学习资料: ITIL先锋论坛专家讲堂直播 300期视频回放
ITIL保证信息安全措施切实在战略、战术和运行三个层次得到有效的实施。信息安全被认为是一个控制、计划、实施、评估和维护反复的过程。
ITIL把信息安全分解为:
策略:组织要达到的总体目标
过程:要实现目标采取的行为
程序:何人、何时、如何实现目标
规程:采取具体行为的规程
ITIL定义信息安全为一个不断的检查和改进的循环过程,如图2所示:
图2信息安全过程
鉴于一些组织把实施和监控作为一个步骤,ITIL信息安全过程可以描述7个步骤:
IT客户通过风险分析识别其安全需求;
IT部门分析这些安全需求的可行性,并且把其和组织最小信息安全基线相比较;
客户和IT组织协商确定服务级别协议(SLA),SLA包括以可测量的目标描述的信息安全需求和验证其是否达到的方法。
在IT组织内协商和定义运行级别协议(OLA),详细描述如何提供信息安全服务。
实现和监控SLA和OLA;
定期向客户报告所提供的信息安全服务的有效性和状态;
有必要的条件下更改SLA和OLA。
服务级别协议
SLA是ITIL信息安全过程中一个关键的部分,是一个描述服务级别的书面正式协议,包括IT负责提供的信息安全。SAL应该包括关键的性能指标和性能评价准则,通常SLA中信息安全陈述包括下面几个方面:
允许的访问手段
允许审计和记录日志
物理安全措施
用户信息安全培训
用户访问授权规程
报告和调查信息安全事故
期望的报告和审计
上述过程的详细信息和服务桌面的功能可以在本文后面的参考文献中找到。
|
深爱那片海
发表于 2014-4-11 02:04:53
转播
分享
淘帖
()
