在过去的数十年中,几乎所有的企业都变得越来越依赖于信息系统。计算机网络的使用变得更为广泛,不仅在企业内部是如此,在企业之间和世界范围内都是如此。日益复杂的IT基础架构意味着企业现在更容易遭受技术故障、人为错误、蓄意破坏、黑客、计算机病毒等的侵扰。这种不断增长的复杂性要求使用一种统一的管理方法。安全管理与其它流程具有重要的联系。在安全管理的监控下,其它ITIL流程也实施了一些与安全性相关的活动。
在过去的数十年中,几乎所有的企业都变得越来越依赖于信息系统。计算机网络的使用变得更为广泛,不仅在企业内部是如此,在企业之间和世界范围内都是如此。日益复杂的IT基础架构意味着企业现在更容易遭受技术故障、人为错误、蓄意破坏、黑客、计算机病毒等的侵扰。这种不断增长的复杂性要求使用一种统一的管理方法。安全管理与其它流程具有重要的联系。在安全管理的监控下,其它ITIL流程也实施了一些与安全性相关的活动。
安全管理有以下两个目标:• 满足服务级别协议中的安全性需求以及合同、法律和外部政策等外部要求;
• 提供一个独立于外部需求的基本的安全性级别。
安全管理对于维持IT部门的无事故运行具有重要的作用。它也有助于简化信息安全服务级别管理,因为管理大量不同的服务级别协议要比管理少量这样的协议要困难得多。
安全管理流程的输入信息由说明安全需求的服务级别协议提供,可能还辅之以描述政策的文档以及其它的外部需求。该流程还接收来自其它流程的与安全问题相关的信息,如安全事故。
安全管理流程的输出项包括服务级别协议的实施情况方面的信息,以及例外报告和常规性安全规划。
现在,许多组织通过制定战略层次的信息政策和信息计划来应对信息安全问题,并在实际运营中通过购买安全工具和其它安全产品来保障信息安全。然而,对于如何积极的信息安全管理,以及在需求和环境发生变化后进行持续的分析并将相关政策转化为技术方案从而确保安全措施仍然有效 方面却还没有引起足够的重视。这导致的直接后果是战略层和战术层之间的脱节,在公司的战术层,巨大的投资被用在那些不再相关的安全措施上,而在某些时候,本应该采取更加有效的安全措施。安全管理的目标是要确保有效的信息安全措施在战略层、战术层和运营层三个层面都得到贯彻。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved