yITIL服务设计之信息安全管理.docxVIP

4.6信息平安管理意图、目的和目标 “信息平安管理的目标是使IT平安与业务平安保持一致以保证在所有的服务和服务管理活 动中有效地管理信息平安。” 需要在公司治理框架内考虑信息平安管理。公司治理是由提供战略方向的董事会和高级 管理层执行的责任和实践的集合，为的是保证到达目标、确认风险得到恰当地管理和核查企 业资源得到有效利用。 信息平安是一项在公司治理框架内的管理活动，为平安活动提供战略方向和保证到达目 标。它进一步保证信息平安风险得到恰当地管理和企业信息资源得到合理地利用。信息平安 管理的目的是关注IT平安的所有方面和管理所有的IT平安活动。 名词“信息”通常是个泛称，包括数据存储、数据库和元数据。信息平安的目标是依托 信息、系统和传递信息的通信包含其利益，防止不可用、泄密和不完整所导致的损害。 对于绝大多数组织，当出现如下情况时，可以到达平安目标： 当需要的时候，信息是可用的并且能用的，提供信息的系统能够恰当地抵抗攻 击、阻止失败或从失败中恢复（可用性）信息只对有权限的人是公开的（机密性）信息是完全的、准确的并且免受非法修改（完整性）业务处理，和企业之间或合作伙伴之间的信息交换是可信任的（可靠性和不可 抵赖性） 需要在业务背景下考虑机密性、完整性和可用性的优先级。定义保护什么以及保护级别 的主要指导应该来自于业务。为了到达效果，平安应该描述端到端的所有业务流程和覆盖物 理和技术的所有方面。只有在业务背景下需求和风险能够定义平安。 范 | 信息平安管理应该是所有IT问题的焦点，必须保证覆盖所有IT系统和服务的可用和不 可用情况的信息平安策略得到制定、维护和执行。信息平安管理需要了解整个的IT和业务 平安环境，包括： 业务平安策略和计划当前业务运营及其平安要求将来业务计划和要求法律要求 服务级别协议（SLA）中所包含的平安义务和责任业务和IT风险及其管理 了解所有这些能够使信息平安管理保证当前和将来的平安方面和业务风险得到有效地 管理。 信息平安管理流程应该包括： 信息平安策略的制定、维护、分发和执行平安分类和信息资产分类平安违背和主要故障的回顾和报告管理业务伙伴和供应商及其对服务和信息的访问的策略、流程和步骤 467关键性能指标 许多的关键性能指标可以用于评估信息平安管理流程和活动的效果与效率。这些指标需 要从服务、客户和业务的视角来制定，例如： ■ 保护业务免受违反平安的损害： 报告给服务台的平安违背数量减少的百分比 平安违背和故障产生的影响降低的百分比 SLA中符合平安条款的增加的百分比确定符合业务需要的清晰的和商定的策略：不符合业务平安策略的信息平安管理流程减 少的数量平安措施是可调整的、恰当的并得到高级管理层的支持： 接受的平安流程数量的增加 高级管理层增加的支持和承诺■ 改进机制： 对平安流程和控制措施提议改进的数量 在审核和平安测试期间检测到的平安违背减少的数量信息平安是所有IT服务和IT服务管理流程必不可少的一局部：符合平安流程和控制措 施的服务和流程增加的数量在平安需求、IT员工对支持服务的技术的意识方面的营销和教育 组织中增加的对平安策略及其内容的意识 技术的服务目录支持的服务完成度比IT组件增加的百分比 服务台支持的所有服务信息管理 信息平安管理所需的所有信息都应该包含在平安管理信息系统中。它应该包含所有必要 的平安控制措施、风险、违背、流程和报告以支持和维护信息平安策略和信息平安管理系统。 这些信息应该覆盖所有的IT服务和组件，需要与其他的IT信息管理系统尤其是服务组合和 配置管理系统进行集成和得到维护。平安管理信息系统同时平安审核和回顾以及持续性改进 活动提供输入信息，还为新系统或服务的设计提供有价值的输入信息。 挑战、关键成功因素和风险 信息平安管理在建立具有有效支持流程和控制的恰当的信息平安策略时面临许多挑战。 最大的挑战之一是保证业务、业务平安和高级管理层提供足够的支持。如果得不到支持，建 立一个有效的信息平安管理流程是不可能的。如果有高级IT管理层的支持但是没有业务支 持，IT平安控制和风险评估将会受到严重的限制。如果不能在业务之中实施平安策略、流 程和控制措施，那么这将是没有意义的。IT服务和资产的主要使用被排除在IT之外，同样, 平安威胁和风险的大多数也被排除在IT之外了。 在一些组织中，业务（部门）的看法是平安是IT （部门）的责任，所有业务部门认为 IT部门应该为IT平安的所有方面负责并且IT服务得到足够地保护。然而，没有业务部门 的贡献和支持，投资在昂贵平安控制和流程（procedure）上的资金将会是极大浪费的而且绝 大多数是无效的。 如果建立了业务平安流程，挑战就变成了需要把信息平安策略与业务平安流程进行集成 和保持一致。信息平安管理必须保证可以从业务平安流程获得关于业务的需要、风