yITIL服务设计之信息安全管理Word格式.docx
《yITIL服务设计之信息安全管理Word格式.docx》由会员分享,可在线阅读,更多相关《yITIL服务设计之信息安全管理Word格式.docx(14页珍藏版)》请在冰豆网上搜索。
⏹所有安全控制连同其运维、维护和相关风险的文档
⏹结合供应商管理,对系统、服务的供应商和合同的管理
⏹所有系统和服务相关的安全违背和故障的管理
⏹安全控制、安全风险管理和减少的主动改进
⏹在所有其他ITSM流程内安全各个方面的集成
为了达到有效地信息安全管理,必须建立和维护一个信息安全管理系统来指导全面的信息安全项目的开发和管理以支持业务目标。
4.6.3业务价值
信息安全管理保证信息安全策略的维护和执行以符合业务安全策略的需要和公司治理的要求。
信息安全管理激发了组织中对所有IT服务和资产的安全需要的意识,保证策略对组织需要是恰当的。
信息安全管理管理所有IT和服务管理活动内IT和信息安全的各个方面。
信息安全管理通过执行在IT所有领域恰当的安全控制和管理符合业务和公司风险管理流程的IT风险对业务流程提供保证。
4.6.4策略、原则和基本概念
审慎的业务实践需要IT流程符合业务流程和目标。
对信息安全来说,这是至关重要的,其必须紧密地符合于业务安全和业务需要。
另外,IT组织内的所有流程都应该包含安全考虑。
高级管理层需要为组织信息负最终责任并对影响其保护内容的问题做出响应。
另外,期望董事会能把信息安全作为公司治理的一个完整组成部分。
因此,所有的IT服务提供商必须保证他们有完全的信息安全管理策略和必要的安全控制来监控和执行这些策略。
4.6.4.1安全框架
信息安全管理流程和框架通常由以下部分组成:
⏹信息安全策略和具体安全策略描述战略、控制和规定的各个方面
⏹包含标准、管理流程和指导以支持信息安全策略的信息安全管理系统
⏹与业务目标、战略和计划紧密相连的全面的安全战略
⏹有效的安全组织架构
⏹支持策略的安全控制的集合
⏹安全风险的管理
⏹保证承诺和提供反馈的监控流程
⏹为安全制定地沟通战略和计划
⏹培训和战略(规划)意识
4.6.4.2信息安全策略
信息安全管理活动应该由整体的信息安全策略和支撑的具体的安全策略所关注和驱动。
ITP应该为高层经理IT管理提供全部支持,理想状况下应该提供能够和保证。
策略应该覆盖符合业务需求的安全的所有方面,并包括:
⏹整体的信息安全策略
⏹IT资产的可用和不可用的策略
⏹访问控制策略
⏹密码控制策略
⏹邮件策略
⏹互联网策略
⏹反病毒策略
⏹信息分类策略
⏹文档分类策略
⏹远程访问策略
⏹供应商对IT服务、信息和组件的访问策略
⏹资产处理策略
这些策略对所有客户和用户应该是广泛可用的,并在服务级别协议、合同和协定中有所涉及。
这些策略应该由业务和IT的高级管理层进行授权,并支持符合策略的活动。
所有的安全策略需要得到回顾,必要的时候进行修正,至少一年一次。
4.6.4.3信息安全管理系统
安全框架或安全信息管理系统为支持业务目标的成本有效的信息安全项目的制定提供基础。
主要涉及4P,即人员(People)、流程(Processes)、产品和技术(Productsandtechnology)、业务伙伴和供应商(Partnersandsuppliers)来保证高级别的安全。
ISO27001是一个正式的标准,许多组织可能摒弃它而去寻求其信息安全管理系统的独立的验证(意味着组织内系统地和一致地设计、实施、管理、维护和执行信息安全流程和控制)。
图4.26中所展示的信息安全管理系统基于多方面的建议和指导,包括ISO27001,并且被广泛地使用。
信息安全管理系统框架的五要素如下:
(一)控制
信息安全管理系统中“控制”要素的目标是:
⏹在组织中建立一个管理框架来发起和管理信息安全
⏹建立组织架构来准备、批准和实施信息安全策略
⏹责任分配
⏹建立和控制相关文档
(2)计划
信息安全管理系统中“计划”要素的目标是基于对组织需要的理解来设计和建议恰当的安全措施。
这些来源于业务和服务风险、计划和战略、SLA和OLA、法律的、道德的和社会责任的组织需要被收集起来以便信息安全的使用。
其他需要考虑的因素包括,可用资金数量、组织文化和对待安全的态度等。
信息安全策略定义了组织对待安全时间的态度和立场。
这需要形成组织范围内的文档,不止是IT服务提供者所使用。
维护这文档是信息安全经理的责任。
(三)实施
信息安全管理系统中“实施”要素的目标是保证恰当的步骤、工具和控制措施得到实施来支撑信息安全策略。
措施如下:
⏹资产的经管责任----此时配置管理和配置管理系统是无价的
⏹信息分类----信息和套件库应该根据敏感度和披露后的影响度来进行分类
安全控制措施的成功实施依赖的因素如下:
⏹与业务需要集成的,清晰而协定的策略的确定
⏹合理的恰当的并得到高级管理层支持的安全步骤
⏹安全需求方面有效的营销和教育
⏹改进机制
(4)评估
信息安全管理系统中“评估”要素的目标是:
⏹监督和检查SLA和OLA中的安全策略和安全要求是否得到遵守
⏹对IT系统的技术安全定期审核
⏹如果需要,向外部审核人员提供信息
(5)维护
信息安全管理系统中“维护”要素的目标是:
⏹改进安全协议,例如SLA和OLA中的协议
⏹改进安全控制措施的实施
可以通过使用PDCA循环法(计划--执行--检查--处理)来完成这些目标,这种正式方法在ISO27001中被建议用来建立信息安全管理系统或安全框架。
详见《持续性服务改进》。
安全管理
当实施信息安全管理的时候,应该提供六个基本成果:
⏹战略调整
●安全要求应该由组织要求驱动
●安全解决方案需要符合组织流程
●信息方面的投资应该与组织战略和风险一致
⏹价值交付
●安全实践的标准集合,例如,伴随最佳实践的基本安全要求
●对产生重大影响和业务效益的领域分配合适的优先顺序和有效分布的努力
●制度化的和商品化的解决方案
●覆盖组织、流程和技术的完全的解决方案
●持续改进的文化
⏹风险管理
●达成一致的风险介绍
●对风险显露的理解
●对风险管理优先级的意识
●风险消减
●风险接受/顺从
⏹绩效管理
●定义的、商定的、有意义的度量标准
●测量流程可以帮助识别缺点和对解决问题的进度提供反馈
●独立保证
⏹资源管理
●可得到的和可用的知识
●文档化的安全流程和实践
●成熟的安全架构以便有效地利用基础架构资源
⏹业务流程保证
4.6.5活动、方法和技术
信息安全管理的意图是保证服务和所有服务管理活动相关的安全方面能够得到恰当地管理和控制以符合业务需要和风险。
信息安全管理的主要活动是:
⏹整体信息安全策略和具体策略的制定、回顾和修订
⏹安全策略的沟通、实施和执行
⏹所有信息资产和文档的评估和分类
⏹安全控制措施和风险评估及响应的实施、回顾、修正和改进
⏹所有安全违背和主要安全故障的监控和管理
⏹对安全违背和故障的数量和影响的分析、报告和减少
⏹安全回顾、审核和渗透测试的安排和完成
图4.27展示了这些活动之间的交互。
成熟的信息安全管理流程与方法、工具和技术一起构成了安全战略。
安全经理应该保证技术、产品和服务是恰当的,还需要保证整体策略得到制定和很好地发布。
安全经理还需要为安全架构、认证、权限、管理和恢复负责。
安全战略还要考虑怎么样把最佳安全实践移植到业务的各个领域。
对整体安全战略的培训和意识是至关重要的,因为安全通常在终端用户层面最薄弱。
需要制定方法和流程以使策略和标准能够更加容易地得到跟进和实施。
需要分配资源来跟踪支持安全策略的技术和产品。
例如,隐私仍然是重要的,并且,随着对管理规定的关注,保护隐私的技术成为重要的技术。
4.6.5.1安全控制
信息安全经理必须了解安全并不是服务和系统生命周期中的一个步骤,安全不能够通过技术来解决。
相反,信息安全必须作为所有服务和系统的一个完整部分,是一个不间断的过程,需要使用安全控制措施进行持续地管理,如图4.28所示。
需要设计安全控制措施来支持和执行信息安全策略以及最小化所有识别的风险。
这些控制措施如果在服务设计阶段得到考虑,则会变得更加有效。
这可以保证对所有现存服务的持续保护和新服务的启用与信息安全策略保持一致。
安全措施可以用在某个具体的阶段以阻止和解决安全故障,如图4.28所示。
安全故障并不是由技术威胁单一地引起,统计显示,大量的人为错误(有意地或无意地)或步骤错误通常会对安全、法律或健康等其他领域产生影响。
可以识别一下阶段。
刚开始,威胁具体化了。
威胁可以是中断业务流程或对业务产生消极影响的任何事情。
一旦威胁具体化,我们认为发生了安全故障。
安全故障可能导致对信息或资产的损害,需要得到修复或改正。
需要为某个阶段选择合适的措施,取决于信息的重要性。
⏹预防的:
安全措施用于阻止安全故障的发生。
预防措施的最有名的例子是为获得授权的人分配访问权限。
这种措施相关的更多要求包括访问权限控制(批准、维护和回收权限)、授权(识别何人可以使用何种工具访问何种信息)、身份认证(确认何人在申请访问)和访问控制(保证只有授权的人员可以访问)。
⏹减少的:
可以采取更进一步的措施以最小化可能发生的损害。
有一些减少损害的措施,最熟悉的例子是定期备份和意外计划的制定、测试和维护。
⏹探测的:
如果安全故障发生了,重要的是尽快发现它。
一个熟悉的例子就是监控,与报警流程相关联。
另一个例子是病毒检测软件。
⏹抑制的:
用于抑制安全故障的持续和重复。
例如,多次登陆失败后,暂时冻结账号或网址,或者多次输入错误的个人识别号后会发生吞卡等
⏹矫正的:
使用矫正措施尽可能的修复损害。
例如,恢复备份、返回以前的稳定状态(回滚、取消)。
回退也可以视为矫正措施。
应该维护所有控制措施的文档以正确地反映其操作方式、维护方式和操作方法。
4.6.5.2安全违背和故障的管理
万一发生严重的安全违背或故障,在适当的时候进行评估是必要的,用来决定出了什么错、什么引起的错误以及如何在将来避免这种错误。
当然,这一流程并不限于严重的安全故障。
需要对所有的安全违背和故障进行研究以在整体上充分了解安全措施的效果。
需要安全故障的通报流程来评估安全措施的效果和效率。
可以从日志文件、审计档案当然还有服务台的故障记录获得帮助。
对安全问题的统计分析并结合问题管理,应该导致减少所有安全违背和故障的影响和数量的改进行动。
4.6.6触发、输入、输出和接口
许多事件可以触发信息安全管理活动,包括:
⏹新的或变更的公司治理指导方针
⏹新的或变更的业务安全策略
⏹新的或变更的公司风险管理流程和指导方针
⏹新的或变更的业务需求或服务
⏹新的或变更的协议中的需求,如SLR、SLA、OLA或合同
⏹业务和IT计划和战略的回顾、修订
⏹设计和战略的回顾、修订
⏹服务或组件安全违背、警告、事件、报警,包括阈值事件、异常报告等
⏹定期的活动,比如回顾、修订或报告,包括信息安全管理策略、报告、计划的回顾和修订
⏹对风险变更或业务流程、IT服务(或组件)影响的识别和通知
⏹其他领域,尤其是协助安全问题的服务级别管理的请求
组织内一项信息安全策略的有效果的和有效率的实施在很大程度上依赖于良好的服务管理流程。
确实,一些流程的有效实施是安全控制的先决条件。
信息安全管理与其他流程的关键接口有:
⏹故障和问题管理:
为安全故障和问题提供解决方案和后续的调整改正措施。
故障管理必须有能力识别和处理安全故障。
服务台和服务运营人员必须能够“识别”安全故障。
⏹IT服务可持续性管理(ITSCM):
业务影响和风险的评估、弹性设计的规定、失败和恢复机制等。
当测试或激活可持续计划的时候,安全变为重大的问题。
一项可行的ITSCM计划是ISO27001的强制要求。
⏹服务级别管理(SLM):
与服务和组件的安全违背的调查和解决一起,协助决定安全要求、责任和内涵。
⏹变更管理:
信息安全管理协助评估每个变更对安全和安全控制的影响,同时,信息安全管理还未未授权的变更提供信息。
⏹当调查安全问题的时候,必须考虑法律和人力资源因素。
⏹配置管理提供准确的资产信息以协助安全分类。
准确的配置管理系统为信息安全管理提供非常有用的信息输入。
⏹安全通常被视为可用性管理的要素,机密性、集成性和可用性正在成为可用性管理和信息安全管理的本质。
同时,信息安全管理应该与可用性管理和IT服务可持续性管理一起来指导风险分析和管理实践。
⏹当选择或引进新技术的时候,容量管理必须考虑安全意义。
当采购新技术或软件的时候,安全是重要的考虑因素。
⏹财务管理应该提供足够的资金来满足安全要求。
⏹供应商管理应该协助供应商的共同管理及其对服务和系统的访问,还有有关供应商责任的合同包含的条款和条件。
4.6.6.1输入
信息安全管理需要从许多领域获得输入信息,包括:
⏹业务信息:
组织业务信息、业务计划、财务计划、当前和将来的需求信息
⏹公司治理和业务安全策略及指导方针、安全计划、风险分析与响应方面的信息
⏹IT信息:
IT战略、计划和当前预算的信息
⏹服务信息:
服务组合、服务目录和SLA(和SLR)中的服务细节信息,SLA的监控信息、SLA服务回顾与违背的信息
⏹风险分析流程和报告:
来自信息安全管理、可用性管理和IT服务持续性管理的信息
⏹所有安全事件和违背的细节:
来自IT和服务管理的所有领域,尤其是故障管理和问题管理的信息
⏹变更信息:
来自于变更管理流程,包含变更安排、评估所有变更对安全策略、计划和控制的影响的需要等信息
⏹配置管理系统:
包含业务、服务和技术之间联系的信息
⏹业务伙伴和供应商细节:
供应商管理和可用性管理对服务和系统进行外部访问的信息
4.6.6.2输出
信息安全管理流程的输出可以用于所有领域,输出内容包括:
⏹一个整体的信息安全管理策略和一系列的具体安全策略
⏹安全管理信息系统(SMIS),包含所有信息安全管理相关的信息
⏹修订的安全风险评估流程和报告
⏹一系列的安全控制措施,包含操作细节、维护细节和相关风险
⏹安全审核和审核报告
⏹安全测试安排和计划,包括情境测试、报告等
⏹安全分类和信息资产分类
⏹安全违背和主要故障的回顾和报告
⏹管理业务伙伴和供应商及其对服务和信息的访问的策略、流程和步骤
4.6.7关键性能指标
许多的关键性能指标可以用于评估信息安全管理流程和活动的效果与效率。
这些指标需要从服务、客户和业务的视角来制定,例如:
⏹保护业务免受违反安全的损害:
●报告给服务台的安全违背数量减少的百分比
●安全违背和故障产生的影响降低的百分比
●SLA中符合安全条款的增加的百分比
⏹确定符合业务需要的清晰的和商定的策略:
不符合业务安全策略的信息安全管理流程减少的数量
⏹安全措施是可调整的、恰当的并得到高级管理层的支持:
●接受的安全流程数量的增加
●高级管理层增加的支持和承诺
⏹改进机制:
●对安全流程和控制措施提议改进的数量
●在审核和安全测试期间检测到的安全违背减少的数量
⏹信息安全是所有IT服务和IT服务管理流程必不可少的一部分:
符合安全流程和控制措施的服务和流程增加的数量
⏹在安全需求、IT员工对支持服务的技术的意识方面的营销和教育
●组织中增加的对安全策略及其内容的意识
●技术的服务目录支持的服务完成度比IT组件增加的百分比
●服务台支持的所有服务
4.6.8信息管理
信息安全管理所需的所有信息都应该包含在安全管理信息系统中。
它应该包含所有必要的安全控制措施、风险、违背、流程和报告以支持和维护信息安全策略和信息安全管理系统。
这些信息应该覆盖所有的IT服务和组件,需要与其他的IT信息管理系统尤其是服务组合和配置管理系统进行集成和得到维护。
安全管理信息系统同时安全审核和回顾以及持续性改进活动提供输入信息,还为新系统或服务的设计提供有价值的输入信息。
4.6.9挑战、关键成功因素和风险
信息安全管理在建立具有有效支持流程和控制的恰当的信息安全策略时面临许多挑战。
最大的挑战之一是保证业务、业务安全和高级管理层提供足够的支持。
如果得不到支持,建立一个有效的信息安全管理流程是不可能的。
如果有高级IT管理层的支持但是没有业务支持,IT安全控制和风险评估将会受到严重的限制。
如果不能在业务之中实施安全策略、流程和控制措施,那么这将是没有意义的。
IT服务和资产的主要使用被排除在IT之外,同样,安全威胁和风险的大多数也被排除在IT之外了。
在一些组织中,业务(部门)的看法是安全是IT(部门)的责任,所有业务部门认为IT部门应该为IT安全的所有方面负责并且IT服务得到足够地保护。
然而,没有业务部门的贡献和支持,投资在昂贵安全控制和流程(procedure)上的资金将会是极大浪费的而且绝大多数是无效的。
如果建立了业务安全流程,挑战就变成了需要把信息安全策略与业务安全流程进行集成和保持一致。
信息安全管理必须保证可以从业务安全流程获得关于业务的需要、风险、影响度和优先级的准确的信息,并且信息安全管理策略、信息和计划与这些业务保持一致。
为了达到这种一致,挑战变成了需要使用严格的变更管理和配置管理控制来对业务和IT变更进行管理和控制来保证一致性。
再次强调,这需要业务和高级管理层的支持。
对信息安全管理来说,主要的关键成功因素有:
⏹保护业务免受违反安全的损害
⏹确定符合业务需要的清晰的和商定的策略
⏹安全措施是可调整的、恰当的并得到高级管理层的支持
⏹在安全要求方面进行有效的营销和教育
⏹信息安全是所有IT服务和IT服务管理流程必不可少的一部分
⏹服务的可用性不受安全故障的拖累
⏹客户中安全策略的清晰的所有权和认知
信息系统可以产生许多直接和间接的收益,也能产生直接和间接的风险。
这些风险会在保护系统和服务的需要和保护应用的程度之间产生鸿沟。
鸿沟的产生有内部的和外部的因素,包括技术的广泛使用、业务对IT的过度依赖、系统互联的复杂度、传统组织界限的消失和繁重的规定性要求等。
这意味着将会出现对关键业务运营产生重大影响的新风险,例如:
⏹增加的对可用性和健壮性的要求
⏹增长的对影响隐私和价值的信息系统的误用和滥用
⏹来自黑客、服务拒绝、病毒攻击、勒索、工业间谍、组织信息或隐私数据的泄露等的外部危险
新技术为显著地提高业务绩效和信息安全提供潜能,可以对贸易伙伴交互、更近的客户关系、提高的竞争优势和良好的声誉等的贡献为组织增加实际的价值。
它还可以提供新的或更简便的方式来处理电子交易和产生信任。
在竞争性的全球经济背景下,如果一个组织要做好业务,它可能会要求体现其安全态势的细节和过去绩效的结果以保证信息资源的安全。
信息安全管理相关的其他领域的风险包括:
⏹缺少业务(部门)对信息安全管理流程的承诺
⏹缺少业务(部门)的承诺和缺少对于将来计划和战略的恰当的信息
⏹缺少高级管理层、资源、预算对信息安全管理的保证
⏹流程过多关注技术问题,而对IT服务、业务需要和优先级关注不足
⏹没有结合可用性管理和IT服务可持续性管理,孤立地执行风险评估和管理
⏹信息安全管理策略、计划、风险和信息已经过时,丧失了与相关的业务和业务安全信息的一致性
备注:
anintegralpart:
必不可少的一部分
Need:
需要
Demand:
需求
Requirement:
要求(要求条件)
Area:
领域、方面
Field:
领域
Breach:
违背(做名词用)
Operation:
运营,操作
升级会员 