ISMS--通信与操作管理程序10.doc

ISMS 信息安全管理体系文件

1.综述

本文件确定一些关键控制点以便对通信和操作过程进

行有效的安全管理，并建立信息处理设施的管理和操作的

职责和流程，包括开发适当的操作指导和事故处理流程。

在适当的情况下，对职责进行划分，以降低渎职或者故意

滥用系统的风险，目标是确保员工能正确、安全地操作信

息处理设施。

份、设备维护、介质处理、计算机机房、邮件处

置管理和物理安全等。

2.1.3 操作程序应详细规定执行每项工作的说明，其内

容包括：

a) 信息处理和处置；

b) 备份；

c) 时间安排要求，包括与其他系统的相互关系、最早

1/23

ISMS 信息安全管理体系文件

工作开始时间和最后工作完成期限；

d) 对在工作执行期间可能出现的处理差错或其它异常

情况的指导，包括对使用系统实用工具的限制；

e) 出现不期望操作或技术困难事件时的支持性联络；

f) 特定输出及介质处理的指导，包括任务失败时输出

的安全处置程序；

g) 系统失效时使用的系统重启和恢复程序；

h) 审核跟踪和系统日志信息的管理。

2.1.4 要将操作程序和系统活动文件化，其变更由管理

b) 变更的策划和测试；

c) 对这种变更的潜在影响的评估，包括安全影响；

d) 对建议变更的正式批准程序；

e) 向所有有关人员传达变更细节；

f) 返回程序，包括从不成功变更和未预料事件中退出

和恢复的程序与职责。

2/23

ISMS 信息安全管理体系文件

2.2.2 本公司确保对信息处理设施和系统的变更有适当

控制，包括：

a) 变更前测试；

b) 所有变更相关信息的审计日志记录都必须保留最少

一年。

2.2.3 具体变更管理控制参见变更管理规定。

2.2.4 批准变更请求后，研发中心会安排其操作人员准

备实施变更。操作人员会在变更请求获得批准后

约定的时间内实施变更，并确保不会对现有的平

2.4.1 本公司开发、测试与运行设施必须分离，除非得

到特别授权。

2.4.2 如果因工作原因需要进行上述活动，应遵守以下

做法：

a) 研发中心同开发方、运行方和需求方讨论潜在的安

全风险并设计防范程序；

3/23

ISMS 信息安全管理体系文件

b) 开发测试人员全权负责开发测试系统的管理，运行

人员未经授权不得参与开发测试系统的有关工作；

c) 运行人员全权负责生产系统的管理，开发测试人员

未经授权不得参与生产系统的有关工作；

d) 运行人员要密切监督生产系统，以保证开发、测试

工作不会造成服务影响或安全事故；

e) 开发测试系统应当与生产系统分开，并清楚地标记

测试周期和有关开发测试技术支持的联系方式；

f) 对于需要在生产环境下进行的开发测试工作，需要

作：

 卸载与运行无关的开发、测试相关的工具、文

件与数据等；

 修改默认用户名/密码。

3.第三方服务交付管理

4/23

ISMS 信息安全管理体系文件

3.1 服务交付协议

第三方的服务交付协议应包括商定的安全措施、服务

定义和交付质量。外包时，应确保安全得以保证，并考察

第三方的服务能力，及在故障或灾难发生后持续提供服务

的能力。

3.2 第三方服务的交付和管理

3.2.1 应定期对第三方的服务及相关的报告、记录、交

付件进行审查，审查方式包括本公司的内部审计，

或聘请外面独立审计机构进行的审计。

c) 第三方应提供如下信息内容供本公司评估：服务过

程中所应用到的软硬件产品、所使用的协议、系统

部署及使用指南、知识产权、安全使用许可销售证

明等；

d) 对第三方在交付服务过程中所进行的审核跟踪流程，

及相关的安全事件、操作问题、故障、失误追踪和

5/23