信息安全管理.pdf

文件编号: 文件名称: 版本:
020 信息安全管理规范
简介
为明确及落实「信息安全管理流程」的要求，清晰日常工作中的信息安
全管理要求及措施，减少因信息安全做成的风险和业务损失。
适用范围
此流程适用服务管理手册中定义的服务范围。
适用参考「信息安全管理流程」中定义的明细管理范围。
相关流程
信息安全管理流程(015)
变更管理流程(010)
事件和服务请求管理流程(007)
定义
术语表
术语 说明
保密协议是资方和劳方的双方行为，是通过合同约定
保密协议 劳方保密义务的手段，违反保密协议需要承担违约责
任。
员工 信息技术部有雇佣合同的同事及临时工。
对集团有价值的有形或无形物品， 例如可见的各类设
资产
备或不可见的系统数据。
泛指放置运行硬体设备的环境。包括为保证环境条件
机房环境
达成所设置的 、空调、配电系统、消防设备等设施。
机房区域分为设备区域及控制区域， 设备区域指伺服
机房区域 器、网络设备等安装及提供服务的物理区域、控制区
域是指控制区域。
包括网络主机、网络设备及其相关配套的设备、设施
电脑网络
(含网络线路)及相关软体等组成的架构。
是管理电脑硬体与软体资源的电脑程式，同时也是电
操作系统
脑系统的核心与基石。
操作系统或伺服器平台，如： 操作系统 的账号， 伺
初始管理员账号
服器 帐号等。但不包括。
指数据库系统中除初始管理员账号和数据库管理员外
数据库普通用户
的其它账号。
角色职责表
角色 职责
按本规范要求，保管初始管理员账号。
部门主管
按本规范要求，对各管理员的角色进行合适的授权。
按「信息安全管理流程」要求，依本规范要求进行对
流程经理 执行情况及效果、记录进行核查或审计。
按本规范要求，对相关记录进行审核。
内容
规范说明
因适用范围及管理要求，本规范分成 8个不同领域明确信息安全要
求。
信息安全规范总则
组织管理
部门相应的职能小组负责按信息安全流程要求制定工作手
则及指引。
每个信息安全领域每年最少一次对领域内的管理、技术进行
工作检讨。
授权管理
因日常管理工作要求，部门遵循分层授权体系进行角色、分
工管理。
账户管理
员工有责任保障自己所拥有帐号安全，不得将自己所
拥有帐号转借给他人使用。
员工不得以任何方式泄露自己的帐号、密码。一旦发
生泄密事件，须立即通知上司或相关管理小组并安排更换
密码。
帐号/密码不可交由非指定授权人员使用，使用完毕应
尽快登出。
员工在需要在自己不拥有帐号的系统进行操作时，应
向相关的服务负责人进行帐