文档更改通用管理实践 - 15 信息安全

Summary

• Page properties (1 modified, 0 added, 0 removed)

Details

Page properties

Content

...	...	@@ -25,10 +25,6 @@
25	25
26	26	----
27	27
28		-{{box cssClass="floatinginfobox" title="**Contents**"}}
29		-{{toc/}}
30		-{{/box}}
31		-
32	32	= **1 关于本文件** =
33	33
34	34	本文档提供了信息安全管理的实践指南，它分为五个主要部分，内容包括：
...	...	@@ -39,8 +39,9 @@
39	39	* 支持实践的信息和技术
40	40	* 实践中关于合作伙伴和供应商的注意事项。
41	41
42		-== **1.1ITIL^^®^^4认证方案 ** ==
43	43
	39	+== [[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsFB93.tmp.png]]**1.1ITIL^^®^^4认证方案 ** ==
	40	+
44	44	本文档的选定内容可作为以下课程的一部分进行测试：
45	45
46	46	* **ITIL专家（高速IT）**
...	...	@@ -92,7 +92,7 @@
92	92	确保信息准确无误，并且只能由被授权人员和活动进行修改。
93	93
94	94
95		-不正确的信息可能比根本没有任何信息更糟糕。例如，如果一家银行错误地认为客户的帐户中有大量资金并允许他们提取该笔款项，则该银行可能遭受重大损失。
	92	+[[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wps5DAE.tmp.png]] 不正确的信息可能比根本没有任何信息更糟糕。例如，如果一家银行错误地认为客户的帐户中有大量资金并允许他们提取该笔款项，则该银行可能遭受重大损失。
96	96
97	97	身份验证用于建立人与物的身份
98	98
...	...	@@ -106,6 +106,7 @@
106	106
107	107	* 网站可以使用证书和加密来提供身份验证
108	108
	106	+
109	109	**定义：不可抵赖**
110	110
111	111	提供不可否认的证据，证明非法事态发生，或者非法行为正在进行，并且此事态或行为由特定实体执行。
...	...	@@ -187,6 +187,7 @@
187	187	)))
188	188	|(% style="width:358px" %)监控，发现潜在的安全事件|(% style="width:211px" %)监控和事态管理
189	189
	188	+
190	190	== **​​​​​​​2.4 ​​​​​​​实践成功要素** ==
191	191
192	192	**实践成功要素**
...	...	@@ -203,6 +203,7 @@
203	203	* 执行和测试信息安全管理计划
204	204	* 将信息安全嵌入到服务价值系统的所有方面。
205	205
	205	+
206	206	=== 2.4.1 制定和管理安全信息策略和计划 ===
207	207
208	208	组织制定并维护安全信息策略和计划，以维持所需的安全信息水平。这些计划适用于组织内的每个人，并且有可能涉及服务的使用者，以及供应商和合作伙伴。因此，应该在整个组织内，保持沟通并理解适用的策略和计划。
...	...	@@ -372,7 +372,7 @@
372	372	= **3. 价值流和流程** =
373	373
374	374
375		-== **​​​​​​​3.1 ​​​​​​​价值流量贡献** ==
	375	+== **​​​​​​​3.1 ​​​​​​​价值流量贡献**  ==
376	376
377	377	像任何其他ITIL 管理实践一样，信息安全管理实践也有助于多个价值流。重要的是要记住，价值流永远不会由单个实践形成。信息安全管理实践与其他实践相结合，可以为消费者提供高质量服务。信息安全管理实践为服务价值链的所有活动做出了贡献。图3.1 中显示了信息安全管理实践对服务价值链的贡献。
378	378
...	...	@@ -384,7 +384,7 @@
384	384
385	385	== **​​​​​​​3.2 ​​​​​​​流程** ==
386	386
387		-每个实践可能包含一个或多个流程和活动，它们对于实现该实践的目标可能是必需的。
	387	+[[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsCCBA.tmp.png]]每个实践可能包含一个或多个流程和活动，它们对于实现该实践的目标可能是必需的。
388	388
389	389
390	390	**定义：流程**
...	...	@@ -507,7 +507,6 @@
507	507	|事件后活动|系统和服务被监视以保证威胁已被移除。进行经验教训分析以识别改进机会。事件报告完成创建并适当分享
508	508
509	509
510		-
511	511	=== 3.2.2 审计和评审 ===
512	512
513	513	审计和评审会定期执行并遵循时间表。重大事件或威胁评估或脆弱性评估的发现也可能触发它。
...	...	@@ -545,10 +545,11 @@
545	545	)))
546	546
547	547
	547	+
548	548	(% style="text-align:center" %)
549	549	[[image:1639731110544-225.png]]
550	550
551		-图3.3 审计和评审流程的工作流
	551	+[[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsA789.tmp.jpg]][[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsA78A.tmp.png]]图3.3 审计和评审流程的工作流
552	552
553	553
554	554	图3.3 显示了流程的工作流图。
...	...	@@ -602,7 +602,7 @@
602	602	** 运维活动，例如安全事态监控和安全产品例行检查。
603	603
604	604
605		-=== 4.1.2 信息安全管理中涉及的其他角色 ===
	605	+== 4.1.2 信息安全管理中涉及的其他角色 ==
606	606
607	607	下表4.2 列出了信息安全管理实践中可能涉及的其他角色，以及相关的能力类型和特定技能。
608	608
...	...	@@ -656,7 +656,7 @@
656	656
657	657
658	658
659		-== **​​​​​​​4.2 组织结构和团队** ==
	659	+== **​​​​​​​4.2 [[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wps4D31.tmp.png]]组织结构和团队** ==
660	660
661	661	在拥有专门IT部门的组织中，CISO的角色通常不在IT范围内，以确保实践的范围不仅限于IT。通常，CISO将有许多直接报告人员，他们能够制定策略和流程，执行安全审计并向其他人员提供安全信息指南。
662	662
...	...	@@ -669,6 +669,7 @@
669	669
670	670
671	671
	672	+
672	672	----
673	673
674	674	= **​​​​​​​5. 信息和技术** =
...	...	@@ -720,6 +720,7 @@
720	720
721	721
722	722
	724	+
723	723	----
724	724
725	725	= **7. 重要提醒** =
...	...	@@ -748,7 +748,7 @@
748	748	AXELOS Ltd非常感谢为本指南的开发做出贡献的每一个人。这些实践指南融合了ITIL社区前所未有的热情和反馈。AXELOS特别要感谢以下人员：
749	749
750	750
751		-== **​​​​​​​8.1 ​​​​​​​​​​​​​​作者** ==
	753	+== **​​​​​​​8.1 ​​​​​​​[[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsD957.tmp.png]]作者** ==
752	752
753	753	罗曼·朱拉夫列夫（Roman Jouravlev），斯图尔特·兰斯（Stuart Rance）
754	754