您好,欢迎访问专业IT管理知识分享平台

上传文档

当前位置:首页 > 文章列表 > ITIL 4 知识系列之信息安全管理

「ITIL文章」ITIL 4 知识系列之信息安全管理

ITIL 4 通用管理实践- 信息安全管理

信息安全管理的目的

信息安全管理实践的目的是保护组织开展业务所需的信息。这包括了解和管理信息的机密性、完整性和可用性以及信息安全性的其他方面的风险,例如身份验证(确保某人是他们声称的身份)和不可抵赖性(确保某人不能拒绝)他们采取了行动)。

服务价值流活动

受影响最大的服务价值体系(SVS)活动:

  • 计划

  • 参与

  • 获取/构建

  • 设计以及过渡

  • 交付和支持

  • 改进

所需的安全性是通过策略、流程、行为、风险管理和控制手段建立的,必须在以下各项之间保持平衡:

- Prevention 预防措施确保不会发生安全事件
- Detection 检测快速可靠地检测无法避免的事件
- Correction 纠正措施从发现事件后恢复。


在保护组织免受损害与允许组织创新之间取得平衡也很重要。过于严格的信息安全控制可能弊大于利,或者可能被试图使工作更轻松的人们规避。信息安全控制措施应考虑组织的各个方面,并与组织的风险承受能力保持一致。

信息安全管理与其他所有实践相互作用。它创建了每个练习在计划工作方式时必须考虑的控件。它还依赖于其他实践来帮助保护信息。

信息安全管理必须基于清楚理解的治理要求和组织策略,从组织的最高层开始。大多数组织都有专门的信息安全团队,该团队进行风险评估并定义策略,过程和控制。在高速环境中,信息安全已尽可能集成到开发和运营的日常工作中,从而将对过程控制的依赖转移到验证专门知识和完整性等前提条件上。

信息安全严重取决于整个组织中人员的行为。经过良好培训并注意信息安全策略和其他控制措施的员工可以帮助检测,预防和纠正信息安全事件。训练有素或工作动力不足的员工可能是一个主要漏洞。

支持信息安全管理需要许多流程和步骤。这些包括:

  • 信息安全事件管理流程

  • 风险管理流程

  • 控制评审和审核流程

  • 身份和访问管理流程

  • 事件管理

  • 渗透测试、漏洞扫描等步骤。

  • 用于管理与信息安全有关的变更(例如防火墙配置更改)的步骤。

划出信息安全管理实践基础要点:

l 机密性、完整性、可用性、以及不可否认性。

l 保持预防、检测、纠正之间的平衡,兼顾风险偏好。

l 将信息安全集成到日常开发与运营中,注意培训员工。

l 审计流程、渗透测试、漏洞扫描、身份与访问管理。

ITIL4培训认证服务正式上线了,参与以下活动培训费直减千元,扫描图片中的二维码回复‘培训’参与。点击阅读原文查看详细

更多推荐
ITIL4 知识体系详解及培训开课通知

回复'项目'获取项目管理资料

回复'运维'获取ITI资料/干货

感谢原作者的辛苦创作,如转载涉及版权等问题,我们将在第一时间删除.

联系邮箱:admin@itilzj.com

官方网站:www.itilzj.com

您的在看和转发是我们前进的动力,你在看吗 ?


转载声明:本文转载自「ITIL之家」,搜索「itilzj」即可关注,[阅读原文]。

暂时没有评论,评论一个吧?

您需要登录后才能评论 , 去登录

发表文章

Powered by DS文库

Copyright © 专业IT管理知识分享平台 All Rights Reserved. 鄂ICP备19005274号-1
×
保存成功