组织及其信息系统是不断变化的,诸如“信息安全管理实践规范”之类的清单则是静态的和不足以应付IT的迅捷变化的。由于这个原因,必须不断地对安全管理活动进行评审以确保其有效性。安全管理实际上是一个由计划、实施、检查和改进所组成的一个无限的循环。由安全管理实施活动,或在安全管理的控制下由其它流程实施活动将在下面进行讨论。
组织及其信息系统是不断变化的,诸如“信息安全管理实践规范”之类的清单则是静态的和不足以应付IT的迅捷变化的。由于这个原因,必须不断地对安全管理活动进行评审以确保其有效性。安全管理实际上是一个由计划、实施、检查和改进所组成的一个无限的循环。由安全管理实施活动,或在安全管理的控制下由其它流程实施活动将在下面进行讨论。
图-1显示了安全管理的循环过程。客户需求作为整个流程的输入项处于右上角。服务级别协议中的安全性部分根据安全服务和需要提供的安全级别定义了这些需求。服务提供商以安全计划的形式将这些协议内容传达给组织,并定义相关的安全标准或运营级别协议。安全计划被实施以后,需要对实施的结果进行评估,然后据此更新安全计划和改进实施。服务级别管理将这些活动报告给客户。这样,客户和服务提供商就一起形成了一个完整的循环流程。客户可以根据报告修正其需求,而服务提供商可根据这些观察结果调整计划或实施。控制功能位于图15.1的中部。现在,可以根据这个图来讨论安全管理活动。
控制-信息安全政策和组织
在图15.4中央的控制活动是安全管理的第一个子流程,它主要是关于该流程的组织和管理。这主要包括信息安全管理框架。该框架主要描述了如下子流程:安全计划的制定、安全计划的实施、实施评估以及将评估结果纳入年度安全计划(改进计划)。通过服务级别管理向客户提交的报告也包括在该框架内。
该项活动中定义了子流程,安全职能、角色和责任,还描述了组织结构、报告安排以及控制结构(谁指导谁,谁做什么事情,如何报告实施状况)。该项活动实施了来自“实践规范”的下列措施:
• 政策:
- 政策制定和实施,以及与其它政策进行关联;
- 目标、总体原则和意义;
- 子流程的描述;
- 为子流程划分职能和责任;
- 与其它ITIL流程及其管理人员进行联系;
- 人员的总体职责;
- 处理安全事故。
• 信息安全组织:
- 管理框架;
- 管理结构(组织结构);
- 更为详细的职责划分;
- 成立信息安全管理委员会;
- 信息安全协调;
- 协商工具(例如,用于风险分析和改进意识);
- 在与客户磋商后,对IT设施授权流程的描述;
- 专家建议;
- 组织之间的协调,内部和外部沟通;
- 独立的信息系统审计;
- 第三方进入系统的安全原则;
- 与第三方签订的合同中议定的信息安全。
计划
计划子流程包括在与服务级别管理磋商后制定服务级别协议中的安全部分,以及与安全相关的支持合同中的活动。服务级别协议中的目标一般都是用一些总括性的术语定义的,而在运营级别协议中则需要对这些目标作进一步的细化和规定。一份运营级别协议可被服务提供商的一个组织单元视为安全计划,例如,运营级别协议可作为每个IT平台、应用和网络的具体的安全计划。
计划子流程不仅接收来自服务级别协议的信息而且还有来自服务提供商的政策原则(来自控制子流程)。这些原则的典型例子有:“每个用户的身份必须可以唯一识别”和“在任何时候必须为客户提供一个基本的安全级别”。
针对信息安全的运营级别协议(具体的安全计划)也是通过正常的程序来起草和实施的。这意味着,如果有些活动是其它流程所需要的,那么必须与这些流程进行协调。变更管理根据安全管理所提供的信息对IT基础架构实施必要的变更。变更经理负责整个变更管理流程的运作。
为了定义、更新和遵循服务级别协议中的安全部分,必须就该计划子流程与服务级别管理进行讨论。服务级别经理负责这中间的协调。
服务级别协议中应该定义安全需求,在可能的情况下还应该以可测度的术语进行定义。该协议的安全部分应当确保客户所有的安全需求和标准能够实现,并且实现的结果能够进行明确的验证。
实施
实施子流程负责实施计划中规定的所有安全措施。下列活动清单可以为该子流程提供支持:
• IT资源的分类和管理:
- 为维护配置管理数据库中的配置项提供信息输入;
- 按照约定的指导方针对IT资源进行分类。
• 人员安全:
- 职位说明中的任务和职责;
- 安全防护;
- 针对个人的保密协议;
- 培训;
- 处理安全事故和观察到的安全隐患的员工指南;
- 纪律措施;
- 提高安全意识。
• 实施安全管理:
- 责任划分的实施,以及岗位分离的实施;
- 书面的操作指示;
- 内部规章;
- 安全问题涉及整个生命周期,应针对系统开发、测试、验收、运营、维护和终止制定安全指南;
- 将开发和测试环境与实际的运营环境分离开来;
- 处理事故的程序(由事故管理负责处理);
- 恢复设施的实施;
- 为变更管理提供信息输入;
- 病毒防护措施的实施;
- 针对计算机、应用系统、网络和网络服务的管理措施的实施;
- 数据媒介的处理和安全。
• 访问控制:
- 访问和访问控制政策的实施;
- 用户访问权利的维护以及网络、网络服务、计算机和应用系统的应用维护;
- 网络安全屏障(防火墙、拨号服务、网桥和路由器)的维护;
- 针对计算机系统、工作站和连接在网络上的计算机的身份识别和验证措施的实施。
评估
对计划的措施的实施结果进行独立的评估是非常重要的。这种评估是评价绩效所需要的,同时也是客户和第三方所需要的。评估子流程的结果可用来更新与客户协商约定的安全措施,也可用于改进它们的实施效果。根据评估的结果还可以建议实施某些变更,在这种情况下可以制作一项变更请求并提交给变更管理流程。
评估主要有以下三种形式:
• 自我评估-主要由流程的直线组织实施;
• 内部审计-由内部IT审计师进行;
• 外部审计-由外部IT审计师进行。
不同于自我评估的是,在其它子流程中担负职责的人员不能再承担审计的职责。这是为了确保做到职责分离。可以成立一个专门的内部审计部门来负责审计。
在安全事故发生时也要实施评估。
评估子流程的主要活动包括:
• 核实遵循安全政策的情况以及安全计划的实施情况;
• 对IT系统实施安全审计;
• 找出对IT资源的不正确的使用,并作出相应的处理;
• 承担其它IT审计的安全方面。
维护
由于IT基础架构、组织和业务流程方面的变化导致相关的风险也随着发生变化,因此安全也需要进行维护。安全维护包括服务级别协议中安全部分的维护以及详细的安全计划(运营级别协议)的维护。
维护需要根据评估子流程的结果以及对风险变化的评估结果进行。这些建议既可以直接被计划子流程所采纳,也可以纳入总体的服务级别协议的维护中。
报告
报告不是一个子流程,但它是其它子流程输出的结果。报告可以提供有关已实现安全绩效方面的信息,并可以让客户了解有关的安全问题。这些报告通常是在与客户签订的协议中所要求的。
不论对于客户还是服务提供商来说,报告都是很重要的。客户必须正确地了解有关努力(如安全措施的实施)所取的效率以及实际被采用的安全措施。客户还需要了解所有的安全事故。对报告方式的一些建议包括在下面的列表中。
有关预定报告和值得报告的一些事件举例如下:
• 计划子流程:
- 关于服务级别协议以及约定的有关安全的关键绩效指标的遵循程度的报告;
- 关于支持合同及其相关的任何问题的报告;
- 关于运营级别协议(内部安全计划)和服务提供商自身的安全原则(如体现在基准中)的报告;
- 关于年度安全计划和改进计划的报告。
• 实施子流程:
- 关于信息安全实施的状态报告。这包括有关年度安全计划实施的进度报告,可能还包括一个已实施或待实施的安全措施的列表,培训情况以及额外风险分析的结果等;
- 一个所有安全事故及其处理情况的列表,或者还包括与以前报告期的比较分析。
- 事故趋势的确认;
- 意识促进方案的实施状况。
• 评估子流程:
- 有关子流程实施绩效的报告;
- 有关审计、评审和内部评价的结果;
- 警告,以及识别新的威胁。
1.1.1.1 特别报告
为了报告服务级别协议中定义的安全事故,服务提供商必须通过服务级别经理、事故经理或安全经理与客户代表(可能是公司信息安全官)建立直接的沟通渠道。针对某些特定的情形也必须规定一个沟通的程序。
除了在特殊情形下的例外事项,报告都是通过服务级别管理进行传达的。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved