信息安全服务管理规范.docx

文件名称
信息安全服务管理规范
版本

PD-WI-0201 制定部门
管制印
文件编号
安全服务部
页次
1/3
目的
本文档编写的目的，是帮助公司服务团队明确岗位保密职责，规范信息安全服务操作流程，确保公司及客户信息资产安全，并为进一步完善和改进信息安全服务奠定基础，特制定此管理规范。
范围
本程序适用于信息系统安全应急处理项目的服务团队向客户提供约定信息安全应急处理服务级别的管理。
权责
安全服务部负责策划和制订公司信息安全策略、监督安全规定的实施，提出改善要求，确保信息系统满足公司业务安全要求。负责加解密授权管理、用户申报、开通访问授权和机房管理、数据备份
信服部负责依公司的系统安全规定和部门业务要求，对网络进行维护管理、计算机维护及故障处理等，保证系统安全运行。
定义
公司信息分类：
技术信息：产品图纸、制造技术、主要存在于技术部。
质量信息：主要保存在质管部。
商务信息：主要存在于采购部、经营部。
财务信息：主要存在于财务部。
人事信息：公司员工及为公司服务的特殊技能人才信息资料。
密码信息：个人登录、开机密码及 IT管理员密码。
内部运作其他信息：包括设备、基础设施、工程等信息资料。
以上信息，根据信息秘密程度，分为可公开信息和保密信息。公司任何员
工均不可将公司保密信息（文件）以任何方式传递、泄露给非授权人
公开信息：此类信息、文件可从公司公开渠道所获取，如公司广告、网站
版本 修订日期 分发部门 制作 核准
修
2013/06/20
订
2017/11/30
记 公司全体
录
文件名称
信息安全服务管理规范
版本

PD-WI-0201 制定部门
管制印
文件编号
安全服务部
页次
2/3
中所涉及的公司名称、地址、经营产品等。
秘密信息：不可从公开渠道所能获取的信息，如产品技术文件，包括产品图纸、客户文件、工艺技术规范等；人事行政文件、管理程序和规范、生产经营统计信息和其他记录、文件等。
参考文件
信息技术 信息安全等级保护基本要求 GB/T 22239-2008
信息技术 信息系统安全保护等级定级指南 GB/T22240-2008
信息安全技术 信息安全信息安全 应急处理规范 GB/T20984-2007 信息安全应急处理服务资质认证实施规则 ISCCC-SV002： 2010 信息技术 - 安全技术 - 信息安全管理体系要求 ISO/IEC 27001:2013
管理流程图：无
作业内容与要求

服务合同签订后，销售经理需反馈技术中心进行项目立项，按照公司项目
管理规范，任命项目经理，拟制项目所需的内部其他部门的支持活动，以
及需要相关供方提供的服务等。

项目经理组织销售部、信息安全服务部经理及项目组代表等，就相关支持
活动进行评审，评审确定活动细节后，公司内部其他部门按照评审中约定
的细节给予