《yITIL服务设计之信息安全管理》由会员分享,可在线阅读,更多相关《yITIL服务设计之信息安全管理(12页珍藏版)》请在金锄头文库上搜索。
1、4.6 信息安全治理4.6.1 意图、目的和目标“信息安全治理的目标是使IT 安全与业务安全保持全都以保证在全部的效劳和效劳治理活动中有效地治理信息安全”。需要在公司治理框架内考虑信息安全治理。公司治理是由供给战略方向的董事会和高级治理层执行的责任和实践的集合,为的是保证到达目标、确认风险得到恰当地治理和核查企业资源得到有效利用。信息安全是一项在公司治理框架内的治理活动,为安全活动供给战略方向和保证到达目标。它进一步保证信息安全风险得到恰当地治理和企业信息资源得到合理地利用。信息安全治理的目的是关注IT 安全的全部方面和治理全部的IT 安全活动。名词“信息”通常是个泛称,包括数据存储、数据库和
2、元数据。信息安全的目标是依托信息、系统和传递信息的通信包含其利益,避开不行用、泄密和不完整所导致的损害。对于绝大多数组织,当消灭如下状况时,可以到达安全目标:n 当需要的时候,信息是可用的并且能用的,供给信息的系统能够恰当地抵抗攻击、阻挡失败或从失败中恢复可用性n 信息只对有权限的人是公开的机密性n 信息是完全的、准确的并且免受非法修改完整性n 业务处理,和企业之间或合作伙伴之间的信息交换是可信任的牢靠性和不行抵赖性需要在业务背景下考虑机密性、完整性和可用性的优先级。定义保护什么以及保护级别的主要指导应当来自于业务。为了到达效果,安全应当描述端到端的全部业务流程和掩盖物理和技术的全部方面。只有
3、在业务背景下需求和风险能够定义安全。4.6.2 范围信息安全治理应当是全部IT 问题的焦点,必需保证掩盖全部 IT 系统和效劳的可用和不行用状况的信息安全策略得到制定、维护和执行。信息安全治理需要了解整个的IT 和业务安全环境,包括:n 业务安全策略和打算n 当前业务运营及其安全要求n 将来业务打算和要求n 法律要求n 效劳级别协议SLA中所包含的安全义务和责任n 业务和IT 风险及其治理了解全部这些能够使信息安全治理保证当前和将来的安全方面和业务风险得到有效地治理。信息安全治理流程应当包括:n 信息安全策略的制定、维护、分发和执行n 对业务当前和将来安全要求及现存业务安全策略和打算的理解n
4、支持信息安全策略和治理效劳、信息、系统相关风险的安全掌握的实施n 全部安全掌握连同其运维、维护和相关风险的文档n 结合供给商治理,对系统、效劳的供给商和合同的治理n 全部系统和效劳相关的安全违反和故障的治理n 安全掌握、安全风险治理和削减的主动改进n 在全部其他ITSM 流程内安全各个方面的集成为了到达有效地信息安全治理,必需建立和维护一个信息安全治理系统来指导全面的信息安全工程的开发和治理以支持业务目标。4.6.3 业务价值信息安全治理保证信息安全策略的维护和执行以符合业务安全策略的需要和公司治理 的要求。信息安全治理激发了组织中对全部IT 效劳和资产的安全需要的意识,保证策略对组织需要是恰
5、当的。信息安全治理治理全部IT 和效劳治理活动内IT 和信息安全的各个方面。信息安全治理通过执行在 IT 全部领域恰当的安全掌握和治理符合业务和公司风险治理流程的IT 风险对业务流程供给保证。4.6.4 策略、原则和根本概念审慎的业务实践需要IT 流程符合业务流程和目标。对信息安全来说,这是至关重要的, 其必需严密地符合于业务安全和业务需要。另外,IT 组织内的全部流程都应当包含安全考虑。高级治理层需要为组织信息负最终责任并对影响其保护内容的问题做出响应。另外,期望董事会能把信息安全作为公司治理的一个完整组成局部。因此,全部的IT 效劳供给商必需保证他们有完全的信息安全治理策略和必要的安全掌握
6、来监控和执行这些策略。4.6.4.1 安全框架信息安全治理流程和框架通常由以下局部组成:n 信息安全策略和具体安全策略描述战略、掌握和规定的各个方面n 包含标准、治理流程和指导以支持信息安全策略的信息安全治理系统n 与业务目标、战略和打算严密相连的全面的安全战略n 有效的安全组织架构n 支持策略的安全掌握的集合n 安全风险的治理n 保证承诺和供给反响的监控流程n 为安全制定地沟通战略和打算n 培训和战略规划意识4.6.4.2 信息安全策略信息安全治理活动应当由整体的信息安全策略和支撑的具体的安全策略所关注和驱动。ITP 应当为高层经理 IT 治理供给全部支持,抱负状况下应当供给能够和保证。策略
7、应当掩盖符合业务需求的安全的全部方面,并包括:n 整体的信息安全策略n IT 资产的可用和不行用的策略n 访问掌握策略n 密码掌握策略n 邮件策略n 互联网策略n 反病毒策略n 信息分类策略n 文档分类策略n 远程访问策略n 供给商对IT 效劳、信息和组件的访问策略n 资产处理策略这些策略对全部客户和用户应当是广泛可用的,并在效劳级别协议、合同和协定中有所涉及。这些策略应当由业务和 IT 的高级治理层进展授权,并支持符合策略的活动。全部的安全策略需要得到回忆,必要的时候进展修正,至少一年一次。4.6.4.3 信息安全治理系统安全框架或安全信息治理系统为支持业务目标的本钱有效的信息安全工程的制定
8、供给 根底。主要涉及 4P,即人员People、流程Processes、产品和技术Products and technology、业务伙伴和供给商Partners and suppliers来保证高级别的安全。ISO 27001 是一个正式的标准,很多组织可能摒弃它而去寻求其信息安全治理系统的独立的验证意味着组织内系统地和全都地设计、实施、治理、维护和执行信息安全流程和控 制。图 4.26 中所展现的信息安全治理系统基于多方面的建议和指导,包括ISO27001,并且被广泛地使用。信息安全治理系统框架的五要素如下:一掌握信息安全治理系统中“掌握”要素的目标是:n 在组织中建立一个治理框架来发起和
9、治理信息安全n 建立组织架构来预备、批准和实施信息安全策略n 责任安排n 建立和掌握相关文档二打算信息安全治理系统中“打算”要素的目标是基于对组织需要的理解来设计和建议恰当的安全措施。这些来源于业务和效劳风险、打算和战略、SLA 和 OLA、法律的、道德的和社会责任的组织需要被收集起来以便信息安全的使用。其他需要考虑的因素包括,可用资金数量、组织文化和对待安全的态度等。信息安全策略定义了组织对待安全时间的态度和立场。这需要形成组织范围内的文档, 不止是IT 效劳供给者所使用。维护这文档是信息安全经理的责任。三实施信息安全治理系统中“实施”要素的目标是保证恰当的步骤、工具和掌握措施得到实施来支撑
10、信息安全策略。措施如下:n 资产的经管责任此时配置治理和配置治理系统是无价的n 信息分类信息和套件库应当依据敏感度和披露后的影响度来进展分类安全掌握措施的成功实施依靠的因素如下:n 与业务需要集成的,清楚而协定的策略确实定n 合理的恰当的并得到高级治理层支持的安全步骤n 安全需求方面有效的营销和教育n 改进机制四评估信息安全治理系统中“评估”要素的目标是:n 监视和检查SLA 和OLA 中的安全策略和安全要求是否得到遵守n 对 IT 系统的技术安全定期审核n 假设需要,向外部审核人员供给信息五维护信息安全治理系统中“维护”要素的目标是:n 改进安全协议,例如SLA 和 OLA 中的协议n 改进
11、安全掌握措施的实施可以通过使用 PDCA 循环法打算-执行-检查-处理来完成这些目标,这种正式方法在 ISO 27001 中被建议用来建立信息安全治理系统或安全框架。详见持续性效劳改进。安全治理当实施信息安全治理的时候,应当供给六个根本成果:n 战略调整l 安全要求应当由组织要求驱动l 安全解决方案需要符合组织流程l 信息方面的投资应当与组织战略和风险全都n 价值交付l 安全实践的标准集合,例如,伴随最正确实践的根本安全要求l 对产生重大影响和业务效益的领域分协作适的优先挨次和有效分布的努力l 制度化的和商品化的解决方案l 掩盖组织、流程和技术的完全的解决方案l 持续改进的文化n 风险治理l
12、达成全都的风险介绍l 对风险显露的理解l 对风险治理优先级的意识l 风险消减l 风险承受/服从n 绩效治理l 定义的、商定的、有意义的度量标准l 测量流程可以帮助识别缺点和对解决问题的进度供给反响l 独立保证n 资源治理l 可得到的和可用的学问l 文档化的安全流程和实践l 成熟的安全架构以便有效地利用根底架构资源n 业务流程保证4.6.5 活动、方法和技术信息安全治理的意图是保证效劳和全部效劳治理活动相关的安全方面能够得到恰当地治理和掌握以符合业务需要和风险。信息安全治理的主要活动是:n 整体信息安全策略和具体策略的制定、回忆和修订n 安全策略的沟通、实施和执行n 全部信息资产和文档的评估和分
13、类n 安全掌握措施和风险评估及响应的实施、回忆、修正和改进n 全部安全违反和主要安全故障的监控和治理n 对安全违反和故障的数量和影响的分析、报告和削减n 安全回忆、审核和渗透测试的安排和完成图 4.27 展现了这些活动之间的交互。成熟的信息安全治理流程与方法、工具和技术一起构成了安全战略。安全经理应当保证技术、产品和效劳是恰当的,还需要保证整体策略得到制定和很好地公布。安全经理还需要为安全架构、认证、权限、治理和恢复负责。安全战略还要考虑怎么样把最正确安全实践移植到业务的各个领域。对整体安全战略的培训和意识是至关重要的,由于安全通常在终端用户层面最薄弱。需要制定方法和流程以使策略和标准能够更加
14、简洁地得到跟进和实施。需要安排资源来跟踪支持安全策略的技术和产品。例如,隐私仍旧是重要的,并且,随着对治理规定的关注,保护隐私的技术成为重要的技术。4.6.5.1 安全掌握信息安全经理必需了解安全并不是效劳和系统生命周期中的一个步骤,安全不能够通过技术来解决。相反,信息安全必需作为全部效劳和系统的一个完整局部,是一个不连续的过程,需要使用安全掌握措施进展持续地治理,如图4.28 所示。需要设计安全掌握措施来支持和执行信息安全策略以及最小化全部识别的风险。这些掌握措施假设在效劳设计阶段得到考虑,则会变得更加有效。这可以保证对全部现存效劳的持续保护和效劳的启用与信息安全策略保持全都。安全措施可以用
15、在某个具体的阶段以阻挡和解决安全故障,如图 4.28 所示。安全故障并不是由技术威逼单一地引起,统计显示,大量的人为错误有意地或无意地或步骤错误通常会对安全、法律或安康等其他领域产生影响。可以识别一下阶段。刚开头,威逼具体化了。威逼可以是中断业务流程或对业务产生消极影响的任何事情。一旦威逼具体化,我们认为发生了安全故障。安全故障可能导致对信息或资产的损害,需要得到修复或改正。需要为某个阶段选择适宜的措施,取决于信息的重要性。预防的:安全措施用于阻挡安全故障的发生。预防措施的最知名的例子是为获得授权的人安排访问权限。这种措施相关的更多要求包括访问权限掌握批准、维护和回收权限、授权识别何人可以使用何种工具访问何种信息、身份认 证确认何人在申请访问和访问掌握保证只有授权的人员可以访问。n 削减的:可以实行更进一步的措施以最小化可能发生的损害。有一些削减损害的措施,最生疏的例子是定期备份和意
