「ITIL文章」ITIL 4 知识系列之信息安全管理

信息安全管理的目的

信息安全管理实践的目的是保护组织开展业务所需的信息。这包括了解和管理信息的机密性、完整性和可用性以及信息安全性的其他方面的风险，例如身份验证（确保某人是他们声称的身份）和不可抵赖性（确保某人不能拒绝）他们采取了行动）。

受影响最大的服务价值体系（SVS）活动：

• 计划

• 参与

• 获取/构建

• 设计以及过渡

• 交付和支持

• 改进

所需的安全性是通过策略、流程、行为、风险管理和控制手段建立的，必须在以下各项之间保持平衡：

在保护组织免受损害与允许组织创新之间取得平衡也很重要。过于严格的信息安全控制可能弊大于利，或者可能被试图使工作更轻松的人们规避。信息安全控制措施应考虑组织的各个方面，并与组织的风险承受能力保持一致。

信息安全管理与其他所有实践相互作用。它创建了每个练习在计划工作方式时必须考虑的控件。它还依赖于其他实践来帮助保护信息。

信息安全管理必须基于清楚理解的治理要求和组织策略，从组织的最高层开始。大多数组织都有专门的信息安全团队，该团队进行风险评估并定义策略，过程和控制。在高速环境中，信息安全已尽可能集成到开发和运营的日常工作中，从而将对过程控制的依赖转移到验证专门知识和完整性等前提条件上。

信息安全严重取决于整个组织中人员的行为。经过良好培训并注意信息安全策略和其他控制措施的员工可以帮助检测，预防和纠正信息安全事件。训练有素或工作动力不足的员工可能是一个主要漏洞。

支持信息安全管理需要许多流程和步骤。这些包括：

• 信息安全事件管理流程

• 风险管理流程

• 控制评审和审核流程

• 身份和访问管理流程

• 事件管理

• 渗透测试、漏洞扫描等步骤。

• 用于管理与信息安全有关的变更（例如防火墙配置更改）的步骤。

划出信息安全管理实践基础要点：

l 机密性、完整性、可用性、以及不可否认性。

l 保持预防、检测、纠正之间的平衡，兼顾风险偏好。

l 将信息安全集成到日常开发与运营中，注意培训员工。

l 审计流程、渗透测试、漏洞扫描、身份与访问管理。

ITIL4培训认证服务正式上线了，参与以下活动培训费直减千元，扫描图片中的二维码回复‘培训’参与。点击阅读原文查看详细