【文章內(nèi)容簡介】 ◆ 制訂信息安全方針和信息安全目標(biāo)，建立和完善公司的信息安全管理體系。 ◆ 提供充分的資源以保證信息安全管理體系的制定、實施、運作、 監(jiān)控、 維護和改善。 ◆ 對公司信息資產(chǎn)實行有效管理，確保信息的機密性，維持信息的完整性和可用性，防范對信息的未經(jīng)授權(quán)訪問。對公司信息資產(chǎn)進(jìn)行 風(fēng)險評估，制定風(fēng)險可接受標(biāo)準(zhǔn)，對公司不能接受的風(fēng)險進(jìn)行處置。 ◆ 建立業(yè)務(wù)持續(xù)性管理 流程 。進(jìn)行業(yè)務(wù)持續(xù)性 風(fēng)險評估 ，編寫、 測試并 實施業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃 ， 以保證公司 關(guān)鍵 業(yè)務(wù)的連續(xù)，不受重大故障和災(zāi)難的影響。 ◆確保 公司所有員工都接受信息安全的教育培訓(xùn)，提高信息安全意識。 ◆ 保護公司、客戶、相關(guān)合作 方 的信息安全。 ◆ 建立公司信息安全組織架構(gòu)，明確信息安全責(zé)任，確定報告可疑的和發(fā)生的信息安全事故 及事件 的流程，對違反安全制度的人員進(jìn)行懲罰。 ◆ 建立物理安全和網(wǎng)絡(luò)安全管理制度，以確保信息的安全性。 ◆ 保護公司軟 件和信息的完整性，防止病毒與各種惡意軟件的入侵。 ◆ 任何人在未經(jīng)審批的情況下，禁止將信息資產(chǎn)帶離公司。 ◆ 公司所有員工都要嚴(yán)格遵守公司的安全方針、程序和制度。 ◆ 控制對內(nèi)外部網(wǎng)絡(luò)服務(wù)的訪問，保護網(wǎng)絡(luò)服務(wù)的安全性與可用性 。 ◆ 對用戶賬號、口令和權(quán)限進(jìn)行嚴(yán)格管理，防止對信息系統(tǒng)的非授權(quán)訪問。 ◆ 對重要信息進(jìn)行備份保護，以保證信息的可用性。 ◆ 定期對信息安全管理體系進(jìn)行內(nèi)審和管理評審。 信息安全 管理委員會 為了加強對信息安全管理體系運作的管理， 江蘇金馬揚名信息技術(shù) 有限公司 公司成立 信息安全 管理委員會 ， 其職責(zé)見下列明細(xì)表。 信息安全管理職責(zé)明細(xì)表 序號 單位 /部門 信息安全職責(zé) 1 信息安全 管理委員會 信息安全管理委員會是我公司信息安全最高組織機構(gòu)，負(fù)責(zé)本單位網(wǎng) 絡(luò)與信息安全重大事項的決策和協(xié)調(diào)，并對全公司信息安全工作負(fù)責(zé) 。 2 總經(jīng)理 信息安全第一責(zé)任人，制定信息安全方針，對信息安全全面負(fù)責(zé)。 3 管理者代表 經(jīng)總經(jīng)理授權(quán)負(fù)責(zé)建立、實施、檢查、改進(jìn)信息安全管理體系。 4 綜合管理部 我公司信息安全管理體系的歸口管理部門。 1. 負(fù)責(zé)管理體系的建立、實施、保持、測量和改進(jìn)。 2. 負(fù)責(zé)文件控制、記錄控制、內(nèi) 部審核的組織、管理評審的組織和體系的改進(jìn)。 3. 負(fù)責(zé)本公司保密工作的管理。 4. 安全區(qū)域的保衛(wèi)管理部門，負(fù)責(zé)安全區(qū)域的管理。 5. 負(fù)責(zé)全公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識和培訓(xùn)，員工離職管理。 6. 負(fù)責(zé)涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。 7. 對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。 8. 參與涉密及司法介入的信息安全事件的調(diào)查。 5 生產(chǎn)技術(shù)部 是我公司信息系統(tǒng)安全管理部門。 負(fù)責(zé)局域網(wǎng)上所承擔(dān)的各類信息系統(tǒng)的管理職能； 負(fù)責(zé)我公司信息系統(tǒng)安全日常 管理。 6 其他部門 認(rèn)真執(zhí)行信息安全管理的方針、標(biāo)準(zhǔn)、安全策略和規(guī)范，做好內(nèi)部培 訓(xùn)。 備注：以上職能劃分，適用所有信息安全管理體系文件。 信息安全 管理委員會組成人員： 姓名 部門 職務(wù) 備注 3． 6 服務(wù)管理職能說明 3． 6． 1 為保證 IT 服務(wù)管理體系的順利實施，以及實施后得到持續(xù)的管理和維護，在現(xiàn)有的組織架構(gòu)外建立 服務(wù)管理職能關(guān)系架構(gòu) 。 IT 服務(wù)管理 職能關(guān)系架構(gòu) ，并不替代現(xiàn)有的按技術(shù)類別進(jìn)行的分工，現(xiàn)有的按技術(shù)類別進(jìn)的分工，在將來的 IT 服務(wù)管理體系中仍將發(fā)揮其作用。 服務(wù)部根據(jù) IT 服務(wù)管理程序要求對所有服務(wù)合同按照項目進(jìn)行管理與運行，由項目經(jīng)理按照 服務(wù)管理職能關(guān)系架構(gòu)中的要求對項目執(zhí)行管理。 一個完整的服務(wù)項目必須包含服務(wù)臺、事件管理、業(yè)務(wù)關(guān)系管理、信息安全管理、供應(yīng)商管理和 IT 財務(wù)管理。對于上圖虛線框內(nèi)的的問題管理、發(fā)布管理、配置管理、變更管理、可用性和連續(xù)性管理、容量管理、服務(wù)級別管理以及服務(wù)報告可由服務(wù)部經(jīng)理依照與用戶簽署的服務(wù)合同進(jìn)行選擇裁剪。 3． 6． 2 角色分配說明 3． 6． 2． 1 針對服務(wù)部當(dāng)前組織架構(gòu)及人員狀況，將不再為每一 具 體 流程分配流程經(jīng)理。為此將 13 個流程，按其必要程度分成必選流程和可裁剪流程兩大模塊。由項目經(jīng)理負(fù)責(zé)相應(yīng)流程的實施、管理和控制。對項目組成員主要是組織、協(xié)調(diào)、安排相應(yīng)工作任務(wù)的完成，可能并不是由自己去完成。 3． 6． 2． 1． 1 項目經(jīng)理 職責(zé)說明： 1）、負(fù)責(zé) IT 服務(wù)項目的立項工作，按照服務(wù)合同要求負(fù)責(zé)相應(yīng)流程的實施、管理和控制。組織、協(xié)調(diào)、安排項目組成員完成相應(yīng)工作任務(wù)。 2）、 負(fù)責(zé)從服務(wù)臺接受事件報告開始，分配相應(yīng)的職能小組進(jìn)行事件處理，直至找到問題的根本原因的整個過程的管理和協(xié)調(diào)。 3）、負(fù)責(zé)各系統(tǒng)的配 置管理、變更和發(fā)布控制。 4）、負(fù)責(zé)系統(tǒng)的可用性規(guī)劃和管理、負(fù)責(zé)安排系統(tǒng)連續(xù)性的計劃和演練，并負(fù)責(zé)系統(tǒng)容量的規(guī)劃和監(jiān)控。 5）、主要負(fù)責(zé)與用戶的溝通，對供應(yīng)商的管理，以及項目的預(yù) /決算的管理。 3． 6． 2． 1． 2 能力要求： 熟悉服務(wù)部的各種服務(wù)管理流程，具有較強的內(nèi)部協(xié)調(diào)能力。 由 管理者代表 授權(quán)技術(shù)服務(wù)事業(yè)部總監(jiān)，按 ISO/IEC 20210 的要求，負(fù)責(zé)協(xié)調(diào)和組織所有與 IT 服務(wù)有關(guān) 的活動，通過 管理 和 實施 各 項 活動，使 IT 服務(wù)業(yè)務(wù) 的質(zhì)量得到有效的保持和維護。 技術(shù)服務(wù)事業(yè)部 組織制訂、批準(zhǔn)和發(fā)布公司 IT 服務(wù)策略、服務(wù)目標(biāo)，并使其成為公司關(guān)注的焦點，成為公司協(xié)調(diào)、統(tǒng)一、凝聚公司的所有活動和資源的準(zhǔn)則，成為建立、實施、保持并改進(jìn) IT 服務(wù)管理體系的宗旨。 3． 6． 3公司 IT 服務(wù)策略：