真正的ITSS安全管理是从哪些工作开始的
本帖最后由 monicazhang 于 2015-10-22 10:20 编辑20151022 淡然续上
12.安全管理12.1 账号权限管理 实现业务支撑网各业务系统账号权限的申请、审批、分配等流程的管理。具体要求请按《中国某公司业务支撑网4A安全技术规范2.0》执行。
12.2 机房出入管理(可选)12.2.1目的 机房出入管理的主要功能是对出入机房人员的权限进行控制,并记录一切出入机房的活动。其目的包括: ITSS考试n出入权限管理Ø有效控制出入的人员n出入日志管理Ø对出入记录定期进行审阅
12.2.2主要内容 机房出入管理包含下述主要内容:n出入机房人员授权机房管理人员每季度应准备机房准入人员名单,由部门负责人对有权限进入机房的人员进行复核,如果发现不恰当用户的存在应及时通知机房管理人员取消相应用户的授权。n出入日志审阅安全管理员每月应对机房进出记录进行审阅,检查是否有异常进出情况。n临时出入审批临时出入人员需要进入机房时,访问授权由信息技术部门负责人审批,只有经授权的人员才能进入机房。
12.2.3执行原则12.2.3.1出入原则 n在准入人员名单内的方可进入机房n临时出入人员必须在系统中查到已审批通过的出入单,并在有权进入机房的人员陪同下,方可进入机房n所有人员出入机房时必须记录出入时间,出入原因12.2.3.2审计原则 n出入日志每月检查一次n准入人员名单每季度复核一次
12.2.4相关定义 申请单必须包含如下信息项,各省可以在此基础上扩充。表12-1 机房申请单信息项
序号信息项说明
1申请单ID系统自动产生
2创建时间系统自动产生
3机房名称申请进入的机房名称
4进入人员申请进入的人员姓名
5进入人员所属部门申请进入的人员的所属单位、部门
6进入原因进入机房的原因
7进入时间申请进入的时间 ITSS认证
8陪同人员陪同临时进入人员进机房的人
流程定义12.2.5.1出入机房流程 出入机房流程图:
图12-1 出入机房流程出入机房流程说明如下:
序号
步骤名称说明
750.1
检查人员是否有权限进入机房l 检查是否在准入人员名单内l 临时人员必须有已审核的申请单,且有准入人员陪同l 不满足条件的人员拒绝进入机房
750.2
登记进入时间l 包括有进入时间,人员名单,事由等
750.3
登记出门时间
12.2.5.2临时出入审批流程 临时出入审批流程图:图12-2 临时出入审批流程临时出入审批流程说明:
序号
步骤名称说明
751.1
提出申请l 内容包括机房名称、进入人员、进入人员所属部门、进入原因、进入时间等
751.2
进入审批l 检查并确认申请人是否可以进入机房
同意吗?l
751.3
通知相关人员处理结果l 通知人员包括申请人与申请进入的人员
12.2.5.3准入人员复核流程 准入人员复核流程图:图12-3 准入人员复核流程准入人员复核流程说明:
序号
步骤名称说明
752.1
每季自动生成核单l 系统每季自动生成核单
752.2
提交人员名单l 机房管理员提交人员名单
752.3
检查人员名单l 审核人检查人员名单
审核通过?l 审核不通过,退回机房管理员
752.4
更新准入人名单,通知机房管理员l 更新人员名单,通知管理员
12.2.6关键角色、职责定义12.2.6.1机房管理员 机房管理员负责本机房的安全工作,并对出入活动进行检查和记录。职责:n对进入机房的人员进行身份检查n拒绝没有经过授权的进入机房活动n记录人员的出入时间、原因n定期提交准入人员名单给审核人
12.2.6.2审核人 职责:n定期审核机房出入日志n定期审核准入人员名单n对临时进入机房的人员进行审批
12.2.6.3准入人员 职责:n配合机房管理员进行身份的确认工作 ITSS培训n配合机房管理员进行出入日志的记录n陪同经过审批的临时出入人员进行机房n确保自己及临时出入人员在机房的活动安全
待续http://ITIL-foundation.cn/thread-52518-1-1.html本帖关键字:ITSS
页:
[1]