yitil服务设计之信息安全管理.doc

4.6 信息安全管理 4.6.1 意图、目的和目标 “信息安全管理的目标是使IT安全与业务安全保持一致以保证在所有的服务和服务管理活动中有效地管理信息安全。” 需要在公司治理框架内考虑信息安全管理。公司治理是由提供战略方向的董事会和高级管理层执行的责任和实践的集合，为的是保证达到目标、确认风险得到恰当地管理和核查企业资源得到有效利用。 信息安全是一项在公司治理框架内的管理活动，为安全活动提供战略方向和保证达到目标。它进一步保证信息安全风险得到恰当地管理和企业信息资源得到合理地利用。信息安全管理的目的是关注IT安全的所有方面和管理所有的IT安全活动。 名词“信息”通常是个泛称，包括数据存储、数据库和元数据。信息安全的目标是依托信息、系统和传递信息的通信包含其利益，避免不可用、泄密和不完整所导致的损害。 对于绝大多数组织，当出现如下情况时，可以达到安全目标： 当需要的时候，信息是可用的并且能用的，提供信息的系统能够恰当地抵抗攻击、阻止失败或从失败中恢复（可用性） 信息只对有权限的人是公开的（机密性） 信息是完全的、准确的并且免受非法修改（完整性） 业务处理，和企业之间或合作伙伴之间的信息交换是可信任的（可靠性和不可抵赖性） 需要在业务背景下考虑机密性、完整性和可用性的优先级。定义保护什么以及保护级别的主要指导应该来自于业务。为了达到效果，安全应该描述端到端的所有业务流程和覆盖物理和技术的所有方面。只有在业务背景下需求和风险能够定义安全。 4.6.2 范围 信息安全管理应该是所有IT问题的焦点，必须保证覆盖所有IT系统和服务的可用和不可用情况的信息安全策略得到制定、维护和执行。信息安全管理需要了解整个的IT和业务安全环境，包括： 业务安全策略和计划 当前业务运营及其安全要求 将来业务计划和要求 法律要求 服务级别协议（SLA）中所包含的安全义务和责任 业务和IT风险及其管理 了解所有这些能够使信息安全管理保证当前和将来的安全方面和业务风险得到有效地管理。 信息安全管理流程应该包括： 信息安全策略的制定、维护、分发和执行 对业务当前和将来安全要求及现存业务安全策略和计划的理解 支持信息安全策略和管理服务、信息、系统相关风险的安全控制的实施 所有安全控制连同其运维、维护和相关风险的文档 结合供应商管理，对系统、服务的供应商和合同的管理 所有系统和服务相关的安全违背和故障的管理 安全控制、安全风险管理和减少的主动改进 在所有其他ITSM流程内安全各个方面的集成 为了达到有效地信息安全管理，必须建立和维护一个信息安全管理系统来指导全面的信息安全项目的开发和管理以支持业务目标。 4.6.3 业务价值 信息安全管理保证信息安全策略的维护和执行以符合业务安全策略的需要和公司治理的要求。信息安全管理激发了组织中对所有IT服务和资产的安全需要的意识，保证策略对组织需要是恰当的。信息安全管理管理所有IT和服务管理活动内IT和信息安全的各个方面。 信息安全管理通过执行在IT所有领域恰当的安全控制和管理符合业务和公司风险管理流程的IT风险对业务流程提供保证。 4.6.4 策略、原则和基本概念 审慎的业务实践需要IT流程符合业务流程和目标。对信息安全来说，这是至关重要的，其必须紧密地符合于业务安全和业务需要。另外，IT组织内的所有流程都应该包含安全考虑。 高级管理层需要为组织信息负最终责任并对影响其保护内容的问题做出响应。另外，期望董事会能把信息安全作为公司治理的一个完整组成部分。因此，所有的IT服务提供商必须保证他们有完全的信息安全管理策略和必要的安全控制来监控和执行这些策略。 4.6.4.1 安全框架 信息安全管理流程和框架通常由以下部分组成： 信息安全策略和具体安全策略描述战略、控制和规定的各个方面 包含标准、管理流程和指导以支持信息安全策略的信息安全管理系统 与业务目标、战略和计划紧密相连的全面的安全战略 有效的安全组织架构 支持策略的安全控制的集合 安全风险的管理 保证承诺和提供反馈的监控流程 为安全制定地沟通战略和计划 培训和战略（规划）意识 4.6.4.2 信息安全策略 信息安全管理活动应该由整体的信息安全策略和支撑的具体的安全策略所关注和驱动。ITP应该为高层经理IT管理提供全部支持，理想状况下应该提供能够和保证。策略应该覆盖符合业务需求的安全的所有方面，并包括： 整体的信息安全策略 IT资产的可用和不可用的策略 访问控制策略 密码控制策略 邮件策略 互联网策略 反病毒策略 信息分类策略 文档分类策略 远程访问策略 供应商对IT服务、信息和组件的访问策略 资产处理策略 这些策略对所有客户和用户应该是广泛可用的，并在服务级别协议、合同和协定中有所涉及。这些策略应该由业务和IT的高级管理层进行授权，并支持符合策略的活动。所有的安全策