《yITIL服务设计之信息安全管理.docx》由会员分享,可在线阅读,更多相关《yITIL服务设计之信息安全管理.docx(11页珍藏版)》请在第一文库网上搜索。
1、4.6信息安全管理4.6.1 意图、目的和目标“信息安全管理的目标是使IT安全与业务安全保持一致以保证在所有的服务和服务管理活动中有效地管理信息安全。”需要在公司治理框架内考虑信息安全管理。公司治理是由提供战略方向的董事会和高级管理层执行的责任和实践的集合,为的是保证达到目标、确认风险得到恰当地管理和核查企业资源得到有效利用。信息安全是一项在公司治理框架内的管理活动,为安全活动提供战略方向和保证达到目标。它进一步保证信息安全风险得到恰当地管理和企业信息资源得到合理地利用。信息安全管理的目的是关注IT安全的所有方面和管理所有的IT安全活动。名词“信息”通常是个泛称,包括数据存储、数据库和元数据。
2、信息安全的目标是依托信息、系统和传递信息的通信包含其利益,避免不可用、泄密和不完整所导致的损害O对于绝大多数组织,当出现如下情况时,可以达到安全目标: 当需要的时候,信息是可用的并且能用的,提供信息的系统能够恰当地抵抗攻击、阻止失败或从失败中恢复(可用性) 信息只对有权限的人是公开的(机密性) 信息是完全的、准确的并且免受非法修改(完整性) 业务处理,和企业之间或合作伙伴之间的信息交换是可信任的(可靠性和不可抵赖性)需要在业务背景下考虑机密性、完整性和可用性的优先级。定义保护什么以及保护级别的主要指导应该来自于业务。为了达到效果,安全应该描述端到端的所有业务流程和覆盖物理和技术的所有方面。只有
3、在业务背景下需求和风险能够定义安全。4.6.2 范围信息安全管理应该是所有IT问题的焦点,必须保证覆盖所有IT系统和服务的可用和不可用情况的信息安全策略得到制定、维护和执行。信息安全管理需要了解整个的IT和业务安全环境,包括: 业务安全策略和计划 当前业务运营及其安全要求 将来业务计划和要求 法律要求 服务级别协议(S1A)中所包含的安全义务和责任 业务和IT风险及其管理了解所有这些能够使信息安全管理保证当前和将来的安全方面和业务风险得到有效地管理。信息安全管理流程应该包括: 信息安全策略的制定、维护、分发和执行 对业务当前和将来安全要求及现存业务安全策略和计划的理解 支持信息安全策略和管理服
4、务、信息、系统相关风险的安全控制的实施 所有安全控制连同其运维、维护和相关风险的文档 结合供应商管理,对系统、服务的供应商和合同的管理 所有系统和服务相关的安全违背和故隙的管理 安全控制、安全风险管理和减少的主动改进 在所有其他ITSM流程内安全各个方面的集成为了达到有效地信息安全管理,必须建立和维护一个信息安全管理系统来指导全面的信息安全项目的开发和管理以支持业务目标。4.6.3 业务价值信息安全管理保证信息安全策略的维护和执行以符合业务安全策略的需要和公司治理的要求。信息安全管理激发了组织中对所有IT服务和资产的安全需要的意识,保证策略对组织需要是恰当的。信息安全管理管理所有IT和服务管理
5、活动内IT和信息安全的各个方面。信息安全管理通过执行在IT所有领域恰当的安全控制和管理符合业务和公司风险管理流程的IT风险对业务流程提供保证。4.6.4 策略、原则和基本概念审慎的业务实践需要IT流程符合业务流程和目标。对信息安全来说,这是至关重要的,其必须紧密地符合于业务安全和业务需要。另外,IT组织内的所有流程都应该包含安全考虑高级管理层需要为组织信息负最终责任并对影响其保护内容的问题做出响应。另外,期望董事会能把信息安全作为公司治理的一个完整组成部分。因此,所有的IT服务提供商必须保证他们有完全的信息安全管理策略和必要的安全控制来监控和执行这些策略。4.6.4.1 安全框架信息安全管理流
6、程和框架通常由以下部分组成: 信息安全策略和具体安全策略描述战略、控制和规定的各个方面 包含标准、管理流程和指导以支持信息安全策略的信息安全管理系统 与业务目标、战略和计划紧密相连的全面的安全战略 有效的安全组织架构 支持策略的安全控制的集合 安全风险的管理 保证承诺和提供反馈的监控流程 为安全制定地沟通战略和计划 培训和战略(规划)意识4.6.4.2 信息安全策略信息安全管理活动应该由整体的信息安全策略和支撑的具体的安全策略所关注和驱动。ITP应该为高层经理IT管理提供全部支持,理想状况下应该提供能够和保证。策略应该覆盖符合业务需求的安全的所有方面,并包括: 整体的信息安全策略 IT资产的可
7、用和不可用的策略 访问控制策略 密码控制策略 邮件策略 互联网策略 反病毒策略 信息分类策略 文档分类策略 远程访问策略 供应商对IT服务、信息和组件的访问策略 资产处理策略这些策略对所有客户和用户应该是广泛可用的,并在服务级别协议、合同和协定中有所涉及。这些策略应该由业务和IT的高级管理层进行授权,并支持符合策略的活动。所有的安全策略需要得到回顾,必要的时候进行修正,至少一年一次。4.6.43信息安全管理系统安全框架或安全信息管理系统为支持业务目标的成本有效的信息安全项目的制定提供基础。主要涉及4P,即人员(PeOP1e)、流程(ProCeSSeS)、产品和技术(PrOdUC1Sandtec
8、hno1ogy)业务伙伴和供应商(Par1nerSandSUPP1ierS)来保证高级别的安全。Customers-Requirements-BusinessNeedsAOC3tCSIbiiitreSEVA1UATEInterna1auditsExterna1auditsSe1fassessmentsSecurityincidentsMAINTAIN1earnImproveP1anImp1ementManagementataccessrightsSecurityincidentproceduresP1ANService1eve1AgrUnderpinningcontractsOperation
9、a11eve1AgreementsPo1icyStar.-ite4y”,am卜Figure4.26FrameworkformanagingITsecurityIMP1EMENTCreateawarenessCIassifkMionandregistrationPersonne1securityPhysica1security,abdications,computersISO27001是一个正式的标准,许多组织可能摒弃它而去寻求其信息安全管理系统的独立的验证(意味着组织内系统地和一致地设计、实施、管理、维护和执行信息安全流程和控制)。图4.26中所展示的信息安全管理系统基于多方面的建议和指导,包
10、括IS027001,并且被广泛地使用。信息安全管理系统框架的五要素如下:(一)控制信息安全管理系统中“控制”要素的目标是: 在组织中建立一个管理框架来发起和管理信息安全 建立组织架构来准备、批准和实施信息安全策略 责任分配 建立和控制相关文档(二)计划信息安全管理系统中“计划”要素的目标是基于对组织需要的理解来设计和建议恰当的安全措施。这些来源于业务和服务风险、计划和战略、S1A和01A、法律的、道德的和社会责任的组织需要被收集起来以便信息安全的使用。其他需要考虑的因素包括,可用资金数量、组织文化和对待安全的态度等。信息安全策略定义了组织对待安全时间的态度和立场。这需要形成组织范围内的文档,不
11、止是IT服务提供者所使用。维护这文档是信息安全经理的责任。(三)实施信息安全管理系统中“实施”要素的目标是保证恰当的步骤、工具和控制措施得到实施来支撑信息安全策略。措施如下: 资产的经管责任-此时配置管理和配置管理系统是无价的 信息分类-信息和套件库应该根据敏感度和披露后的影响度来进行分类安全控制措施的成功实施依赖的因素如下: 与业务需要集成的,清晰而协定的策略的确定 合理的恰当的并得到高级管理层支持的安全步骤 安全需求方面有效的营销和教育 改进机制(四)评估信息安全管理系统中“评估”要素的目标是: 监督和检查S1A和O1A中的安全策略和安全要求是否得到遵守 对IT系统的技术安全定期审核 如果
12、需要,向外部审核人员提供信息(五)维护信息安全管理系统中“维护”要素的目标是: 改进安全协议,例如S1A和O1A中的协议 改进安全控制措施的实施可以通过使用PDCA循环法(计划-执行-检查-处理)来完成这些目标,这种正式方法在ISO27001中被建议用来建立信息安全管理系统或安全框架。详见持续性服务改进。安全管理当实施信息安全管理的时候,应该提供六个基本成果: 战略调整 安全要求应该由组织要求驱动 安全解决方案需要符合组织流程 信息方面的投资应该与组织战略和风险一致价值交付 安全实践的标准集合,例如,伴随最佳实践的基本安全要求 对产生重大影响和业务效益的领域分配合适的优先顺序和有效分布的努力
13、制度化的和商品化的解决方案 覆盖组织、流程和技术的完全的解决方案 持续改进的文化风险管理 达成一致的风险介绍 对风险显露的理解 对风险管理优先级的意识 风险消减 风险接受/顺从绩效管理 定义的、商定的、有意义的度量标准 测量流程可以帮助识别缺点和对解决问题的进度提供反馈 独立保证资源管理 可得到的和可用的知识 文档化的安全流程和实践成熟的安全架构以便有效地利用基础架构资源业务流程保证4.6.5活动、方法和技术信息安全管理的意图是保证服务和所有服务管理活动相关的安全方面能够得到恰当地管理和控制以符合业务需要和风险。信息安全管理的主要活动是: 整体信息安全策略和具体策略的制定、回顾和修订 安全策略
14、的沟通、实施和执行 所有信息资产和文档的评估和分类 安全控制措施和风险评估及响应的实施、回顾、修正和改进 所有安全违背和主要安全故障的监控和管理 对安全违背和故障的数量和影响的分析、报告和减少 安全回顾、审核和渗透测试的安排和完成图4.27展示了这些活动之间的交互。成熟的信息安全管理流程与方法、工具和技术一起构成了安全战略。安全经理应该保证技术、产品和服务是恰当的,还需要保证整体策略得到制定和很好地发布。安全经理还需要为安全架构、认证、权限、管理和恢复负责。安全战略还要考虑怎么样把最佳安全实践移植到业务的各个领域。对整体安全战略的培训和意识是至关重要的,因为安全通常在终端用户层面最薄弱。需要制
15、定方法和流程以使策略和标准能够更加容易地得到跟进和实施。需要分配资源来跟踪支持安全策略的技术和产品。例如,隐私仍然是重要的,并且,随着对管理规定的关注,保护隐私的技术成为重要的技术。4.6.5.1 安全控制信息安全经理必须了解安全并不是服务和系统生命周期中的一个步骤,安全不能够通过技术来解决。相反,信息安全必须作为所有服务和系统的一个完整部分,是一个不间断的过程,需要使用安全控制措施进行持续地管理,如图4.28所示。需要设计安全控制措施来支持和执行信息安全策略以及最小化所有识别的风险。这些控制措施如果在服务设计阶段得到考虑,则会变得更加有效。这可以保证对所有现存服务的持续保护和新服务的启用与信息安全策略保持一致。安全措施可以用在某个具体的阶段以阻止和解决安全故障,如图4.28所示。安全故障并不是由技术威胁单一地引起,统