返回ITIL 4 Foundation中文翻译目录,点击
5.1.3 信息安全管理
关键词:信息安全管理实践的目的是保护组织开展业务所需的信息。这包括理解和管理信息的机密性,完整性和可用性的风险,以及信息安全的其他方面,例如身份验证(确保某人是他们声称的人)和不可否认性(确保有人不能否认他们采取了行动)。
通过策略,流程,行为,风险管理和控制建立所需的安全性,这些必须在以下两者之间保持平衡:
●预防:确保不会发生安全事件
●检测:快速可靠地检测无法预防的事故
●纠正:检测到事件后从事件中恢复。
在保护组织免受伤害并允许组织创新之间取得平衡也很重要。限制性过强的信息安全控制可能弊大于利,也可能被试图更容易工作的人所规避。信息安全控制应考虑组织的所有方面,并与其风险偏好保持一致。
信息安全管理与其他所有实践相互作用。它创建了每个练习在规划工作方式时必须考虑的控制。它还取决于其他有助于保护信息的做法。
信息安全管理必须基于明确理解的治理要求和组织策略,从组织中的最高级别开始。大多数组织都有专门的信息安全团队,负责进行风险评估并定义策略,程序和控制。在高速环境中,信息安全尽可能地集成到日常的开发和运营工作中,将对流程控制的依赖转移到对专业知识和诚信等先决条件的验证上。
信息安全严重依赖于整个组织中人们的行为。经过良好培训并注意信息安全策略和其他控制的员工可以帮助检测,预防和纠正信息安全事件。训练不足或缺乏动力的员工可能是一个主要的漏洞。
需要许多流程和程序来支持信息安全管理。这些包括:
●信息安全事件管理流程
●风险管理流程
●控制审核和审核流程
●身份和访问管理流程
●活动管理
●渗透测试,漏洞扫描等程序
●管理与信息安全相关的变更的过程,例如防火墙配置变更。
图 5.3 显示了信息安全管理对服务价值链的贡献,实践涉及所有价值链活动:
●计划:必须在所有计划活动中考虑信息安全,并且必须将其纳入每项实践和服务中。
●改进:必须在所有改进价值链活动中考虑信息安全,以确保在进行改进时不会引入漏洞。
●驱动:必须了解和捕获新服务和已变更服务的信息安全要求。从运营到战略,所有级别都必须支持信息安全并鼓励所需的行为。所有利益相关者必须为信息安全做出贡献,包括客户,用户,供应商等。
●设计和过渡:在整个价值链活动中必须考虑安全性,并设计有效的控制并将其转换为运营。所有服务的设计和转换必须考虑信息安全方面以及所有其他实用程序和效用要求。
●获取/构建:必须根据信息安全管理定义的风险分析,策略,过程和控制,将信息安全构建到所有组件中。无论组件是内部构建还是从供应商采购,这都适用。
●交付和支持:检测和纠正信息安全事件必须是此价值链活动的一个组成部分。
ITIL 故事:Axle 的信息安全管理
Su:我们的旅行应用程序存储了大量敏感数据,包括客户和信用卡详细信息。 我们的职责是确保这些数据是安全的。
Marco:我们的合作伙伴也存储和处理了一些数据,他们帮助我们开发应用程序并继续代表我们支持应用程序。
Radhika:我们使用这些数据来分析客户需求和我们车队的使用情况,跟踪我们汽车的状况,并分析客户的偏好以创建量身定制的产品。
苏:我们的消费者需要知道他们的数据是安全的,不会被误用。 我们定期接受外部审计,为利益相关方提供保证,并确认符合国家和国际法规。
Henri:作为 CIO,我确保所有在 Axle 工作的人都了解信息安全的重要性,并遵循 Axle 有关信息安全管理的政策和程序。
|