文档更改通用管理实践 - 15 信息安全

Summary

• Page properties (1 modified, 0 added, 0 removed)

Details

Page properties

Content

...	...	@@ -24,9 +24,11 @@
24	24
25	25
26	26	----
	27	+
27	27	{{box cssClass="floatinginfobox" title="**Contents**"}}
28	28	{{toc/}}
29	29	{{/box}}
	31	+
30	30	= **1 关于本文件** =
31	31
32	32	本文档提供了信息安全管理的实践指南，它分为五个主要部分，内容包括：
...	...	@@ -37,9 +37,8 @@
37	37	* 支持实践的信息和技术
38	38	* 实践中关于合作伙伴和供应商的注意事项。
39	39
	42	+== **1.1ITIL^^®^^4认证方案 ** ==
40	40
41		-== [[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsFB93.tmp.png]]**1.1ITIL^^®^^4认证方案 ** ==
42		-
43	43	本文档的选定内容可作为以下课程的一部分进行测试：
44	44
45	45	* **ITIL专家（高速IT）**
...	...	@@ -55,7 +55,7 @@
55	55
56	56	== **2.1** **目的和描述** ==
57	57
58		- [[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wps5D9B.tmp.png]]信息安全成为一项越来越重要又困难的任务。信息安全管理实践在数字化转型的背景下越来越重要。这是由于跨行业数字化服务的增长，在这种情况下安全信息泄露可能会对组织的业务产生重大影响。云解决方案的更广泛使用，以及合作伙伴和服务消费者的数字化服务更广泛集成产生了新的关键依赖关系，而控制信息如何被收集，存储，共享和使用的能力却有限。合作伙伴和服务使用者的处境相同，通常会在数据保护和信息安全解决方案上进行投入。但是，组织之间完整性和一致性的缺失产生了新的漏洞，需要了解和处理。信息安全管理实践与其他实践（包括：可用性管理，容量和性能管理，信息安全管理，风险管理，服务设计，关系管理，架构管理，供应商管理和其他规范）结合在一起，可确保组织的产品和服务满足所有相关方要求的信息安全级别。
	59	+ ​​​​​​​信息安全成为一项越来越重要又困难的任务。信息安全管理实践在数字化转型的背景下越来越重要。这是由于跨行业数字化服务的增长，在这种情况下安全信息泄露可能会对组织的业务产生重大影响。云解决方案的更广泛使用，以及合作伙伴和服务消费者的数字化服务更广泛集成产生了新的关键依赖关系，而控制信息如何被收集，存储，共享和使用的能力却有限。合作伙伴和服务使用者的处境相同，通常会在数据保护和信息安全解决方案上进行投入。但是，组织之间完整性和一致性的缺失产生了新的漏洞，需要了解和处理。信息安全管理实践与其他实践（包括：可用性管理，容量和性能管理，信息安全管理，风险管理，服务设计，关系管理，架构管理，供应商管理和其他规范）结合在一起，可确保组织的产品和服务满足所有相关方要求的信息安全级别。
59	59
60	60	许多组织认为信息安全管理实践是广义安全管理的特定分支。在服务经济中，每个组织的业务都是由服务驱动和数字化赋能的。这会带来策略更紧密的整合，因为，安全管理更关注数字化服务和信息的安全。在数字化转型消除了IT管理和业务管理边界的情形下，这种整合变为可能并发挥作用。（有关此主题的更多信息，请参见ITIL®4：高速IT）。
61	61
...	...	@@ -91,7 +91,7 @@
91	91	确保信息准确无误，并且只能由被授权人员和活动进行修改。
92	92
93	93
94		-[[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wps5DAE.tmp.png]] 不正确的信息可能比根本没有任何信息更糟糕。例如，如果一家银行错误地认为客户的帐户中有大量资金并允许他们提取该笔款项，则该银行可能遭受重大损失。
	95	+不正确的信息可能比根本没有任何信息更糟糕。例如，如果一家银行错误地认为客户的帐户中有大量资金并允许他们提取该笔款项，则该银行可能遭受重大损失。
95	95
96	96	身份验证用于建立人与物的身份
97	97
...	...	@@ -105,7 +105,6 @@
105	105
106	106	* 网站可以使用证书和加密来提供身份验证
107	107
108		-
109	109	**定义：不可抵赖**
110	110
111	111	提供不可否认的证据，证明非法事态发生，或者非法行为正在进行，并且此事态或行为由特定实体执行。
...	...	@@ -187,7 +187,6 @@
187	187	)))
188	188	|(% style="width:358px" %)监控，发现潜在的安全事件|(% style="width:211px" %)监控和事态管理
189	189
190		-
191	191	== **​​​​​​​2.4 ​​​​​​​实践成功要素** ==
192	192
193	193	**实践成功要素**
...	...	@@ -204,7 +204,6 @@
204	204	* 执行和测试信息安全管理计划
205	205	* 将信息安全嵌入到服务价值系统的所有方面。
206	206
207		-
208	208	=== 2.4.1 制定和管理安全信息策略和计划 ===
209	209
210	210	组织制定并维护安全信息策略和计划，以维持所需的安全信息水平。这些计划适用于组织内的每个人，并且有可能涉及服务的使用者，以及供应商和合作伙伴。因此，应该在整个组织内，保持沟通并理解适用的策略和计划。
...	...	@@ -279,7 +279,6 @@
279	279	* 聚焦价值：价值可以通过信息质量中的改进来实现
280	280	* 协作和提升可视化：高层还会考虑信息的保密性。
281	281
282		-
283	283	==== 2.4.4.2 治理 ====
284	284
285	285	治理对于有效的信息安全管理实践至关重要。甚至最小的组织都应当针对以下内容建立本实践的治理：
...	...	@@ -289,7 +289,6 @@
289	289	* 将高层需求传递给管理层
290	290	* 监视组织以确保满足这些需求。
291	291
292		-
293	293	==== 2.4.4.3 服务价值链和价值流 ====
294	294
295	295	每个价值流应包括适当的信息安全管理实践活动。通常，它们将被嵌入到价值流的多个步骤以及服务价值链的多个点中。例如，考虑一个价值流，它创建了一个新的或经过重大变更的服务：
...	...	@@ -307,7 +307,6 @@
307	307	* 向客户和用户发布新的服务（交付和支持）
308	308	* 用户和IT人员需要进行培训，包括安全培训，作为发布的一部分。
309	309
310		-
311	311	==== 2.4.4.4 实践 ====
312	312
313	313	每个实践都需求包含信息安全管理的很多方面。这可能与服务管理四维模型某项有关。
...	...	@@ -374,7 +374,7 @@
374	374	= **3. 价值流和流程** =
375	375
376	376
377		-== **​​​​​​​3.1 ​​​​​​​价值流量贡献**  ==
	372	+== **​​​​​​​3.1 ​​​​​​​价值流量贡献** ==
378	378
379	379	像任何其他ITIL 管理实践一样，信息安全管理实践也有助于多个价值流。重要的是要记住，价值流永远不会由单个实践形成。信息安全管理实践与其他实践相结合，可以为消费者提供高质量服务。信息安全管理实践为服务价值链的所有活动做出了贡献。图3.1 中显示了信息安全管理实践对服务价值链的贡献。
380	380
...	...	@@ -386,7 +386,7 @@
386	386
387	387	== **​​​​​​​3.2 ​​​​​​​流程** ==
388	388
389		-[[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsCCBA.tmp.png]]每个实践可能包含一个或多个流程和活动，它们对于实现该实践的目标可能是必需的。
	384	+每个实践可能包含一个或多个流程和活动，它们对于实现该实践的目标可能是必需的。
390	390
391	391
392	392	**定义：流程**
...	...	@@ -405,7 +405,6 @@
405	405	* 安全事件管理
406	406	* 审计和评审。
407	407
408		-
409	409	=== 3.2.1 安全事件管理 ===
410	410
411	411	安全事件有很多不同的类型。范围从单个客户设备受病毒影响，到对国家基础设施造成严重损害，或严重破坏高度敏感信息的攻击。
...	...	@@ -508,7 +508,6 @@
508	508	)))
509	509	|事件后活动|系统和服务被监视以保证威胁已被移除。进行经验教训分析以识别改进机会。事件报告完成创建并适当分享
510	510
511		-
512	512	=== 3.2.2 审计和评审 ===
513	513
514	514	审计和评审会定期执行并遵循时间表。重大事件或威胁评估或脆弱性评估的发现也可能触发它。
...	...	@@ -545,12 +545,10 @@
545	545	审计报告
546	546	)))
547	547
548		-
549		-
550	550	(% style="text-align:center" %)
551	551	[[image:1639731110544-225.png]]
552	552
553		-[[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsA789.tmp.jpg]][[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsA78A.tmp.png]]图3.3 审计和评审流程的工作流
	544	+图3.3 审计和评审流程的工作流
554	554
555	555
556	556	图3.3 显示了流程的工作流图。
...	...	@@ -603,9 +603,8 @@
603	603	** 为采购、开发，测试，部署定义标准和指南并持续管理具有安全影响的基础架构和应用程序，例如服务器，操作系统，SaaS产品，内部应用程序，中间件和客户设备
604	604	** 运维活动，例如安全事态监控和安全产品例行检查。
605	605
	597	+=== 4.1.2 信息安全管理中涉及的其他角色 ===
606	606
607		-== 4.1.2 信息安全管理中涉及的其他角色 ==
608		-
609	609	下表4.2 列出了信息安全管理实践中可能涉及的其他角色，以及相关的能力类型和特定技能。
610	610
611	611	表4.2 负责信息安全管理的角色示例活动
...	...	@@ -658,7 +658,7 @@
658	658
659	659
660	660
661		-== **​​​​​​​4.2 [[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wps4D31.tmp.png]]组织结构和团队** ==
	651	+== **​​​​​​​4.2 组织结构和团队** ==
662	662
663	663	在拥有专门IT部门的组织中，CISO的角色通常不在IT范围内，以确保实践的范围不仅限于IT。通常，CISO将有许多直接报告人员，他们能够制定策略和流程，执行安全审计并向其他人员提供安全信息指南。
664	664
...	...	@@ -669,9 +669,6 @@
669	669	* 服务台工作人员必须能够识别安全事件，并根据组织的安全策略和安全事件响应计划采取适当行动。
670	670	* 所有员工都必须知晓检测常见安全攻击的责任，并知道如何应对这些攻击。
671	671
672		-
673		-
674		-
675	675	----
676	676
677	677	= **​​​​​​​5. 信息和技术** =
...	...	@@ -721,9 +721,6 @@
721	721	* 强身份验证和加密功能：防止供应商访问敏感的数据和系统
722	722	* 具有定期审核的合同条款：确保供应商理解对他们的期望并满足这些期望。
723	723
724		-
725		-
726		-
727	727	----
728	728
729	729	= **7. 重要提醒** =
...	...	@@ -752,7 +752,7 @@
752	752	AXELOS Ltd非常感谢为本指南的开发做出贡献的每一个人。这些实践指南融合了ITIL社区前所未有的热情和反馈。AXELOS特别要感谢以下人员：
753	753
754	754
755		-== **​​​​​​​8.1 ​​​​​​​[[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsD957.tmp.png]]作者** ==
	739	+== **​​​​​​​8.1 ​​​​​​​​​​​​​​作者** ==
756	756
757	757	罗曼·朱拉夫列夫（Roman Jouravlev），斯图尔特·兰斯（Stuart Rance）
758	758