信息安全管理流程
版本记录
目录
信息安全管理流程 (1)
1介绍 (4)
1.1基本概念 (4)
1.2用途和目标 (4)
1.3范围 (4)
1.4流程运行的前提和时机 (5)
2流程详细说明 (5)
2.1输入 (5)
2.2输出 (5)
2.3流程执行 (7)
2.4流程质量控制 (9)
2.4.1关键绩效指标KPI (9)
2.4.2流程报告 (10)
3流程角色和职责 (10)
4附录 (12)
4.1术语表 (12)
1 介绍
1.1 基本概念
安全管理流程主要描述为确保企业信息系统中信息资源的安全而制定安全政策和规章制度，并且通过实施一整套适当的控制措施（包括策略、实践、流程、组织结构和工具）来实现企业信息的保密性、完整性、可用性的整个过程。

安全管理中的关键词汇定义如下：
∙信息安全（Information Security）：对于信息的保密性、完整性和可用性的保证。

∙可用性（availability）：确保被授权的用户在需要时可以访问到相关的信息和资产。

∙完整性（Integrity）：维护信息的正确性和完全性。

∙保密性（Confidentiality）：保证信息只能由被授权者访问。

∙风险评估（Risk Assessment）：对与信息与信息处理机制所面临的威胁、影响和弱点分析以及这些威胁、影响和薄弱环节发生几率的评估。

1.2 用途和目标
安全管理流程的目标是通过持续性提高的方式，不断分析、发现潜在的风险，通过成本平衡的手段消除和控制潜在或已经发生的风险与威胁，从而保障远东租赁信息技术服务的保密性、完整性与可用性，其用途在于：
∙保证满足内部的安全需求，保证远东租赁内部的信息完整性以及其之持续提高。

∙通过不同的服务级别协议、合同、法律条款以及其它安全策略的贯彻实施来保障外部安全要求的满足。

1.3 范围
下表对一些容易混淆的方面作了说明，用来表明安全管理的工作覆盖范围：
1.4 流程运行的前提和时机
信息安全管理为公司服务管理体系中的重要管理流程，然而不同的管理流程之间又相互依赖与关联，因此关注安全管理运行的前提与时机就成为流程应用的重要环节，其运行的前提与时机包括：
∙公司管理层的支持，公司管理层认识到的IT日常运营中对于对于潜在的安全风险和隐患需要采取主动的行动来防范与未然。

∙为安全管理流程提供相应的组织和技术资源，例如落实流程执行负责人、安全经理、安全分析员、培养一批在相应安全与技术领域独挡一面的专业人才，总结和完善安全管理工具等。

∙紧密相关流程的实施，特别是配置管理流程、热线支持、突发事件管理流程、问题管理流程、项目管理流程、变更管理流程、连续性管理流程和可用性管理流程，以上这些流程的实施将会为安全管理流程的全面实施带来较好的效果。

2 流程详细说明
2.1 输入
2.2 输出
2.3 流程执行
图3:安全管理流程
2.4 流程质量控制
2.4.1 关键绩效指标KPI
2.4.2 流程报告
3 流程角色和职责
流程的实现是通过不同的流程角色以及其所赋有的职责来实现的，因此流程的每一个角色可以被定义为一系列职责的集合，在实际的管理操作中，不同的人员将被赋予不同的职责，也可能一个人被赋予多个职责，同时也可以将其职责授权给其管理结构之下的人员，因此，以下所提及的管理流程和角色的目的是为了在充分满足流程所需角色的基础上，为具体的实现提供足够的灵活性。

其具体的部署，取决于远东租赁在实际实施中的流程负责人。

根据实际管理的需要，建议安全分析员角色应与安全管理员角色分开。

4 附录
4.1 术语表
参见《运行服务管理体系术语表》。