a) 基于安全需求原则:组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;
b) 主要领导负责原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;
c) 全员参与原则:信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
d) 系统方法原则:按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;
e) 持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
f) 依法管理原则:信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;
g) 分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限;
h) 选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;
b) 主要领导负责原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;
c) 全员参与原则:信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
d) 系统方法原则:按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;
e) 持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
f) 依法管理原则:信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;
g) 分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限;
h) 选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;
温馨提示:内容为网友见解,仅供参考
第1个回答 2017-07-28
一、服务等级管理
目标:定义、协商、记录并能管理服务等级。
所有方面应协商并记录:所提供的服务、相应的服务等级目标以及工作量特性。
应在一个或多个服务等级协议中书面规定所约定的服务。
所有相关方应协商并记录服务等级协议、支持性服务约定、供方合同和相应的程序。
服务等级协议应处于变更管理过程的控制之下。
应通过所有相关方定期评审的方式来保持服务等级协议,以确保服务等级协议的更新和持续有效。
应根据目标来监视并报告服务等级,报告中应展示当前的信息以及发展趋势。应报告并评审不符合的原因。应记录这一过程中所确定的改进措施,并作为服务改进计划的输入。
二、服务报告
目的:为有效沟通和制定决策而及时编制的可靠的、准确的并达成一致的报告。
每一份服务报告应清晰阐明其标识、目的、目标读者以及数据来源。
应编制服务报告以满足确定的需求和顾客要求。服务报告应包括:
1、与服务水平目标相比较的业绩;
2、 不符合及问题,即违反服务等级协议及安全违规;
3、工作量特征,即容量和资源使用率;
4、重大事故后的业绩报告,即重大事件或变更;
5、趋势信息;
6、 满意度分析。
应考虑服务报告的发现并据此确定管理决策和纠正措施,并与相关方沟通。
三、服务连续性及可用性管理
目的:确保在所有情况下都可以实现向顾客承诺的服务连续性和可用性。
应基于业务计划、服务等级协议和风险评估来确定可用性及服务连续性要求。要求应包括访问权限、响应时间以及系统组件端对端的可用性。
应开发可用性及服务连续性计划,并每年至少评审一次,以确保从正常情况到主要服务失效的所有情况下都可以满足要求。应保持这些计划以确保他们反映约定的、业务所需的变更。
当业务环境发生重大变更时,应重新测试可用性及服务连续性计划。
变更管理过程应评估变更对可用性及服务连续性计划的影响。
应测量并记录可用性。应调查计划之外的不可用并采取适当的措施。
注:可行时,应预测潜在的问题并采取预防措施。
当正常的办公访问被阻止时,应确保服务连续性计划、合同列表和配置管理数据库的可用性。服务连续性计划应包括返回正常工作状态的内容。
应依据业务需求对服务连续性计划进行测试。
应记录所有的连续性测试,应在改进措施计划中简述测试失效的情况。
四、IT服务的预算及财务管理
目的:制定预算并解释服务提供成本。
注:本节涵盖了IT服务的预算及财务管理。实际上,许多服务提供商都将涉及到对此类服务的收费。然而,因为收费是一个可选的活动,并未被本标准所涵盖。如果服务提供商进行收费,,建议应充分规定进行该活动的机制,并被所有方面理解。使用的所有财务实践应与组织更为广泛的财务实践保持一致。
应为下列活动建立清晰的策略和程序:
1、应为所有的组件(包括IT资产、共享资源、企业的一般管理费用、外部提供的服务、人员、保险和许可)制定预算并进行财务管理;
2、 分配服务的间接费用和直接成本;
3、有效的财务控制和授权。
应制定详细的成本预算,以确保有效的财务控制和决策制定。
服务提供商应依据预算来监视并报告成本情况,评审财务预算并相应地进行成本管理。应计算服务变更的成本,并经过变更管理过程的批准。
五、容量管理
目的:确保服务提供商在任何时候都有足够的容量以满足与顾客约定的、顾客当前和未来的业务需求。
实施容量管理,应编制并保持容量计划。
容量管理应阐述业务需求并包括下列内容:
1、 当前和预测的容量和绩效要求;
2、识别服务升级的时间表、限度和成本;
3、评价预期的服务升级、变更请求、关于容量的新技术和方法的影响;
4、预测外部变更的影响,如立法机构;
5、预测分析所需的数据和过程。
应确定监视服务容量、协调服务业绩和提供充足容量所需的方法、程序和技术。
六、信息安全管理
目的:在所有服务活动中有效管理信息安全。
注:ISO/IEC17799《信息技术一安全技术一信息安全管理指南》提供了关于信息安全管理的指南。经过适当授权的管理者应批准信息安全策略,并传达给所有相关人员,适用时与顾客沟
应实施适当的安全控制以:
1、实施信息安全策略的要求;
2、管理与服务或系统访问有关的风险。
控制措施应形成文件,阐述相关的风险以及控制措施的运营和保持方式。
在实施变更前,应评估控制措施变更的影响。
有些组织可以访问信息系统和服务。有关这些组织的安排应基于正式的协议,协议中应规定全部所需的安全要求。
应按照事故管理程www.cxdguangli.com序的规定记录安全事故,并尽快报告。应实施程序,以确保可以调查所有的安全事故并采取管理措施。
应采取机制,以量化并监视安全事故和失效的类型、程度和影响。应记录该过程所确定的改进措施,并作为服务改进计划的输入。
目标:定义、协商、记录并能管理服务等级。
所有方面应协商并记录:所提供的服务、相应的服务等级目标以及工作量特性。
应在一个或多个服务等级协议中书面规定所约定的服务。
所有相关方应协商并记录服务等级协议、支持性服务约定、供方合同和相应的程序。
服务等级协议应处于变更管理过程的控制之下。
应通过所有相关方定期评审的方式来保持服务等级协议,以确保服务等级协议的更新和持续有效。
应根据目标来监视并报告服务等级,报告中应展示当前的信息以及发展趋势。应报告并评审不符合的原因。应记录这一过程中所确定的改进措施,并作为服务改进计划的输入。
二、服务报告
目的:为有效沟通和制定决策而及时编制的可靠的、准确的并达成一致的报告。
每一份服务报告应清晰阐明其标识、目的、目标读者以及数据来源。
应编制服务报告以满足确定的需求和顾客要求。服务报告应包括:
1、与服务水平目标相比较的业绩;
2、 不符合及问题,即违反服务等级协议及安全违规;
3、工作量特征,即容量和资源使用率;
4、重大事故后的业绩报告,即重大事件或变更;
5、趋势信息;
6、 满意度分析。
应考虑服务报告的发现并据此确定管理决策和纠正措施,并与相关方沟通。
三、服务连续性及可用性管理
目的:确保在所有情况下都可以实现向顾客承诺的服务连续性和可用性。
应基于业务计划、服务等级协议和风险评估来确定可用性及服务连续性要求。要求应包括访问权限、响应时间以及系统组件端对端的可用性。
应开发可用性及服务连续性计划,并每年至少评审一次,以确保从正常情况到主要服务失效的所有情况下都可以满足要求。应保持这些计划以确保他们反映约定的、业务所需的变更。
当业务环境发生重大变更时,应重新测试可用性及服务连续性计划。
变更管理过程应评估变更对可用性及服务连续性计划的影响。
应测量并记录可用性。应调查计划之外的不可用并采取适当的措施。
注:可行时,应预测潜在的问题并采取预防措施。
当正常的办公访问被阻止时,应确保服务连续性计划、合同列表和配置管理数据库的可用性。服务连续性计划应包括返回正常工作状态的内容。
应依据业务需求对服务连续性计划进行测试。
应记录所有的连续性测试,应在改进措施计划中简述测试失效的情况。
四、IT服务的预算及财务管理
目的:制定预算并解释服务提供成本。
注:本节涵盖了IT服务的预算及财务管理。实际上,许多服务提供商都将涉及到对此类服务的收费。然而,因为收费是一个可选的活动,并未被本标准所涵盖。如果服务提供商进行收费,,建议应充分规定进行该活动的机制,并被所有方面理解。使用的所有财务实践应与组织更为广泛的财务实践保持一致。
应为下列活动建立清晰的策略和程序:
1、应为所有的组件(包括IT资产、共享资源、企业的一般管理费用、外部提供的服务、人员、保险和许可)制定预算并进行财务管理;
2、 分配服务的间接费用和直接成本;
3、有效的财务控制和授权。
应制定详细的成本预算,以确保有效的财务控制和决策制定。
服务提供商应依据预算来监视并报告成本情况,评审财务预算并相应地进行成本管理。应计算服务变更的成本,并经过变更管理过程的批准。
五、容量管理
目的:确保服务提供商在任何时候都有足够的容量以满足与顾客约定的、顾客当前和未来的业务需求。
实施容量管理,应编制并保持容量计划。
容量管理应阐述业务需求并包括下列内容:
1、 当前和预测的容量和绩效要求;
2、识别服务升级的时间表、限度和成本;
3、评价预期的服务升级、变更请求、关于容量的新技术和方法的影响;
4、预测外部变更的影响,如立法机构;
5、预测分析所需的数据和过程。
应确定监视服务容量、协调服务业绩和提供充足容量所需的方法、程序和技术。
六、信息安全管理
目的:在所有服务活动中有效管理信息安全。
注:ISO/IEC17799《信息技术一安全技术一信息安全管理指南》提供了关于信息安全管理的指南。经过适当授权的管理者应批准信息安全策略,并传达给所有相关人员,适用时与顾客沟
应实施适当的安全控制以:
1、实施信息安全策略的要求;
2、管理与服务或系统访问有关的风险。
控制措施应形成文件,阐述相关的风险以及控制措施的运营和保持方式。
在实施变更前,应评估控制措施变更的影响。
有些组织可以访问信息系统和服务。有关这些组织的安排应基于正式的协议,协议中应规定全部所需的安全要求。
应按照事故管理程www.cxdguangli.com序的规定记录安全事故,并尽快报告。应实施程序,以确保可以调查所有的安全事故并采取管理措施。
应采取机制,以量化并监视安全事故和失效的类型、程度和影响。应记录该过程所确定的改进措施,并作为服务改进计划的输入。
相似回答
