1、信息化安全管理手册信息化管理务实手册安全管理分册1安全管理业务分类安全管理属于一级业务,主要包括:安全防护管理、安全等级保护管理、安全督查管理、安全事件管理等四项业务活动。一级业务、二级业务、三级业务为网公司信息领域一体化管理要求,四级业务为根据网、省公司信息化管理相关制度,结合信息中心实际管理工作梳理而来,具体分类如下表:序号一级业务二级业务三级业务四级业务流程编号1安全管理安全防护管理终端安全防护管理计算机终端AD域请求管理2.12安全防护策略请求管理2.23计算机终端及外设检查管理2.34计算机终端移动介质领用管理2.55计算机终端互联网访问管理2.46生产计算机终端接入公司综合数据网2
2、.77计算机终端账号清理2.88计算机终端领用管理2.69计算机终端报废管理2.910网络安全防护管理网络安全运行管理2.1011网络安全维护管理2.1112网络安全巡检管理2.1213组织及人员安全管理信息安全宣贯培训2.1314重大活动安全保障管理重大活动信息安全保障服务2.1415安全等级保护管理等级保护定级等级保护定级管理2.1516等级保护评估等级保护评估实施管理2.1617等级保护加固实施等级保护加固实施管理2.1718等级保护测评验收等级保护测评验收管理2.1819安全督查管理信息安全检查管理生产安全监督检查2.1920涉密安全管理检查2.2021信息安全风险评估风险评估与控制2
3、.2122信息安全事件管理信息安全事件应急管理应急预案管理2.2223应急计划及演练2.2324信息安全事件应急处理2.2425信息安全事件报告管理信息安全事件报告管理2.2526信息安全事件调查处置管理信息安全事件调查处置2.262业务流程2.1计算机终端AD域请求管理2.1.1管理流程序号流程节点细节描述频度时限涉及岗位角色输入/输出是否有系统支持所遵循的制度或工作要求是否需要有作业指导书备注1申请AD域请求初次申请、注销和变更AD域,填写计算机终端AD域请求申请表/申请人输入:无输出:计算机终端AD域请求申请表否信息中心ISO27000信息安全管理体系-终端安全管理程序 第6.1.5节
4、接入内网的客户端计算机终端必须使用PKI证书进行身份认证并通过实名制方式登录,不允许使用他人账号,并且应纳入AD域和桌面管理系统统一管理否初次申请、注销和变更AD域2审批计算机终端AD域请求申请表审批计算机终端AD域请求申请表/申请人所在部门负责人输入:计算机终端AD域请求申请表输出:审批意见否否3发起ITSM服务请求把计算机终端AD域请求申请表提交信息服务中心办理/1小时/个部门联络员输入:计算机终端AD域请求申请表输出:ITSM工单是计算机终端安全管理办法QCSG-GPG 2 18 003-20125.4.1.2节5.4.1.2 IT客服部门统一分配办公计算机终端名称、计算机终端帐号、用户
5、权限否4实施1、分配、修改终端名称、帐号、终端用户权限2、软件、访问策略配置3、PKI证书发放或回收4、安全防护策略配置/1小时/个一线支持人员输入:ITSM工单输出:无否否5归档、检查一线支持人员把计算机终端帐号、安全管理策略,用户权限信息记录到申请表并归档,系统管理员进行检查/1个工作日一线支持人员、系统管理员输入:ITSM工单输出:计算机终端AD域请求备案表、关闭工单否否2.1.2相关输出物1)计算机终端AD域请求申请表2)计算机终端AD域请求备案表2.1.3输出物来源依据计算机终端AD域请求管理相关输出物来源参考计算机终端安全管理办法QCSG-GPG 2 18 003-2012、ISO
6、27001信息安全管理体系。2.2安全防护策略请求管理2.2.1管理流程序号流程节点细节描述频度时限输入/输出涉及岗位是否有系统支持所遵循的制度或工作要求是否需要有作业指导书备注1提交安全防护策略请求申请表提交安全防护策略请求申请表/输入:无输出:安全防护策略请求申请表申请人否ISO27000信息安全管理体系-终端安全管理程序 第6.1.5节 IT运维部门对计算机终端制定并部署统一的安全防护策略和网络准入策略否包括:计算机终端和安全设备的安全防护策略制定、停用、配置变更2审批申请内容审批申请内容/输入:安全防护策略请求申请表输出:审批意见申请人所在部门负责人否否3发起ITSM服务请求把通过审批
7、的申请报服务台,发起ITSM服务请求/1个小时输入:安全防护策略请求申请表输出:ITSM服务请求一线支持人员是信息安全管理办法8.1访问控制策略制定和管理、计算机终端安全管理办法QCSG-GPG 2 18 003-20125.4.1.10节否4审批ITSM服务请求审批ITSM服务请求/1个工作日输入:ITSM服务请求输出:审批意见信息安全运行分部信息安全专责是否5派单信息安全运行分部信息安全专责派单给运维班组/1个小时输入:无输出:ITSM工单信息安全运行分部信息安全专责是否6实施通知用户、实施并做好登记/1个工作日输入:ITSM工单输出:信息工作票运维班组人员否否全局性、影响面大和影响业务运
8、行的安全防护策略实施需要走信息工作票流程7备案、归档并通知用户服务台登记备案、归档并通知用户/1个工作日输入:ITSM工单输出:关闭ITSM请求单、关闭信息工作票服务台是否2.2.2相关输出物1)安全防护策略请求申请表2)信息工作票2.2.3输出物来源依据安全防护策略请求管理相关输出物来源参考信息安全管理办法QCSG-GPG 2 18 040-2011、计算机终端安全管理办法QCSG-GPG 2 18 003-2012、ISO27001信息安全管理体系。2.3计算机终端及外设安全检查管理2.3.1管理流程序号流程节点细节描述频度时限涉及岗位角色输入/输出是否有系统支持所遵循的制度或工作要求是否
9、需要有作业指导书备注1制定终端及外设定期检查计划制定终端及外设定期检查计划一次/每年3个工作日信息安全专责、信息资产专责输入:无输出:定期检查计划表、计算机终端及外设巡检表否ISO27001信息安全管理体系-终端安全管理程序 第6章 6.1.5 计算机终端安全防护否计算机终端及外设范围:属于内部资产的办公计算机及外设。2终端及外设检查1、审核计算机终端及外设安全防护策略,确保安全策略有效性2、清理计算机终端及外设用户和用户组,及时注销和停止停用的帐号3、计算机终端及外设健康检查一次/每年/一线支持人员、二线支持人员、系统管理员输入:计算机终端及外设巡检表输出:问题检查记录表是是巡检方式:远程检
10、查和现场人工巡检。巡检内容包括:计算机终端及外设账户密码是否符合规定,软件安装情况、安全防护策略有效性、计算机终端防病毒健康检查、外设健康检查。3整改依据问题检查记录,对终端及外设安全问题进行整改,并针整改结果填入问题检查记录表一次/每年15个工作日一线支持人员、二线支持人员、系统管理员输入:问题检查记录表输出:整改记录表是计算机终端安全管理规定QCSG-GPG 2 18 003-20125.4.1.12、5.4.1.13、5.4.1.16否重大漏洞需要在3个工作日内完成整改。4检查对整改结果进行核实一次/每年5个工作日信息安全专责、信息资产专责输入:整改记录表输出:无否否5归档把问题整改检查
11、记录表进行归档一次/每年5个工作日二线支持人员输入:整改记录表输出:无否否2.3.2相关输出物1)计算机终端及外设巡检表 2)整改记录表 3)问题检查记录表 2.3.3输出物来源依据计算机终端及外设安全检查管理流程相关输出物来源参考计算机终端安全管理办法QCSG-GPG 2 18 003-2012、ISO27001信息安全管理体系。2.4计算机终端互联网访问管理2.4.1管理流程序号流程节点细节描述频度时限输入/输出涉及岗位是否有系统支持所遵循的制度或工作要求是否需要有作业指导书备注1提交计算机终端访问互联网申请表提交计算机终端访问互联网申请表/输入:无输出:计算机终端访问互联网申请申请人否信
12、息安全管理办法QCSG-GPG 2 18 040-2011、计算机终端安全管理办法QCSG-GPG 2 18 003-2012否2部门审批部门审批/输入:计算机终端访问互联网申请输出:审批意见申请人所在部门负责人否否3办公室审批非配置标准的申请由办公室人员审批/输入:计算机终端访问互联网申请输出:审批意见办公室负责主管否否4发起ITSM服务请求把通过审批的申请报服务台,发起ITSM服务请求/1个小时输入:计算机终端访问互联网申请输出:ITSM服务请求一线支持人员是否5审批ITSM服务请求审批ITSM服务请求/1个工作日输入:ITSM服务请求输出:审批意见信息安全运行分部信息安全专责是否6派单信
13、息安全运行分部信息安全专责派单给运维班组/1个小时输入:无输出:ITSM工单信息安全运行分部信息安全专责是否7实施实施并做好登记/1个工作日输入:ITSM工单输出:无运维班组人员否否8备案、归档并通知用户服务台登记备案、归档并通知用户/1个工作日输入:ITSM工单输出:关闭ITSM请求单服务台是否2.4.2相关输出物1)计算机终端访问互联网申请2.4.3输出物来源依据计算机终端访问互联网请求管理相关输出物来源参考信息安全管理办法QCSG-GPG 2 18 040-2011、计算机终端安全管理办法QCSG-GPG 2 18 003-2012。2.5计算机终端移动介质管理2.5.1管理流程序号流程
14、节点细节描述频度时限涉及岗位角色输入/输出是否有系统支持所遵循的制度或工作要求是否需要有作业指导书备注1移动介质使用申请申请人通过企业级资产管理系统物资模块,提出移动介质领用需求半年/申请人输入:无输出:移动介质使用申请单否计算机终端安全管理办法QCSG-GPG 2 18 003-20125.5移动介质管理否2部门审核申请人所在部门审批移动介质领用申请,并提交物资管理员半年2个工作日申请人所在部门负责人输入:移动介质使用申请单输出:审核意见否否3审批资产管理专责审批需求,并将审批通过的需求提交物资管理部门进行采购半年2个工作日资产管理专责输入:移动介质使用申请单输出:审批意见否否3移动介质采购
15、物资管理部门根据需求清单进行采购半年15个工作日物资管理部门输入:移动介质使用申请单输出:移动介质记录表否ISO27001信息安全管理体系-移动存储介质安全管理程序第 6.1章节 移动存储介质管理否4安全认证对采购的移动介质进行安全认证,贴上标签。半年3个工作日运维班组人员输入:移动介质记录表输出:无否是5移动介质派发信息中心服务台根据移动介质使用申请单进行介质派发半年/服务台输入:移动介质使用申请单输出:无否否移动介质使用前,须通过进行计算机病毒检测2.5.2相关输出物1)移动介质使用申请单2)移动介质记录表2.5.3输出物来源依据计算机终端移动介质管理流程相关输出物来源参考计算机终端安全管
16、理办法QCSG-GPG 2 18 003-2012、ISO27001信息安全管理体系。2.6计算机终端领用管理2.6.1管理流程序号流程节点细节描述频度时限涉及岗位角色输入/输出是否有系统支持所遵循的制度或工作要求是否需要有作业指导书备注1计算机终端使用申请申请人通过企业级资产管理系统物资模块,提出计算机终端领用需求半年/申请人输入:无输出:计算机终端使用申请单否计算机终端安全管理办法QCSG-GPG 2 18 003-20125.4.1办公计算机终端管理否2部门审核申请人所在部门审批计算机终端领用申请,并提交物资管理员半年2个工作日申请人所在部门负责人输入:计算机终端使用申请单输出:审核意见
17、否否3审批资产管理专责审批需求,并将审批通过的需求提交物资管理部门进行采购半年2个工作日资产管理专责输入:计算机终端使用申请单输出:审批意见否否3计算机终端采购物资管理部门根据需求清单进行采购半年15个工作日物资管理部门输入:计算机终端使用申请单输出:计算机终端记录表否ISO27001信息安全管理体系-软硬件设备安全管理程序第 6.1设备购置、6.3设备标识否4计算机终端初始化1、对采购的计算机终端进行初始化安装,贴标签2、新用户转到计算机终端AD域请求管理半年3个工作日运维班组人员输入:计算机终端记录表输出:无否是5计算机终端派发信息中心服务台根据计算机终端使用申请单进行介质派发半年/服务台
18、输入:计算机终端使用申请单输出:无否否计算机终端使用前,须通过进行计算机病毒检测2.6.2相关输出物1)计算机终端使用申请单2)计算机终端记录表 2.6.3输出物来源依据计算机终端领用管理流程相关输出物来源参考计算机终端安全管理办法QCSG-GPG 2 18 003-2012、ISO27001信息安全管理体系。2.7生产计算机终端接入公司综合数据网2.7.1管理流程序号流程节点细节描述频度时限涉及岗位角色输入/输出是否有系统支持所遵循的制度或工作要求是否需要有作业指导书备注1提交访问申请申请人提交生产计算机终端接入公司综合数据网申请/申请人输入:无 输出:生产计算机终端接入公司综合数据网申请否
19、ISO27001信息安全管理体系-终端安全管理程序 第6.1.5节 生产计算机终端的运行单位必须明确相关责任人,填写生产计算机终端接入综合数据网备案表经信息中心备案后,方可接入综合数据网否2审批申请内容申请人所在部门负责人审批用户申请/申请人所在部门的负责人输入:生产计算机终端接入公司综合数据网申请输出:审批意见否否3发起ITSM服务请求把通过审批的申请报服务台,发起ITSM服务请求/1个小时申请部门信息联络员输入:生产计算机终端接入公司综合数据网申请输出:ITSM交互单是计算机终端安全管理办法QCSG-GPG 2 18 003-20125.4.2生产计算机终端管理否4生成ITSM服务请求工单
20、生成ITSM服务请求工单/1个小时一线支持人员输入:ITSM请求输出:ITSM工单是否5派单一线支持人员派单/1个小时一线支持人员输入:ITSM工单输出:ITSM工单是否6审批ITSM服务请求审批ITSM服务请求/1个工作日信息中心安全运行分部信息安全管理专责输入:ITSM工单输出:审批意见是否生产计算机终端的运行单位必须明确相关责任人,经信息中心备案后,方可接入综合数据网。7安全防护措施加固对生产计算机终安全防护措施加固/1个工作日三线支持人员输入:ITSM工单输出:安全加固记录否是依据主流IT设备安全基线标准对生产计算机终端操作系统、中间件、数据库等做好安全防护配置。8入网安全检测生产计算
21、机终端入网安全检测/1个工作日三线支持人员输入:ITSM工单、安全加固记录输出:入网安全检测记录表否否IT客服部门对生产计算机终端经过入网安全检测合格后,方能接入综合数据网9接入综合数据网生产计算机终端接入综合数据网/1个工作日三线支持人员输入:入网安全检测记录表输出:入网接入记录否否IT运维部门根据其用途和性质,分配合适的网络区域与接入方式。10关闭服务请求回复用户并关闭服务请求/1个小时一线支持人员输入:ITSM工单输出:回复用户是否11备案信息运维部门服务台登记备案/1个工作日一线支持人员输入:ITSM工单输出:生产计算机终端接入公司综合数据网备案记录表否否2.7.2相关输出物1)生产计
22、算机终端接入公司综合数据网申请2)生产计算机终端接入公司综合数据网备案记录表 2.7.3输出物来源依据生产计算机终端接入公司综合数据网相关输出物来源参考计算机终端安全管理办法QCSG-GPG 2 18 003-2012、ISO27001信息安全管理体系。2.8计算机终端账号清理2.8.1管理流程序号流程节点细节描述频度时限输入/输出涉及岗位是否有系统支持所遵循的制度或工作要求是否需要有作业指导书备注1整理帐号列表整理计算机终端帐号列表,通过比对当前计算机终端用户和在编人员情况,编制计算机终端帐号差异表一年3个工作日输入:计算机终端帐号列表、在编人员清单 输出:计算机终端帐号差异表运维班人员否计
23、算机终端安全管理办法QCSG-GPG 2 18 003-20125.4.13 IT运维部门应定期检查、清理计算机终端用户和用户组,及时注销和停止停用的帐号、信息系统运行维护管理办法Q/CSG-GPG 2 18 009-20125.5.14否2向信息中心运维部门提交计算机终端帐号差异表向信息中心运维部门提交计算机终端帐号差异表一年1个工作日输入:计算机终端帐号差异表 输出:无运维班人员否否3整理、汇总计算机终端帐号差异表信息中心运维部门组织各部门更正计算机终端帐号差异表并整理汇总。一年3个工作日输入:计算机终端帐号差异表 输出:计算机终端帐号差异表信息中心信息安全专责否否4差异表确认各部门确认、
24、更正差异表并提交业务负责人一年5个工作日输入:计算机终端帐号差异表输出:确认后的计算机终端帐号差异表全局各部门否否5差异表整理根据确认结果整理确认差异表一年3个工作日输入:确认后的计算机终端帐号差异表输出:计算机终端帐号差异表运维班人员否否6编制实施方案根据信息中心运维部门确认后的计算机终端帐号差异表编制具体的实施方案。一年5个工作日输入:计算机终端帐号差异表 输出:计算机终端帐号整理实施方案信息中心信息安全专责否否7审批实施方案信息部门审批实施方案一年1个工作日输入:计算机终端帐号整理实施方案 输出:审批意见信息中心信息安全主管否否8实施执行审批后的实施方案。一年5个工作日输入:计算机终端帐
25、号整理实施方案 输出:无运维班人员否否2.8.2相关输出物1)计算机终端帐号差异表2)计算机终端帐号整理实施方案 2.8.3输出物来源依据计算终端帐号清理相关输出物来源参考计算机终端安全管理办法QCSG-GPG 2 18 003-2012、信息系统运行维护管理办法Q/CSG-GPG 2 18 009-20122.9计算机终端报废管理2.9.1管理流程序号流程节点细节描述频度时限输入/输出涉及岗位是否有系统支持所遵循的制度或工作要求是否需要有作业指导书备注1计算机终端报废申请在计算机终端使用期限达报废年限或不具备运行条件时,资产管理员提交计算机报废申请。/1个工作日内输入:无输出:计算机终端报废申请资产管理员是ISO27000信息安全管理体系-终端安全管理程序 第6.1.8节 6.1.8 计算机终端报废否2介质消磁对待报废设备进行介质消磁,并填写介质销毁记录表/1个工作日内输入:介质销毁记录表输出:无二线支持人员否是3资产核销申请在FMIS系统和企业资产管理系统进行资产报废申请/30个工作日内输入:报废申请输出:无资产管理员是固定资产管理办法5.11固
