信息安全服务管理规范.docx

文件名称 信息安全服务管理规 版本 2.0 管制印 文件编号 PD-WI-0201 制定部门 安全服务部 页次 1/3 1目的 本文档编写的目的，是帮助公司服务团队明确岗位职责，规信息安全服务操作 流程，确保公司与客户信息资产安全，并为进一步完善和改进信息安全服务奠 定基础，特制定此管理规。 2围 本程序适用于信息系统安全应急处理项目的服务团队向客户提供约定信息安 全应急处理服务级别的管理。 3权责 3. 1安全服务部负责策划和制订公司信息安全策略、监督安全规定的实施，提 出改善要求，确保信息系统满足公司业务安全要求。负责加解密授权管理、 用户申报、开通访问授权和机房管理、数据备份 3.2信服部负责依公司的系统安全规定和部门业务要求，对网络进行维护管理、 计算机维护与故障处理等，保证系统安全运行。 4定义 4.1公司信息分类： a）技术信息：产品图纸、制造技术、主要存在于技术部。 b）质量信息：主要保存在质管部。 c）商务信息：主要存在于采购部、经营部。 d）财务信息：主要存在于财务部。 e）人事信息：公司员工与为公司服务的特殊技能人才信息资料。 f）密码信息：个人登录、开码与IT管理员密码。 g）部运作其他信息：包括设备、基础设施、工程等信息资料。 以上信息，根据信息秘密程度，分为可公开信息和信息。公司任何员工均 不可将公司信息（文件）以任何方式传递、泄露给非授权人 4.2公开信息：此类信息、文件可从公司公开渠道所获取，如公司广告、 修 订 记 录 版本 修订日期 分发部门 制作 核准 1.0 2013/06/20 公司全体 2.0 2017/11/30 文件名称 信息安全服务管理规 版本 2.0 管制印 文件编号 PD-WI-0201 制定部门 安全服务部 页次 2/3 中所涉与的公司名称、地址、经营产品等。 4.3秘密信息：不可从公开渠道所能获取的信息，如产品技术文件，包括产品 图纸、客户文件、工艺技术规等；人事行政文件、管理程序和规、生产经 营统计信息和其他记录、文件等。 5参考文件 信息技术信息安全等级保护基本要求GB/T 22239-28 信息技术信息系统安全保护等级定级指南GB/T22240-28 信息安全技术 信息安全信息安全 应急处理规GB/T20984-27 信息安全应急处理服务资质认证实施规则ISCCC-SV2： 2010 信息技术-安全技术-信息安全管理体系要求ISO/IEC 271:2013 6管理流程图：无 7作业容与要求 7.1服务合同签订后，销售经理需反馈技术中心进行项目立项，按照公司项目 管理规，任命项目经理，拟制项目所需的部其他部门的支持活动，以与需 要相关供方提供的服务等。 7.2项目经理组织销售部、信息安全服务部经理与项目组代表等，就相关支持 活动进行评审，评审确定活动细节后，公司部其他部门按照评审中约定的 细节给予支持。 7.3针对项目选择适当的应急处理工具包，与时解决客户系统安全故障或事件 （计算机病毒事件、蠕虫病毒事件、特洛伊木马事件、网页嵌恶意代码 事件、拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃 听事件、信息篡改事件、信息假冒事件、信息窃取事件等），修复信息系 统，使网络系统和信息服务恢复正常运行，尽可能挽回或减少损失；对安 全故障或事件发生的系统作安全检查和清理，保证信息系统安全；弥补安 全故障或事件发生系统上的安全漏洞，加强安全保护措施，防止类似事件 的再次发生；收集由于安全故障或事件造成的入侵记录、破坏情况、直接 损失情况等证据；并为主机和网络设备安全初始化快照和备份 7.4制定和实施信息安全服务流程和管理制度，规服务过程中的工作行为和 文件名称信息安全服务管理规|版本| 2.0 管制印 文件编号PD-WI-0201 制定部门 安全服务部页次 3/3 作业规。 7.5积极开展各类信息安全服务技术和安全教育，项目开始前均需组织项目人 员进行安全教育和技术教育。 7.6保证使用的应急处理工具和测试工具的可用性、稳定性、安全性。 7.7安全服务部与时关注国外权威机构发布的安全和漏洞公告与时的更新应急 处理工具包，并了解和掌握相关信息安全技术和国家标准。 8相关文件与表单 3.1相关文件：无 3.2相关表单：无