信息安全服务管理规范.docx

NurfürdenpersönlichenfürStudien,Forschung,-WI-0201制定部门安全服务部页次1/3目的本文档编写的目的,是帮助公司服务团队明确岗位保密职责,规范信息安全服务操作流程,确保公司及客户信息资产安全,并为进一步完善和改进信息安全服务奠定基础,特制定此管理规范。范围本程序适用于信息系统安全应急处理项目的服务团队向客户提供约定信息安全应急处理服务级别的管理。权责安全服务部负责策划和制订公司信息安全策略、监督安全规定的实施,提出改善要求,确保信息系统满足公司业务安全要求。负责加解密授权管理、用户申报、开通访问授权和机房管理、数据备份信服部负责依公司的系统安全规定和部门业务要求,对网络进行维护管理、计算机维护及故障处理等,保证系统安全运行。定义公司信息分类:技术信息:产品图纸、制造技术、主要存在于技术部。质量信息:主要保存在质管部。商务信息:主要存在于采购部、经营部。财务信息:主要存在于财务部。人事信息:公司员工及为公司服务的特殊技能人才信息资料。密码信息:个人登录、开机密码及IT管理员密码。内部运作其他信息:包括设备、基础设施、工程等信息资料。以上信息,根据信息秘密程度,分为可公开信息和保密信息。公司任何员工均不可将公司保密信息(文件)以任何方式传递、泄露给非授权人公开信息:此类信息、文件可从公司公开渠道所获取,如公司广告、/11/-WI-0201制定部门安全服务部页次2/3中所涉及的公司名称、地址、经营产品等。秘密信息:不可从公开渠道所能获取的信息,如产品技术文件,包括产品图纸、客户文件、工艺技术规范等;人事行政文件、管理程序和规范、生产经营统计信息和其他记录、文件等。参考文件信息技术信息安全等级保护基本要求GB/T 22239-2008信息技术信息系统安全保护等级定级指南GB/T22240-2008信息安全技术信息安全信息安全应急处理规范GB/T20984--SV002:2010信息技术-安全技术-信息安全管理体系要求ISO/IEC27001:2013管理流程图:无作业内容与要求服务合同签订后,销售经理需反馈技术中心进行项目立项,按照公司项目管理规范,任命项目经理,拟制项目所需的内部其他部门的支持活动,以及需要相关供方提供的服务等。项目经理组织销售部、信息安全服务部经理及项目组代表等,就相关支持活动进行评审,评审确定活动细节后,公司内部其他部门按照评审中约定的细节给予支持。针对项目选择适当的应急处理工具包,及时解决客户网站系统安全故障或事件(计算机病毒事件、蠕虫病毒事件 、特洛伊木马事件、网页内嵌恶意代码事件、拒绝服务攻击事件、***攻击事件 、漏洞攻击事件、网络扫描窃听事件、信息篡改事件 、信息假冒事件、信息窃取事件等),修复网站信息系统,使网站网络系统和信息服务恢复正常运行,尽可能挽回或减少损失;对安全故障或事件发生的系统作安全检查和清理,保证网站信息系统安全;弥补安全故障或事件发生系统上的安全漏洞,加强安全保护措施,防止类似事件的再次