ISMS--通信与操作管理程序10.doc

【ISMS 通信与操作管理程序】是信息安全管理体系（ISMS）的重要组成部分，它涉及到信息处理设施和通信过程的有效安全管理。这一程序旨在确保员工能够按照规定正确、安全地操作信息处理设施，降低风险，防止渎职和滥用系统。 **1. 文件化操作程序** 操作程序需形成书面文件并保持更新，确保所有相关人员都能获取。这些文件应涵盖信息处理和通信设施的相关活动，如计算机的启动和关闭、备份策略、设备维护、介质处理、计算机机房管理、邮件处理和物理安全措施等。操作程序应详细说明每个任务的执行步骤，包括错误处理和异常情况的应对指南，以及在系统出现问题时的联络和支持机制。 **2. 变更管理控制** 操作系统和应用软件的变更需要严格的管理控制。变更应被识别、记录、策划、测试，并对其潜在影响进行评估，包括安全影响。变更的批准需要正式程序，并确保所有相关人员了解变更详情。如果变更不成功，应有返回程序来恢复原有状态。变更前的测试和至少一年的审计日志记录是必要的。 **3. 责任分离** 通过责任分离来降低风险，确保不同职能的人员只负责他们被授权的任务。这可以通过责任分离参考表来实现，防止单个个体过度控制关键操作。 **4. 软件开发、测试与运行设施的分离** 开发、测试和运行环境应相互独立，除非特殊情况并得到授权。在必要时，应通过安全风险讨论和防范措施来管理跨环境的工作。开发和运行人员的角色应明确，未经授权不得互相干涉对方的工作，以减少潜在的服务影响和安全风险。 **5. 第三方服务交付管理** 与第三方服务提供商的合作必须包含明确的安全措施和服务定义。在选择外包时，需评估供应商的安全保障能力和灾难恢复能力。应定期审查第三方的服务质量和相关交付物，确保服务质量与安全标准的合规性。 总的来说，ISMS中的通信与操作管理程序通过规范化的操作流程、变更控制、责任分配和第三方服务管理，构建了一个综合的安全框架，以保护组织的信息资产，防止未经授权的访问和操作，同时确保服务的稳定性和连续性。通过严格执行这些程序，组织可以提高其信息安全水平，符合相关体系认证的要求，如ISO 27001等。