学习资料: ITIL先锋论坛专家讲堂直播 300期视频回放
ITIL在很多重要的途径来改进组织实施和管理信息安全
ITIL给出了信息安全所关注的业务和服务。信心安全经常为误认为是信息系统实现业务功能过程中“成本中心”或者“负担”。采用ITIL,业务过程拥有者和IT来协商信息安全服务,这就保证了服务和业务需求相一致。
ITIL使得组织可以在最佳实践的基础上以一种机构化的清晰的方法来规划和实现信息安全。信息安全职员可以从“消防员”的工作方式转变成更加结构化和有计划的工作方式。
ITIL通过要求连续检查来保证在需求、环境和威胁变化的情况下,信息安全措施始终保持有效。
ITIL把过程和标准(如SLA和OLA)文档化,使得其可以审计和监控。有利于组织理解信息安全规划的有效性和检查与政策法规(如HIPAA或者萨班斯法案)的符合性。
ITIL给出了信息安全得以建立的基础(如变更管理、配置管理和事故管理),明显的促进信息安全。例如,不正确的变更管理(服务器错误配置)会导致许多的信息安全问题。
ITIL使得信息安全人员用其他组织可以理解的标准术语来讨论信息安全。许多经理不能理解相对底层的详细加密和防火墙规则,但是他们完全可以理解ITIL的概念,例如把信息安全放到定义好的过程中来处理问题,改进服务和维护SLA。ITIL可以帮助经理理解信息安全是一个成功的运行良好的组织中一个重要的部分。
有组织的ITIL框架可以防止盲目的无组织的实施信息安全措施。ITIL需要在IT服务中设计和建立连续的、可测量的信息安全措施,最终节省了时间、金钱和努力。
ITIL中要求的报告过程,保证组织管理层有效的得到组织信息安全措施的信息。报告使得管理层能够决策组织所面临的风险。
ITIL定义信息安全角色和职责,在安全事故中明确责任和义务。
ITIL建立了讨论信息安全的通用语言。信息安全职员可以有效的和内部和外部的业务伙伴进行沟通,例如组织外包安全服务。
骨之精灵
发表于 2014-4-11 03:27:59
转播
分享
淘帖
()
