首页 >> 网友热议 >>ITIL >> ITIL4 信息安全管理实践【中文】
详细内容

ITIL4 信息安全管理实践【中文】

需要下载最新翻译版本请关注微信公众号:ITILXF,并回复“ITIL 4信息安全管理”即可。

2.1 目的和描述               ITIL认证

 信息安全成为一项越来越重要又困难的任务。信息安全管理实践在数字化转型的背景下越来越重要。这是由于跨行业数字化服务的增长,在这种情况下安全信息泄露可能会对组织的业务产生重大影响。云解决方案的更广泛使用,以及合作伙伴和服务消费者的数字化服务更广泛集成产生了新的关键依赖关系,而控制信息如何被收集,存储,共享和使用的能力却有限。合作伙伴和服务使用者的处境相同,通常会在数据保护和信息安全解决方案上进行投入。但是,组织之间完整性和一致性的缺失产生了新的漏洞,需要了解和处理。信息安全管理实践与其他实践(包括:可用性管理,容量和性能管理,信息安全管理,风险管理,服务设计,关系管理,架构管理,供应商管理和其他规范)结合在一起,可确保组织的产品和服务满足所有相关方要求的信息安全级别。


许多组织认为信息安全管理实践是广义安全管理的特定分支。在服务经济中,每个组织的业务都是由服务驱动和数字化赋能的。这会带来策略更紧密的整合,因为,安全管理更关注数字化服务和信息的安全。在数字化转型消除了IT管理和业务管理边界的情形下,这种整合变为可能并发挥作用。(有关此主题的更多信息,请参见ITIL®4:高速IT)。

2.2 术语和概念

2.2.1 安全特性

信息安全管理实践有助于确保开展业务所需信息的保密性,完整性和可用性,同时需要一些活动和控制来保持这些特性。此外,信息安全管理实践通常涉及身份验证和不可抵赖。

定义:保密性

防止信息泄露给未授权实体或对未授权实体可用。

保密性是许多人在考虑信息安全时想到的第一件事。个人和组织希望确保秘密保持隐密,并且其个人信息或业务信息不被滥用。

定义:可用性

确保信息可以在需要时被使用的特性。

如果该信息在需要的时间和地点不可用,则组织无法开展其业务。

可用性管理实践考虑了服务可用性的许多方面。然而,信息安全管理实践更关注信息的可用性。

定义:完整性

确保信息准确无误,并且只能由被授权人员和活动进行修改。

不正确的信息可能比根本没有任何信息更糟糕。例如,如果一家银行错误地认为客户的帐户中有大量资金并允许他们提取该笔款项,则该银行可能遭受重大损失。

身份验证用于建立人与物的身份

定义:身份验证

验证看起来或声称是真实的特性或属性确实是真实的。

用户名和密码通常用于对人员进行身份验证,尽管通常优先推荐使用生物特征识别和安全令牌这些更严格的身份验证方式。

  • 网站可以使用证书和加密来提供身份验证

定义:不可抵赖

提供不可否认的证据,证明非法事态发生,或者非法行为正在进行,并且此事态或行为由特定实体执行。

在IT系统和服务存在之前,就已经在商业交易中使用了不可抵赖技术。传统上使用签名,如果需要更高级别的证明,则可能需要对该签名进行公证。信息安全依赖不可抵赖性,因此交易可以进行。这对于保护信息完整性是必不可少的。

2.2.2 资产,威胁,威胁制造者和漏洞

定义:资产

资产是对组织具有价值的任何事物。

资产可能包资产可能包括硬件,软件,网络,信息,人员,业务流程,服务,组织,建筑物或其他对组织有价值的东西。信息安全管理实践帮助组织保护资产,以便其开展业务。

2.2.3 风险管理术语

信息安全管理实践使用了许多风险管理的术语和概念。这些术语在风险管理实践中也进行了描述。

风险管理术语和定义见表2.1。

表2.1 风险管理术语

1639730208796-535.png

2.3 范围

如第2.1节所述,信息安全管理实践的目的是“保护组织开展业务所需要的信息”。该信息可以在信息系统上存储和处理,但是同样可以将其记录在纸上,或通过语言传递。本实践与此类信息的保密性,完整性和可用性有关,而不论在何处以及如何存储和处理这些信息。尽管重点是信息,该实践同时也与服务管理全部四个维度有关。

每个组织必须定义其信息安全管理实践的范围,通常包括:

  • IT系统与服务

  • IT基础设施和平台

  • 软件和应用程序

  • 网络基础结构,包括:IT网络,语音系统,无线系统等

  • 终端设备,例如电话,笔记本电脑和平板电脑,包括:所有硬件,固件,软件和应用程序

  • 物联网设备,通常具有网络连接和处理能力,并且可能也有与物理世界进行交互的传感器和驱动器

  • 物理基础设施,例如:建筑物,数据中心或制造设备

  • 业务流程

  • 人员,包括了解他们所产生的风险以及如何管理这些风险

  • 作为服务提供、管理和支持的一部分的合作伙伴和供应商

  • 数据和信息(无论是存储,处理还是传达的信息及其格式)。

在该范围中,信息安全管理实践应确保:

  • 需要保护的资产应被识别

  • 可能影响这些资产的风险应被识别和分析

  • 采取适当措施管理这些风险

  • 监控和持续改进到位,以确保信息安全风险持续地被适当管理。

部分信息安全管理实践的重要内容在其他实践指南中进行了描述。表2.2 中列出了这些内容,作为本实践的参考供获取。

表2.2 与其他实践指南中描述的信息安全管理实践相关的活动


活动

实践

与客户,赞助商,监管机构和管理主体的战略沟通

关系管理

组织变革管理

与用户的运营沟通

服务台

建立和维护与供应商的合同

供应商管理

设计和实施产品和服务

服务设计

软件开发和管理

基础设施和平台管理

服务验证和测试

部署管理

发布管理

监控,发现潜在的安全事件

监控和事态管理



2.4 实践成功要素

实践成功要素

需要为一项实践提供综合功能组件,以满足实践的目标。

实践成功要素(PSF)不仅仅是一项任务或活动,因为它包括服务管理全部四个维度的组件。活动的性质和实践中PSF的资源可能有所不同,但它们共同保障实践的有效性。

信息安全管理实践包括以下PSF:

  • 开发和管理安全信息策略和计划

  • 缓解信息安全的风险

  • 执行和测试信息安全管理计划

  • 将信息安全嵌入到服务价值系统的所有方面。


2.4.1 制定和管理安全信息策略和计划

组织制定并维护安全信息策略和计划,以维持所需的安全信息水平。这些计划适用于组织内的每个人,并且有可能涉及服务的使用者,以及供应商和合作伙伴。因此,应该在整个组织内,保持沟通并理解适用的策略和计划。

组织应该了解内部和外部信息安全需求,以制定和管理其策略和计划。应对这些需求如何影响组织的资源、产品、服务和实践,以及是否使用了正确的信息安全控制进行评估。这些活动需要持续执行;由于信息安全要求和组织环境的性质不断变化。应在基于时间间隔和基于事态的基础上,持续审查需求的变化以及策略和计划的充分性。应基于这些审查来启动改进。

信息安全管理政策和计划可能涉及以下方面:

  • 整体信息安全管理实践方法

  • 使用和滥用IT资产

  • 访问控制

  • 密码控制

  • 沟通和社交媒体

  • 恶意软件防护

  • 信息分类

  • 远程访问

  • 供应商访问组织的信息和资源

  • 知识产权

  • 记录管理和保留

  • 个人数据保护

  • 其他信息安全相关因素。

为了确保信息安全的有效管理,组织可以建立遵循相关标准(例如ISO / IEC 270012)的正式信息安全管理体系。

2.4.2 缓解信息安全的风险

信息安全管理实践包括信息安全风险的识别,分析和管理。

信息安全风险的识别包括识别服务价值系统的范围内的所有资产,然后识别这些资产的风险。威胁和脆弱性评估,架构和设计审查以及许多其他技术都可以支持风险识别。

信息安全风险的分析包括确定每个信息安全风险的可能性以及该风险的潜在影响。提供的数据可以评估成本、收益以及潜在控制的ROI。

信息安全管理包括定义和管理控制,这些控制管理着可能影响信息安全的多种多样的风险。这是与风险管理和其他针对风险的实践(例如容量和性能管理,可用性管理和服务连续性管理实践)一起执行的。商定的信息安全控制通常作为其他实践的一部分来实施,例如服务设计,软件开发和管理,基础设施和平台管理,架构管理,服务请求管理,持续改进,劳动力和人才管理,具体取决于控制的性质。

既定的策略和计划应驱动行为并实施控制以保持以下各项之间的平衡:

  • 预防措施–确保不会发生安全事件

  • 检测–快速可靠地检测无法避免的事件

  • 纠正–在发现事件后从事件中恢复。

如果风险分析表明服务上的影响更早且更大,则应采取更多的预防措施。如果最初的影响较小,并且很久后才会进一步发展,则采用更经济有效方法投入到检测和纠正对策。

控制可能包括服务管理四维模型任何内容,例如:

  • 组织和人员控制,例如培训,策略或职责分离

  • 价值流和流程控制,例如备份,补丁管理或同行评审

  • 信息和技术控制,例如防火墙,加密或防病毒软件

  • 合作伙伴和供应商控制,例如合同要求,流程审核或第三方认证。

选择信息安全对策时,应评估每个选择的有效性和效率。信息安全的对策有效性和效率必须得到持续控制和验证。

2.4.3 演练和测试信息安全管理计划

经验表明,未经测试的计划根本无法正常工作。因此,测试是整个信息安全管理实践的关键部分。这是确保计划和控制在实践中工作的唯一方法。

信息安全计划和控制应当被测试,以改进它的可读性和可用性。常规测试将发现缺陷和失效。这些发现可用于更新信息安全的计划和控制。

应该在计划的时间间隔内,以及策略、计划和控制发生重大变化时进行演练。信息安全事件的影响越大,演练应该越频繁。

2.4.4 将信息安全嵌入到服务价值系统的所有方面

信息安全管理实践应当被嵌入到服务价值系统的每一个部分中。

2.4.4.1 指导原则

使用ITIL 指导原则时,考虑使用本实践是非常重要的。例如:

  • 聚焦价值:价值可以通过信息质量中的改进来实现

  • 协作和提升可视化:高层还会考虑信息的保密性。


2.4.4.2 治理

治理对于有效的信息安全管理实践至关重要。甚至最小的组织都应当针对以下内容建立本实践的治理:

  • 确立组织对本实践的态度

  • 定义本实践的高层需求

  • 将高层需求传递给管理层

  • 监视组织以确保满足这些需求。


2.4.4.3 服务价值链和价值流

每个价值流应包括适当的信息安全管理实践活动。通常,它们将被嵌入到价值流的多个步骤以及服务价值链的多个点中。例如,考虑一个价值流,它创建了一个新的或经过重大变更的服务:

  • 确认并记录服务需求(契动)

  • 此步骤将包括记录对信息安全的服务需求

  • 决定是否对新的服务进行投入(计划)

  • 在此步骤中,考虑可能对组织造成风险的信息安全事项

  • 设计新服务满足客户需求(设计和转换)

  • 此步骤将包括设计和架构,以满足安全需求

  • 构建,配置或购买服务组件(获取或构建)

  • 每个组件都需要被构建,配置或指定以满足安全需求

  • 部署服务组件以准备启动(设计和转换)

  • 部署应该是安全的,以确保组件没有被篡改

  • 向客户和用户发布新的服务(交付和支持)

  • 用户和IT人员需要进行培训,包括安全培训,作为发布的一部分。


2.4.4.4 实践

每个实践都需求包含信息安全管理的很多方面。这可能与服务管理四维模型某项有关。

通过实践定义的流程需要包含此实践的活动。例如,部署流程需要包括检查以确保软件组件不被篡改。

实践定义的角色需要包括此实践的技能。例如,软件开发人员可能需要具备满足已定义的安全标准的软件设计能力。

实践使用的信息和技术必须满足安全需求,并且通常需要嵌入安全措施。例如,事件管理实践中用于信息交换的工具可能需要保密,因此工作人员只能看到其所在组织的事件,而不能看到其他组织的事件。

支持一项实践的合作伙伴和供应商必须满足组织的信息安全需求。例如,提供服务连续性安排的合作伙伴,需要确保其员工不能使用作为连续性测试的一部分而提供给他们的数据。

2.4.4.5 持续改进

与其他所有实践一样,信息安全管理实践也需要持续改进。在IT服务面对的威胁和依赖程度逐步增长的情形下,不断监视并改进信息安全至关重要。

所有改进活动,即使是那些没有特定信息安全管理实践内容,也应评估其对信息安全造成的潜在影响。该评估作为惯例应成为任何改进活动的一部分。

2.5 关键指标

应在每个实践所贡献的价值流的上下文中,评估ITIL实践的效益和绩效。与任何工具的绩效一样,只能在其所应用的上下文中评估该实践的绩效。然而,工具在质量方面差异很大。这些差异定义了工具根据其用途被使用时的潜力或性能。有关指标,关键性能或绩效指标(KPI)以及其他可以帮助实现此目标的技术的进一步指南,请参见度量和报告实践指南。

信息安全管理实践的关键指标已列入到其PSF。它们可以用作价值流上下文中的KPI,以评估实践对这些价值流的效果和效率的贡献。表2.3 中给出了一些示例。

表2.3 实践成功要素的关键指标示例

实践成功要素

关键指标

制定和管理安全信息策略和计划

带有明确记录的信息安全要求的产品和服务的百分比

带有书面信息安全计划的产品和服务的百分比

定期更新信息安全计划的规则

缓解信息安全的风险

已执行分析和评价的信息安全风险的数量和百分比

通过实施控制将残留的风险降低到可接受的水平的信息安全风险的数量和百分比存在风险

演练和测试信息安全管理计划

在过去12个月中经过测试的信息安全管理计划的数量和百分比

测试信息安全管理计划后确定的改进活动数

在服务价值系统的所有方面都嵌入信息安全

治理主体在过去三个月中至少讨论过一次信息安全管理

包含信息安全特定步骤和活动的价值流的数量和百分比

在信息安全的流程和角色定义中包括特定步骤和活动的实践次数和百分比

包含安全评估的改进活动的数量和百分比

将指标正确汇总到复杂的指标中,将使数据更易于用于正在进行的价值流的管理,以及用于信息安全管理实践的定期评估和持续改进。没有单一的最佳解决方案。指标基于整体服务战略和组织的优先级,以及实践所贡献的价值流目标。

......

点击阅读全文:http://itil4hub.cn/bin/view/ITIL%204%20%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E5%AE%9E%E8%B7%B5/


CALL US
4008060230

EMAIL
karen@itilxf.com

Weixin
18027379316

ADDRESS

深圳罗湖区宝安南路中航凯特大厦

深圳市艾拓先锋企业管理咨询有限公司   Copyright 2017   粤ICP备17056641号

技术支持: 聚成网络科技 | 管理登录
seo seo