部相关的政策法规发生了重大的改变，需要立即重新进行信息安全政策文件的检查和评估，并通过管理层的审核，以确保其持续的适用性、可操作性及有效性。       ITSS认证

4.2 资产分类和保护

应明确公司内所有重要信息资产的所有者，所有者要确保资产受到合适的保护。

信息安全管理经理应根据信息资产的价值、法规要求、敏感度和对组织的重用程度不同对其进行分类，不同级别的信息资产要有适合其相应安全保护要求的控制措施。

4.3 人力资源安全

建立并将信息安全相关的控制贯穿于公司内的人力资源流程中，对于关键岗位需要建立相关的安全监督机制；确保员工、合同方和第三方人员在雇佣前、雇佣中或离职以及雇佣关系变更时都以一种有序的方式进行。

应根据公司内的信息安全管理要求明确定义员工、第三方人员的安全角色和责任，并记录在职责描述中；并且根据相关的职责，制定相关的信息安全基本行为准则和安全操作准则。

对所有员工、第三方人员要开展合适的安全意识培训和教育，确保其了解公司内的信息安全管理流程，以减少人为错误、偷窃、欺诈及滥用设施所带来的安全风险。如果出现了任何违反信息安全政策的行为并造成损失的，要依照公司内规定和国家相关的法律法规进行处罚。

4.4 物理与环境安全

信息资产在物理上应有访问控制和保护，防止偷窃、滥用、损坏或未经授权的访问；办公场所要满足相关的常规安全要求，在物理上应有访问控制和保护。

必须制定相关的管理流程以确保设备安全。如：《ITSM-3-IS-03 机房安全管理规范》。

4.5 通讯和操作安全

网络自身的设计、构建和使用应满足安全控制的要求，并部署必要的基于网络的安全技术和手段。

网络设备在运行维护过程中应严格遵照安全技术规范和操作管理规范，所有网络设备接入、配置变更、设备废弃或更换应遵循变更流程，所有变更实施过程都必须记录在案。

针对公司内目前所维护的所有基础设施及信息系统必须制定相应的安全技术规范和操作管理规范，通过对日常操作的管理、备份管理、信息交换过程的控制以及系统的规划验收等措施，确保公司内信息处理设施的正确和安全操作。

明确针对第三方组织人员的信息安全管理要求，建立相应的安全控制措施。

应保障存储介质使用和保管的安全。废弃的存储介质应确保被安全销毁，其中存储的敏感信息被彻底消除或覆盖，不会造成信息泄漏。将任何含有敏感信息的信息系统设备或存储介质带到公司内以外之前必须得到授权，并保障其处于妥善保管和安全控制之中。

4.6 访问控制

基础设施及信息系统都必须具备访问控制机制，防止未经授权的访问和信息泄漏。

对信息系统的访问授权，不能超过员工工作所需的范围，以减少信息被滥用的风险。

建立完善的用户访问管理流程，引入用户帐号的创建、重设、变更、删除、维护、定期审核和用户口令管理的管理规范，确保用户帐号的安全使用。

建立完善公司内的网络以及和其它组织的网络之间存在必要的接口的访问控制，对用户和网络设备具备必要的访问授权机制，以及对用户访问信息服务的行为进行有效控制。

确保信息系统、基础设施具备必要的访问授权机制，以及对用户访问信息服务的行为进行有效控制。

建立移动计算和远程工作的访问授权机制，确保在使用移动计算和远程工作设备时信息的安全。

4.7 信息系统的获取、开发和维护

公司内应明确应用系统开发从计划、需求、设计、开发、测试、上线到维护的不同阶段中的信息安全要求，并把必要的安全控制纳入到开发工作中去。

4.8 信息安全事件管理

发现安全事件（安全事件包括安全事故和可疑的安全漏洞），员工应立即按照相关的报告程序向组织报告。

应明确信息安全事件处理的责任并建立有效的响应和处理机制，安全事件必须及时报告、处理、调查、上报并修正，并且有事后的回顾，以吸取经验教训，避免以后再发生同类型的事件，把损失降到最小。

具体内容参见《ITSM-3-IS-03机房安全管理规范》中机房事故处理部分。

4.9 法律法规符合性

公司内的管理必须遵守信息安全相关的国家法律法规、行业规范和组织的相关规定。

必须建立相关的管理流程以确保遵守版权和知识产权方面的法律法规和合同条款。

公司内一定要监控基础设施及信息系统并记录信息安全事件、操作日志和违例日志，定期审计日志，检查安全控制的有效性和安全政策的遵守程度，并查处安全违例事件。

公司内必须建立并实施相关的定期审核机制，以确保相关系统符合组织安全方针和标准。

5 参考
5.1 相关文件

文件编号	文件名称
ITSM-3-IS-01	《机房环境安全管理规范》
ITSM-3-IS-02	《网络安全管理规范》
ITSM-3-IS-03	《机房安全管理规范》
ITSM-3-IS-05	《信息系统安全管理规定》             ITSS考试

5.2 相关表单

文件编号	文件名称
ITSM-4-IS-01	《机房人员出入登记表》
ITSM-4-IS-02	《固定资产采购申请表》
ITSM-4-IS-03	《固定资产商务租贷立项审批表》
ITSM-4-IS-04	《固定资产报废申请表》
ITSM-4-IS-05	《机房巡检记录表》
ITSM-4-IS-06	《补丁检查记录表》
ITSM-4-IS-07	《物品出入登记表》

本帖关键字：ITSS

20150708    淡然

目录

[  /a/125.html#_Toc237541301]1 文档介绍[/url]

[  /a/125.html#_Toc237541302]1.1 编写目的[/url]

[  /a/125.html#_Toc237541303]1.2 适用范围[/url]

[  /a/125.html#_Toc237541304]2 术语、定义和缩略语[/url]

[  /a/125.html#_Toc237541305]3 角色及职责[/url]

[  /a/125.html#_Toc237541306]4 内容[/url]

[  /a/125.html#_Toc237541307]4.1 信息安全政策[/url]

[  /a/125.html#_Toc237541308]4.2 资产分类和保护[/url]

[  /a/125.html#_Toc237541309]4.3 人力资源安全[/url]

[  /a/125.html#_Toc237541310]4.4 物理与环境安全[/url]

[  /a/125.html#_Toc237541311]4.5 通讯和操作安全[/url]

[  /a/125.html#_Toc237541312]4.6 访问控制[/url]

[  /a/125.html#_Toc237541313]4.7 信息系统的获取、开发和维护[/url]

[  /a/125.html#_Toc237541314]4.8 信息安全事件管理[/url]

[  /a/125.html#_Toc237541315]4.9 法律法规符合性[/url]

[  /a/125.html#_Toc237541316]5 参考[/url]

[  /a/125.html#_Toc237541317]5.1 相关文件[/url]

[  /a/125.html#_Toc237541318]5.2 相关表单[/url]

本页故意留白。

1 文档介绍
1.1 编写目的

本信息安全管理规范的编写目的是：

l  明确某总公司（以下简称公司）安全管理的目标和方向。

l  保护公司内所维护的基础设施、信息系统及其所存储处理的信息资产，保护其机密性、完整性和可用性。

l  建立公司内人员的信息安全意识，逐步促使公司内团队人员合理、安全使用IT资产。              ITSS培训

1.2 适用范围

本信息安全管理规范处于某总公司信息安全管理体系的最高层次，是所有信息安全标准、流程和指南必须遵从的纲领。

本信息安全管理规范在总公司的范围内发布，要求公司内所有人员及其第三方合作伙伴都必须遵守。

2 术语、定义和缩略语

术语/定义	说明
资产	任何对组织有价值的事物
信息安全	对信息保密性、完整性和可用性的保护
保密性	确保信息只能由那些被授权的人访问
完整性	保护信息的正确性和完整性以及信息的处理方法
可用性	保证经授权的用户可以在需要时访问到信息和相关的资产
第三方合作方	是指除某公司以外，所有第三方合作的组织和人员

3 角色及职责

角色	职责
信息安全管理经理	l 负责信息安全管理
信息安全员	l 执行信息安全管理经理分派的任务

4 内容

4.1 信息安全政策

信息安全政策文件应由地铁总公司负责人审核批准，并公布与传达给公司所有员工与相关外部团体。

信息安全政策文件应定期回顾，如果公司内的业务活动、基础设施或外部相关的政策法规发生了重大的改变，需要立即重新进行信息安全政策文件的检查和评估，并通过管理层的审核，以确保其持续的适用性、可操作性及有效性。       ITSS认证

4.2 资产分类和保护

应明确公司内所有重要信息资产的所有者，所有者要确保资产受到合适的保护。

信息安全管理经理应根据信息资产的价值、法规要求、敏感度和对组织的重用程度不同对其进行分类，不同级别的信息资产要有适合其相应安全保护要求的控制措施。

4.3 人力资源安全

建立并将信息安全相关的控制贯穿于公司内的人力资源流程中，对于关键岗位需要建立相关的安全监督机制；确保员工、合同方和第三方人员在雇佣前、雇佣中或离职以及雇佣关系变更时都以一种有序的方式进行。

应根据公司内的信息安全管理要求明确定义员工、第三方人员的安全角色和责任，并记录在职责描述中；并且根据相关的职责，制定相关的信息安全基本行为准则和安全操作准则。

对所有员工、第三方人员要开展合适的安全意识培训和教育，确保其了解公司内的信息安全管理流程，以减少人为错误、偷窃、欺诈及滥用设施所带来的安全风险。如果出现了任何违反信息安全政策的行为并造成损失的，要依照公司内规定和国家相关的法律法规进行处罚。

4.4 物理与环境安全

信息资产在物理上应有访问控制和保护，防止偷窃、滥用、损坏或未经授权的访问；办公场所要满足相关的常规安全要求，在物理上应有访问控制和保护。

必须制定相关的管理流程以确保设备安全。如：《ITSM-3-IS-03 机房安全管理规范》。

4.5 通讯和操作安全

网络自身的设计、构建和使用应满足安全控制的要求，并部署必要的基于网络的安全技术和手段。

网络设备在运行维护过程中应严格遵照安全技术规范和操作管理规范，所有网络设备接入、配置变更、设备废弃或更换应遵循变更流程，所有变更实施过程都必须记录在案。

针对公司内目前所维护的所有基础设施及信息系统必须制定相应的安全技术规范和操作管理规范，通过对日常操作的管理、备份管理、信息交换过程的控制以及系统的规划验收等措施，确保公司内信息处理设施的正确和安全操作。

明确针对第三方组织人员的信息安全管理要求，建立相应的安全控制措施。

应保障存储介质使用和保管的安全。废弃的存储介质应确保被安全销毁，其中存储的敏感信息被彻底消除或覆盖，不会造成信息泄漏。将任何含有敏感信息的信息系统设备或存储介质带到公司内以外之前必须得到授权，并保障其处于妥善保管和安全控制之中。

4.6 访问控制

基础设施及信息系统都必须具备访问控制机制，防止未经授权的访问和信息泄漏。

对信息系统的访问授权，不能超过员工工作所需的范围，以减少信息被滥用的风险。

建立完善的用户访问管理流程，引入用户帐号的创建、重设、变更、删除、维护、定期审核和用户口令管理的管理规范，确保用户帐号的安全使用。

建立完善公司内的网络以及和其它组织的网络之间存在必要的接口的访问控制，对用户和网络设备具备必要的访问授权机制，以及对用户访问信息服务的行为进行有效控制。

确保信息系统、基础设施具备必要的访问授权机制，以及对用户访问信息服务的行为进行有效控制。

建立移动计算和远程工作的访问授权机制，确保在使用移动计算和远程工作设备时信息的安全。

4.7 信息系统的获取、开发和维护

公司内应明确应用系统开发从计划、需求、设计、开发、测试、上线到维护的不同阶段中的信息安全要求，并把必要的安全控制纳入到开发工作中去。

4.8 信息安全事件管理

发现安全事件（安全事件包括安全事故和可疑的安全漏洞），员工应立即按照相关的报告程序向组织报告。

应明确信息安全事件处理的责任并建立有效的响应和处理机制，安全事件必须及时报告、处理、调查、上报并修正，并且有事后的回顾，以吸取经验教训，避免以后再发生同类型的事件，把损失降到最小。

具体内容参见《ITSM-3-IS-03机房安全管理规范》中机房事故处理部分。

4.9 法律法规符合性

公司内的管理必须遵守信息安全相关的国家法律法规、行业规范和组织的相关规定。

必须建立相关的管理流程以确保遵守版权和知识产权方面的法律法规和合同条款。

公司内一定要监控基础设施及信息系统并记录信息安全事件、操作日志和违例日志，定期审计日志，检查安全控制的有效性和安全政策的遵守程度，并查处安全违例事件。

公司内必须建立并实施相关的定期审核机制，以确保相关系统符合组织安全方针和标准。

5 参考
5.1 相关文件

文件编号	文件名称
ITSM-3-IS-01	《机房环境安全管理规范》
ITSM-3-IS-02	《网络安全管理规范》
ITSM-3-IS-03	《机房安全管理规范》
ITSM-3-IS-05	《信息系统安全管理规定》             ITSS考试

5.2 相关表单

文件编号	文件名称
ITSM-4-IS-01	《机房人员出入登记表》
ITSM-4-IS-02	《固定资产采购申请表》
ITSM-4-IS-03	《固定资产商务租贷立项审批表》
ITSM-4-IS-04	《固定资产报废申请表》
ITSM-4-IS-05	《机房巡检记录表》
ITSM-4-IS-06	《补丁检查记录表》
ITSM-4-IS-07	《物品出入登记表》

本帖关键字：ITSS