yITIL服务设计之信息安全管理_精品文档.doc
《yITIL服务设计之信息安全管理_精品文档.doc》由会员分享,可在线阅读,更多相关《yITIL服务设计之信息安全管理_精品文档.doc(12页珍藏版)》请在冰豆网上搜索。
4.6信息安全管理
4.6.1意图、目的和目标
“信息安全管理的目标是使IT安全与业务安全保持一致以保证在所有的服务和服务管理活动中有效地管理信息安全。
”
需要在公司治理框架内考虑信息安全管理。
公司治理是由提供战略方向的董事会和高级管理层执行的责任和实践的集合,为的是保证达到目标、确认风险得到恰当地管理和核查企业资源得到有效利用。
信息安全是一项在公司治理框架内的管理活动,为安全活动提供战略方向和保证达到目标。
它进一步保证信息安全风险得到恰当地管理和企业信息资源得到合理地利用。
信息安全管理的目的是关注IT安全的所有方面和管理所有的IT安全活动。
名词“信息”通常是个泛称,包括数据存储、数据库和元数据。
信息安全的目标是依托信息、系统和传递信息的通信包含其利益,避免不可用、泄密和不完整所导致的损害。
对于绝大多数组织,当出现如下情况时,可以达到安全目标:
n当需要的时候,信息是可用的并且能用的,提供信息的系统能够恰当地抵抗攻击、阻止失败或从失败中恢复(可用性)
n信息只对有权限的人是公开的(机密性)
n信息是完全的、准确的并且免受非法修改(完整性)
n业务处理,和企业之间或合作伙伴之间的信息交换是可信任的(可靠性和不可抵赖性)
需要在业务背景下考虑机密性、完整性和可用性的优先级。
定义保护什么以及保护级别的主要指导应该来自于业务。
为了达到效果,安全应该描述端到端的所有业务流程和覆盖物理和技术的所有方面。
只有在业务背景下需求和风险能够定义安全。
4.6.2范围
信息安全管理应该是所有IT问题的焦点,必须保证覆盖所有IT系统和服务的可用和不可用情况的信息安全策略得到制定、维护和执行。
信息安全管理需要了解整个的IT和业务安全环境,包括:
n业务安全策略和计划
n当前业务运营及其安全要求
n将来业务计划和要求
n法律要求
n服务级别协议(SLA)中所包含的安全义务和责任
n业务和IT风险及其管理
了解所有这些能够使信息安全管理保证当前和将来的安全方面和业务风险得到有效地管理。
信息安全管理流程应该包括:
n信息安全策略的制定、维护、分发和执行
n对业务当前和将来安全要求及现存业务安全策略和计划的理解
n支持信息安全策略和管理服务、信息、系统相关风险的安全控制的实施
n所有安全控制连同其运维、维护和相关风险的文档
n结合供应商管理,对系统、服务的供应商和合同的管理
n所有系统和服务相关的安全违背和故障的管理
n安全控制、安全风险管理和减少的主动改进
n在所有其他ITSM流程内安全各个方面的集成
为了达到有效地信息安全管理,必须建立和维护一个信息安全管理系统来指导全面的信息安全项目的开发和管理以支持业务目标。
4.6.3业务价值
信息安全管理保证信息安全策略的维护和执行以符合业务安全策略的需要和公司治理的要求。
信息安全管理激发了组织中对所有IT服务和资产的安全需要的意识,保证策略对组织需要是恰当的。
信息安全管理管理所有IT和服务管理活动内IT和信息安全的各个方面。
信息安全管理通过执行在IT所有领域恰当的安全控制和管理符合业务和公司风险管理流程的IT风险对业务流程提供保证。
4.6.4策略、原则和基本概念
审慎的业务实践需要IT流程符合业务流程和目标。
对信息安全来说,这是至关重要的,其必须紧密地符合于业务安全和业务需要。
另外,IT组织内的所有流程都应该包含安全考虑。
高级管理层需要为组织信息负最终责任并对影响其保护内容的问题做出响应。
另外,期望董事会能把信息安全作为公司治理的一个完整组成部分。
因此,所有的IT服务提供商必须保证他们有完全的信息安全管理策略和必要的安全控制来监控和执行这些策略。
4.6.4.1安全框架
信息安全管理流程和框架通常由以下部分组成:
n信息安全策略和具体安全策略描述战略、控制和规定的各个方面
n包含标准、管理流程和指导以支持信息安全策略的信息安全管理系统
n与业务目标、战略和计划紧密相连的全面的安全战略
n有效的安全组织架构
n支持策略的安全控制的集合
n安全风险的管理
n保证承诺和提供反馈的监控流程
n为安全制定地沟通战略和计划
n培训和战略(规划)意识
4.6.4.2信息安全策略
信息安全管理活动应该由整体的信息安全策略和支撑的具体的安全策略所关注和驱动。
ITP应该为高层经理IT管理提供全部支持,理想状况下应该提供能够和保证。
策略应该覆盖符合业务需求的安全的所有方面,并包括:
n整体的信息安全策略
nIT资产的可用和不可用的策略
n访问控制策略
n密码控制策略
n邮件策略
n互联网策略
n反病毒策略
n信息分类策略
n文档分类策略
n远程访问策略
n供应商对IT服务、信息和组件的访问策略
n资产处理策略
这些策略对所有客户和用户应该是广泛可用的,并在服务级别协议、合同和协定中有所涉及。
这些策略应该由业务和IT的高级管理层进行授权,并支持符合策略的活动。
所有的安全策略需要得到回顾,必要的时候进行修正,至少一年一次。
4.6.4.3信息安全管理系统
安全框架或安全信息管理系统为支持业务目标的成本有效的信息安全项目的制定提供基础。
主要涉及4P,即人员(People)、流程(Processes)、产品和技术(Productsandtechnology)、业务伙伴和供应商(Partnersandsuppliers)来保证高级别的安全。
ISO27001是一个正式的标准,许多组织可能摒弃它而去寻求其信息安全管理系统的独立的验证(意味着组织内系统地和一致地设计、实施、管理、维护和执行信息安全流程和控制)。
图4.26中所展示的信息安全管理系统基于多方面的建议和指导,包括ISO27001,并且被广泛地使用。
信息安全管理系统框架的五要素如下:
(一)控制
信息安全管理系统中“控制”要素的目标是:
n在组织中建立一个管理框架来发起和管理信息安全
n建立组织架构来准备、批准和实施信息安全策略
n责任分配
n建立和控制相关文档
(二)计划
信息安全管理系统中“计划”要素的目标是基于对组织需要的理解来设计和建议恰当的安全措施。
这些来源于业务和服务风险、计划和战略、SLA和OLA、法律的、道德的和社会责任的组织需要被收集起来以便信息安全的使用。
其他需要考虑的因素包括,可用资金数量、组织文化和对待安全的态度等。
信息安全策略定义了组织对待安全时间的态度和立场。
这需要形成组织范围内的文档,不止是IT服务提供者所使用。
维护这文档是信息安全经理的责任。
(三)实施
信息安全管理系统中“实施”要素的目标是保证恰当的步骤、工具和控制措施得到实施来支撑信息安全策略。
措施如下:
n资产的经管责任----此时配置管理和配置管理系统是无价的
n信息分类----信息和套件库应该根据敏感度和披露后的影响度来进行分类
安全控制措施的成功实施依赖的因素如下:
n与业务需要集成的,清晰而协定的策略的确定
n合理的恰当的并得到高级管理层支持的安全步骤
n安全需求方面有效的营销和教育
n改进机制
(四)评估
信息安全管理系统中“评估”要素的目标是:
n监督和检查SLA和OLA中的安全策略和安全要求是否得到遵守
n对IT系统的技术安全定期审核
n如果需要,向外部审核人员提供信息
(五)维护
信息安全管理系统中“维护”要素的目标是:
n改进安全协议,例如SLA和OLA中的协议
n改进安全控制措施的实施
可以通过使用PDCA循环法(计划--执行--检查--处理)来完成这些目标,这种正式方法在ISO27001中被建议用来建立信息安全管理系统或安全框架。
详见《持续性服务改进》。
安全管理
当实施信息安全管理的时候,应该提供六个基本成果:
n战略调整
l安全要求应该由组织要求驱动
l安全解决方案需要符合组织流程
l信息方面的投资应该与组织战略和风险一致
n价值交付
l安全实践的标准集合,例如,伴随最佳实践的基本安全要求
l对产生重大影响和业务效益的领域分配合适的优先顺序和有效分布的努力
l制度化的和商品化的解决方案
l覆盖组织、流程和技术的完全的解决方案
l持续改进的文化
n风险管理
l达成一致的风险介绍
l对风险显露的理解
l对风险管理优先级的意识
l风险消减
l风险接受/顺从
n绩效管理
l定义的、商定的、有意义的度量标准
l测量流程可以帮助识别缺点和对解决问题的进度提供反馈
l独立保证
n资源管理
l可得到的和可用的知识
l文档化的安全流程和实践
l成熟的安全架构以便有效地利用基础架构资源
n业务流程保证
4.6.5活动、方法和技术
信息安全管理的意图是保证服务和所有服务管理活动相关的安全方面能够得到恰当地管理和控制以符合业务需要和风险。
信息安全管理的主要活动是:
n整体信息安全策略和具体策略的制定、回顾和修订
n安全策略的沟通、实施和执行
n所有信息资产和文档的评估和分类
n安全控制措施和风险评估及响应的实施、回顾、修正和改进
n所有安全违背和主要安全故障的监控和管理
n对安全违背和故障的数量和影响的分析、报告和减少
n安全回顾、审核和渗透测试的安排和完成
图4.27展示了这些活动之间的交互。
成熟的信息安全管理流程与方法、工具和技术一起构成了安全战略。
安全经理应该保证技术、产品和服务是恰当的,还需要保证整体策略得到制定和很好地发布。
安全经理还需要为安全架构、认证、权限、管理和恢复负责。
安全战略还要考虑怎么样把最佳安全实践移植到业务的各个领域。
对整体安全战略的培训和意识是至关重要的,因为安全通常在终端用户层面最薄弱。
需要制定方法和流程以使策略和标准能够更加容易地得到跟进和实施。
需要分配资源来跟踪支持安全策略的技术和产品。
例如,隐私仍然是重要的,并且,随着对管理规定的关注,保护隐私的技术成为重要的技术。
4.6.5.1安全控制
信息安全经理必须了解安全并不是服务和系统生命周期中的一个步骤,安全不能够通过技术来解决。
相反,信息安全必须作为所有服务和系统的一个完整部分,是一个不间断的过程,需要使用安全控制措施进行持续地管理,如图4.28所示。
需要设计安全控制措施来支持和执行信息安全策略以及最小化所有识别的风险。
这些控制措施如果在服务设计阶段得到考虑,则会变得更加有效。
这可以保证对所有现存服务的持续保护和新服务的启用与信息安全策略保持一致。
安全措施可以用在某个具体的阶段以阻止和解决安全故障,如图4.28所示。
安全故障并不是由技术威胁单一地引起,统计显示,大量的人为错误(有意地或无意地)或步骤错误通常会对安全、法律或健康等其他领域产生影响。
可以识别一下阶段。
刚开始,威胁具体化了。
威胁可以是中断业务流程或对业务产生消极影响的任何事情。
一旦威胁具体化,我们认为发生了安全故障。
安全故障可能导致对信息或资产的损害,需要得到修复或改正。
需要为某个阶段选择合适的措施,取决于信息的重要性。
n预防的:
安全措施用于阻止安全故障的发生。
预防措施的最有名的例子是为获得授权的人分配访问权限。
这种措施相关的更多要求包括访问权限控制(批准、维护和回收权限)、授权(识别何人可以使用何种工具访问何种信息)、身份认证(确认何人在申请访问)和访问控制(保证只有授权的人员可以访问)。
n减少的:
可以采取更进一步的措施以最小化可能发生的损害。
有一些减少损害的措施,最熟悉的例子是定期备份和意外计划的制定、测试和维护。
n探测的:
如果安全故障发生了,重要的是尽快发现它。
一个熟悉的例子就是监控,与报警流程相关联。
另一个例子是病毒检测软件。
n抑制的