本文档是由长河领导的ITIL先锋论坛专家委员会组织翻译的ITIL 4中文版本中的ITIL 4信息安全管理实践指南部分。文档强调了ITIL 4信息安全管理在数字化转型背景下的重要性,指出随着跨行业数字化服务的增长以及云解决方案等的广泛应用,信息安全管理实践与其他多个实践相结合,可确保组织的产品和服务满足信息安全级别要求。
信息安全管理概述ITIL 4信息安全管理实践的目的是保护组织开展业务所需的信息,包括信息的保密性、完整性和可用性等安全特性。保密性指防止信息泄露给未授权实体,完整性能确保信息准确无误且只能由授权人员修改,可用性则确保信息在需要时可被使用。此外,身份验证用于建立人与物的身份,不可抵赖则提供证据证明特定实体执行了非法事态或行为。
术语和概念文档详细介绍了与ITIL 4信息安全管理相关的术语和概念。资产包括硬件、软件、网络、信息等对组织有价值的东西,信息安全管理实践帮助组织保护这些资产。风险管理术语也在文档中进行了阐述,如风险是潜在事件的不确定性对目标的影响,脆弱性是资产中存在的弱点等。
实践成功要素ITIL 4信息安全管理实践包括多个成功要素,如制定和管理安全信息策略和计划,组织需制定并维护相关策略和计划,以维持所需的安全信息水平,并应了解内外部信息安全需求,持续评估这些需求对组织的影响。缓解信息安全风险也是关键要素,包括风险的识别、分析和管理,需定义和管理控制以应对各种风险。此外,还需演练和测试信息安全管理计划,以及将信息安全嵌入到服务价值系统的所有方面,包括指导原则、治理、服务价值链和价值流、实践以及持续改进等方面。
价值流和流程ITIL 4信息安全管理实践对服务价值链的所有活动都有贡献,如在设计和转换阶段,需设计和架构以满足安全需求;在交付和支持阶段,用户和IT人员需进行安全培训等。文档还介绍了两个信息安全管理流程——安全事件管理和审计与评审。安全事件管理流程包括准备、检测和升级、分类和分析、遏制和恢复、事件后活动等环节;审计和评审流程则包括识别变更、确定缺失控制、评估控制效果、创建审计报告等活动。
组织和人员文档强调了组织中各个角色在信息安全管理中的责任,如首席信息安全官(CISO)负责建立组织的信息安全战略、制定政策和程序等。其他涉及的角色包括安全架构师、安全工程师、安全分析师等,他们需具备相应的能力和技能。同时,组织中的每个人都对信息安全管理负有责任,需通过安全意识培训、在工作说明中包含安全要求以及定期强化安全信息等方式,提高人员的安全意识和能力。
信息和技术ITIL 4信息安全管理的效果依赖于所使用信息的质量,信息包括消费者业务流程、服务架构设计、法规要求等。文档还提到自动化和工具在信息安全管理实践中的应用,如使用安全事件和事态管理(SIEM)工具、防火墙、加密软件等自动化解决方案,可提高信息安全管理的效率和效果。
合作伙伴和供应商在服务提供中,合作伙伴和供应商可能提供关键产品和服务组件,因此需与他们协商并同意信息安全要求。他们还可能提供安全服务和解决方案的信息,应参与相关测试和审查。若供应商可访问组织的网络等资源,需通过网络隔离、强身份验证和加密功能、具有定期审核的合同条款等方式控制风险。
重要提醒文档提醒组织在使用实践指南内容时,应遵循ITIL指导原则,如聚焦价值、从所处地方开始、基于反馈迭代推进等,以确保信息安全管理实践的有效实施和持续改进。
文档对为本指南开发做出贡献的作者和审稿人表示感谢,他们的专业知识和经验为文档的编写提供了重要支持。
(30)IT运维管理:ITIL先锋论坛—ITIL 4 信息安全管理实践【中文版】.pdf
(1.96 MB, 下载次数: 5)
|
转播
分享
淘帖
()