干货推荐：



中国ITSS白皮书2.0【第二版】PDF

ITSS服务项目经理培训

ITSS服务项目经理培训——2-基本概念及方法

ITSS服务项目经理培训——3-IT服务设计

ITSS服务项目经理培训——4-IT服务转换

ITSS服务项目经理培训——5-IT服务运营(3)

ITSS服务项目经理培训——6-IT服务改进

ITSS服务项目经理培训——7-IT服务项目类别

ITSS服务项目经理培训——9-IT服务项目管理知识体系(1)

ITSS服务项目经理培训——10-IT服务项目群管理

5.6 信息安全管理

   5.6.1 概 述

      信息化建设的一项重要工作就是安全运维工作，包括信息安全保障和 IT 服务管理两方面内容，是信息化工作的重要组成部分，信息安全保障工作需要 IT 服务管理流程来支撑，IT 服务管理的各类信息化资源需要信息安全来保障。

    信息安全管理是确保组织的资产、信息、数据和 IT 服务的保密性、完整性和可用性的及其他属性流程；其他属性有真实性、可核查性、可靠性、防抵赖性等。信息安全管理通常是构成组织安全方法的一部分。

    IT 服务项目在进行信息安全建设过程中应参考 GB/T22080 标准，进行 IT 服务运营的信息安全管理。

    5.6.2 目 的

     信息安全管理能带来的好处：

• 保证信息资产的安全；
• 降低安全风险；
• 保证 IT 服务业务的连续性；
• 提高 IT 服务质量。
  

    5.6.3 活 动

    信息安全管理的活动有信息安全管理体系（Information Security Management System，简称为 ISMS）的策划、风险评估、体系文件编写、体系建立完成后的运转和执行、持续改进、审计、报告、培训等。

  

    信息安全管理体系（ISMS）是 IT 服务项目整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。可按照信息安全管理的范围编写，控制内容参考GB/T22080 附录 A 控制目标和控制措施中的内容。

   （1）ISMS体系策划

    ISMS 体系策划包含对项目现状进行调研，明确信息安全方针，确定信息安全管理的范围等活动。作为 IT服务项目经理，需要做以下工作：

    确定信息安全体系建设主导方

      作为 IT 服务项目经理，首先要考虑的是谁来做 ISMS 体系建设的主导方，需要根据自身团队是否有全面信息安全管理能力来决定，当自身团队能力不够全面主导时，建议如同大多数公司一样聘请外部的安全咨询顾问。

    定义信息安全目标与方针

    信息安全目标与方针是 IT 服务项目信息安全管理的最高方针，IT 服务项目经理需要根据项目内部的实际情况，制订信息安全策略。

    信息安全目标与方针应该简单明了、通俗易懂，并形成书面文件，发给所有项目成员。同时要对所有相关员工进行信息安全策略的培训，对信息安全负有特殊责任的人员要进行特殊的培训，以使信息安全方针真正植根于所有项目员工的脑海，并落实到实际工作中。

      参考实例如下：

   

    定义 ISMS体系的范围

    ISMS 体系的范围确定需要重点进行信息安全管理的领域，IT 服务项目经理需要根据自己所管理项目的实际情况，在整个项目范围内构架 ISMS 体系。在本阶段，可将项目划分成不同的信息安全控制领域，以易于对有不同需求的领域进行适当的信息安全管理。

    范围的确定应由 IT 服务项目经理做出最后的决定，当聘请了外部咨询专家时，应听说外部咨询专家的建议。只有实施信息安全管理经验丰富的人员才能正确的、完整地识别出项目内信息安全应管理的范围，并能正合理的划分信息安全管理的“域”。

   （2）风险评估

    风险评估是信息安全管理的最要环节之一，是在已确定的范围内进行风险识别、风险评估、风险评价和风险处置等活动。风险评估在建立 ISMS 体系时，基础架构发生重大改变时，按计划所规定时间期限如（一年）进行。

    IT 服务经理在此环节应做的工作就是主导（建立计划）并实施这些活动。

    当有外部咨询专家时，IT服务经理应配合外部咨询专家所做的实施计划，协调团队的执行计划，并跟踪实施情况。

     风险评估的方法有多种，具体实施遵循 ISO/IEC TR13335-3《IT 安全管理指南－IT 安全管理技术》或者 ISO27005《 信息技术–安全技术–信息安全风险管理》标准进行。

     制定风险评估实施计划

       风险评估实施计划示例（外部咨询专家针对一有应用生产系统的数据中心做的风险评估实施计划）：

   
     

    实施风险评估

    IT 服务经理组织团队内的资源，按照风险评估计划，完成其中规定的工作。

    风险处置

    IT 服务经理根据风险评估的结果开出《风险处置单》，安排相关资源进行风险处置活动。
    风险处置单实例如下：

   

  （3）体系文档编写
  
    按照已确定的信息安全体系 ISMS范围和统一的文档模板进行体系文档的编写工作。IT 服务项目制定编写计划，分配项目成员进行编写工作，负责编写质量的把关。

      GB/T22080 从保证信息的机密性、完整性和可用性方面，提出了 11 个信息安全管理领域中的39 个管理目标和 133 个控制项。IT 服务项目不会用到其中所有的内容，需要根据项目其实情况，和已确定的信息安全体系进行编写。IT 服务项目经理在信息安全员的配合下制定相应的控制措施。

    下面是口令管理制度的实例：

      
   
   
      

  （4）培 训

    信息安全的方针及安全意识需要对 IT 服务项目员工进行培训，让员工熟知安方针，提高员工的安全意识，自觉地执行信息安全管理体系 ISMS 规定的内容。

    IT 服务项目经理制定培训，主持培训，并进行考核。

   （5）体系运转执行

    执行编写完成的信息安全管理体系 ISMS，按照其中的规定从人员、技术上分别落实。
    IT 服务项目经理要进行日常的监督和跟踪，检查体系执行的情况。

   （6）持续改进

    按 GB/T22080 中的规定，执行 PDCA 法则，对信息安全管理体系进行持续改进。

     （7）审 计

      信息安全的审计活动包含了内部审计和外部审计。
    作为 IT 服务项目经理应定期组织团队力量执行内部审计，或者联系外部咨询专家进行外部审计。其中内部审计间隔时间短；外部审计在项目范围、生产架构有重大变动时进行，或者每年定期进行一次。

   （8）报 告

      IT 服务项目经理应将项目中的信息安全管理的内容，定期形成报告（可合并在服务报告中），向客户进行汇报，如：

• 信息安全事件发生多少起；
• 原因；
• 是否解决；
• 解决的方法；
• 避免方法。
  

    5.6.4 关键成功因素

• 遵循国际标准和相关的国家标准；
• 明确鉴定 IT服务项目的范围；
• 制定完善的信息安全管理体系并落地执行；
• 明确信息安全管理的职责，并与 IT服务管理体系融合；
• 根据体系中的规定，尽可能的从技术上进行落实。
  

    5.6.5 可能存在的风险和控制

    信息安全管理范围难以确定

    每个 IT 服务项目的范围都不同，GB/T22080 几乎涵盖了所有的方面，在做信息资产识别时需要把所有的信息资产都正确的识别出来，但往往项目组内员工无法做到。请外部的咨询专家，又对项目不够了解。作为 IT服务项目经理要积极进行协调，加强沟通，使外部咨询专家和项目员工更好的配合，将信息资产全部识别出来。

   信息安全技术能力不足

    信息安全管理对技术的要求非常高，是安全威胁方和 IT 服务项目信息安全管理人员之间技术对抗。各种安全相关的技术不断的推陈出新，需要安全管理人员不断的学习。作为 IT 服务项目经理应鼓励员工自我学习，并安排相关的培训。

    体系执行不力

    规定再完善的体系如果不执行就和没有一样，所以要经常给员工进行信息安全体系培训和安全意识培训，加强落地。

    员工内部破坏

    内部破坏是现实情况最容易出现的情况。在落实信息安全管理时，IT 服务经理一方面应从管理体系角度去避免单人权限过大、单人操作风险，另一方面在技术角度上防范内部破坏。

    IT 服务运营中主要管理活动是按生命周期循环前进的过程，不断的提高和改进来保证 IT服务的质量，其关注点总结如下：

    良好的沟通是做好业务关系管理的基石；

      在人员要素管理中成功的关键因素是：有成熟的知识管理体系，人员岗位培训充足且适用，团队能力有互备，人员考核公正、明确，人员考核结果真正有效落地；

    流程要素管理中讲述了流程的特性，如何进行流程的识别和定义，KPI 设计的SMART原则，以及流程监控考核的方法；

    服务工具的生命周期有四个循环阶段（选择、应用、维护、淘汰）；知识生命周期也有四个循环的阶段（获取、共享、保留、评审）；

    IT服务运营阶段质量管理，包括四个阶段设计、协商、实施、评审；

    信息安全管理生命周期中的七个阶段（体系策划、风险评估、体系文件编写、培训、运转和执行、审计及报告、持续改进）。

    IT服务项目经理在实际工作工作中可参考 ITSS、GB/T22080进行流程设计、质量管理和信息安全管理，在实践中进行充实和提高。

*************************************************************

     返回到首页 《ITSS认证IT服务项目经理培训教材》_试用版连载http://ITIL-foundation.cn/thread-36762-1-1.htmlITSS、培训、服务、资格、评估、ITSS培训师、ITSS评估师、实施ITSS、ITSS符合性、ITSS服务工程师、ITSS服务项目经理、ITSS标准、ITSS咨询、ITSS工具、IT服务监理、ITSS体系、ITSS服务质量、评价、指标、运维、治理、咨询、ITSS出版物、ITSS产品、服务监理工具、服务质量评价工具、标准符合性评估工具、服务管理工具、服务治理工具、系统监控工具、辅助决策分析、服务支持管理、基础设施监控、ITSS基础教材、ITSS标准、ITSS服务人员培训教材、标准化、专业化、人员（People）、流程[1]（Process）、技术（Technology）和资源（Resource），简称PPTR、规划设计（Planning&Design）、部署实施（Implementing）、服务运营（Operation）、持续改进（Improvement）和监督管理（Supervision），简称PIOIS、服务交付规范、资源要求、外包管理、服务交付、分类、代码、服务指南、通用要求、指标体系、ITSS落地实践交流-QQ群：21542747  

干货推荐：



中国ITSS白皮书2.0【第二版】PDF

ITSS服务项目经理培训

ITSS服务项目经理培训——2-基本概念及方法

ITSS服务项目经理培训——3-IT服务设计

ITSS服务项目经理培训——4-IT服务转换

ITSS服务项目经理培训——5-IT服务运营(3)

ITSS服务项目经理培训——6-IT服务改进

ITSS服务项目经理培训——7-IT服务项目类别

ITSS服务项目经理培训——9-IT服务项目管理知识体系(1)

ITSS服务项目经理培训——10-IT服务项目群管理

5.6 信息安全管理

   5.6.1 概 述

      信息化建设的一项重要工作就是安全运维工作，包括信息安全保障和 IT 服务管理两方面内容，是信息化工作的重要组成部分，信息安全保障工作需要 IT 服务管理流程来支撑，IT 服务管理的各类信息化资源需要信息安全来保障。

    信息安全管理是确保组织的资产、信息、数据和 IT 服务的保密性、完整性和可用性的及其他属性流程；其他属性有真实性、可核查性、可靠性、防抵赖性等。信息安全管理通常是构成组织安全方法的一部分。

    IT 服务项目在进行信息安全建设过程中应参考 GB/T22080 标准，进行 IT 服务运营的信息安全管理。

    5.6.2 目 的

     信息安全管理能带来的好处：

• 保证信息资产的安全；
• 降低安全风险；
• 保证 IT 服务业务的连续性；
• 提高 IT 服务质量。
  

    5.6.3 活 动

    信息安全管理的活动有信息安全管理体系（Information Security Management System，简称为 ISMS）的策划、风险评估、体系文件编写、体系建立完成后的运转和执行、持续改进、审计、报告、培训等。

  

    信息安全管理体系（ISMS）是 IT 服务项目整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。可按照信息安全管理的范围编写，控制内容参考GB/T22080 附录 A 控制目标和控制措施中的内容。

   （1）ISMS体系策划

    ISMS 体系策划包含对项目现状进行调研，明确信息安全方针，确定信息安全管理的范围等活动。作为 IT服务项目经理，需要做以下工作：

    确定信息安全体系建设主导方

      作为 IT 服务项目经理，首先要考虑的是谁来做 ISMS 体系建设的主导方，需要根据自身团队是否有全面信息安全管理能力来决定，当自身团队能力不够全面主导时，建议如同大多数公司一样聘请外部的安全咨询顾问。

    定义信息安全目标与方针

    信息安全目标与方针是 IT 服务项目信息安全管理的最高方针，IT 服务项目经理需要根据项目内部的实际情况，制订信息安全策略。

    信息安全目标与方针应该简单明了、通俗易懂，并形成书面文件，发给所有项目成员。同时要对所有相关员工进行信息安全策略的培训，对信息安全负有特殊责任的人员要进行特殊的培训，以使信息安全方针真正植根于所有项目员工的脑海，并落实到实际工作中。

      参考实例如下：

   

    定义 ISMS体系的范围

    ISMS 体系的范围确定需要重点进行信息安全管理的领域，IT 服务项目经理需要根据自己所管理项目的实际情况，在整个项目范围内构架 ISMS 体系。在本阶段，可将项目划分成不同的信息安全控制领域，以易于对有不同需求的领域进行适当的信息安全管理。

    范围的确定应由 IT 服务项目经理做出最后的决定，当聘请了外部咨询专家时，应听说外部咨询专家的建议。只有实施信息安全管理经验丰富的人员才能正确的、完整地识别出项目内信息安全应管理的范围，并能正合理的划分信息安全管理的“域”。

   （2）风险评估

    风险评估是信息安全管理的最要环节之一，是在已确定的范围内进行风险识别、风险评估、风险评价和风险处置等活动。风险评估在建立 ISMS 体系时，基础架构发生重大改变时，按计划所规定时间期限如（一年）进行。

    IT 服务经理在此环节应做的工作就是主导（建立计划）并实施这些活动。

    当有外部咨询专家时，IT服务经理应配合外部咨询专家所做的实施计划，协调团队的执行计划，并跟踪实施情况。

     风险评估的方法有多种，具体实施遵循 ISO/IEC TR13335-3《IT 安全管理指南－IT 安全管理技术》或者 ISO27005《 信息技术–安全技术–信息安全风险管理》标准进行。

     制定风险评估实施计划

       风险评估实施计划示例（外部咨询专家针对一有应用生产系统的数据中心做的风险评估实施计划）：

   
     

    实施风险评估

    IT 服务经理组织团队内的资源，按照风险评估计划，完成其中规定的工作。

    风险处置

    IT 服务经理根据风险评估的结果开出《风险处置单》，安排相关资源进行风险处置活动。
    风险处置单实例如下：

   

  （3）体系文档编写
  
    按照已确定的信息安全体系 ISMS范围和统一的文档模板进行体系文档的编写工作。IT 服务项目制定编写计划，分配项目成员进行编写工作，负责编写质量的把关。

      GB/T22080 从保证信息的机密性、完整性和可用性方面，提出了 11 个信息安全管理领域中的39 个管理目标和 133 个控制项。IT 服务项目不会用到其中所有的内容，需要根据项目其实情况，和已确定的信息安全体系进行编写。IT 服务项目经理在信息安全员的配合下制定相应的控制措施。

    下面是口令管理制度的实例：

      
   
   
      

  （4）培 训

    信息安全的方针及安全意识需要对 IT 服务项目员工进行培训，让员工熟知安方针，提高员工的安全意识，自觉地执行信息安全管理体系 ISMS 规定的内容。

    IT 服务项目经理制定培训，主持培训，并进行考核。

   （5）体系运转执行

    执行编写完成的信息安全管理体系 ISMS，按照其中的规定从人员、技术上分别落实。
    IT 服务项目经理要进行日常的监督和跟踪，检查体系执行的情况。

   （6）持续改进

    按 GB/T22080 中的规定，执行 PDCA 法则，对信息安全管理体系进行持续改进。

     （7）审 计

      信息安全的审计活动包含了内部审计和外部审计。
    作为 IT 服务项目经理应定期组织团队力量执行内部审计，或者联系外部咨询专家进行外部审计。其中内部审计间隔时间短；外部审计在项目范围、生产架构有重大变动时进行，或者每年定期进行一次。

   （8）报 告

      IT 服务项目经理应将项目中的信息安全管理的内容，定期形成报告（可合并在服务报告中），向客户进行汇报，如：

• 信息安全事件发生多少起；
• 原因；
• 是否解决；
• 解决的方法；
• 避免方法。
  

    5.6.4 关键成功因素

• 遵循国际标准和相关的国家标准；
• 明确鉴定 IT服务项目的范围；
• 制定完善的信息安全管理体系并落地执行；
• 明确信息安全管理的职责，并与 IT服务管理体系融合；
• 根据体系中的规定，尽可能的从技术上进行落实。
  

    5.6.5 可能存在的风险和控制

    信息安全管理范围难以确定

    每个 IT 服务项目的范围都不同，GB/T22080 几乎涵盖了所有的方面，在做信息资产识别时需要把所有的信息资产都正确的识别出来，但往往项目组内员工无法做到。请外部的咨询专家，又对项目不够了解。作为 IT服务项目经理要积极进行协调，加强沟通，使外部咨询专家和项目员工更好的配合，将信息资产全部识别出来。

   信息安全技术能力不足

    信息安全管理对技术的要求非常高，是安全威胁方和 IT 服务项目信息安全管理人员之间技术对抗。各种安全相关的技术不断的推陈出新，需要安全管理人员不断的学习。作为 IT 服务项目经理应鼓励员工自我学习，并安排相关的培训。

    体系执行不力

    规定再完善的体系如果不执行就和没有一样，所以要经常给员工进行信息安全体系培训和安全意识培训，加强落地。

    员工内部破坏

    内部破坏是现实情况最容易出现的情况。在落实信息安全管理时，IT 服务经理一方面应从管理体系角度去避免单人权限过大、单人操作风险，另一方面在技术角度上防范内部破坏。

    IT 服务运营中主要管理活动是按生命周期循环前进的过程，不断的提高和改进来保证 IT服务的质量，其关注点总结如下：

    良好的沟通是做好业务关系管理的基石；

      在人员要素管理中成功的关键因素是：有成熟的知识管理体系，人员岗位培训充足且适用，团队能力有互备，人员考核公正、明确，人员考核结果真正有效落地；

    流程要素管理中讲述了流程的特性，如何进行流程的识别和定义，KPI 设计的SMART原则，以及流程监控考核的方法；

    服务工具的生命周期有四个循环阶段（选择、应用、维护、淘汰）；知识生命周期也有四个循环的阶段（获取、共享、保留、评审）；

    IT服务运营阶段质量管理，包括四个阶段设计、协商、实施、评审；

    信息安全管理生命周期中的七个阶段（体系策划、风险评估、体系文件编写、培训、运转和执行、审计及报告、持续改进）。

    IT服务项目经理在实际工作工作中可参考 ITSS、GB/T22080进行流程设计、质量管理和信息安全管理，在实践中进行充实和提高。

*************************************************************

     返回到首页 《ITSS认证IT服务项目经理培训教材》_试用版连载http://ITIL-foundation.cn/thread-36762-1-1.htmlITSS、培训、服务、资格、评估、ITSS培训师、ITSS评估师、实施ITSS、ITSS符合性、ITSS服务工程师、ITSS服务项目经理、ITSS标准、ITSS咨询、ITSS工具、IT服务监理、ITSS体系、ITSS服务质量、评价、指标、运维、治理、咨询、ITSS出版物、ITSS产品、服务监理工具、服务质量评价工具、标准符合性评估工具、服务管理工具、服务治理工具、系统监控工具、辅助决策分析、服务支持管理、基础设施监控、ITSS基础教材、ITSS标准、ITSS服务人员培训教材、标准化、专业化、人员（People）、流程[1]（Process）、技术（Technology）和资源（Resource），简称PPTR、规划设计（Planning&Design）、部署实施（Implementing）、服务运营（Operation）、持续改进（Improvement）和监督管理（Supervision），简称PIOIS、服务交付规范、资源要求、外包管理、服务交付、分类、代码、服务指南、通用要求、指标体系、ITSS落地实践交流-QQ群：21542747