文档更改通用管理实践 - 15 信息安全

由 superadmin 于 2024/12/25, 15:33 最后修改

从版本< 17.1 >

由superadmin编辑
在2021/12/17, 17:09上

到版本

由superadmin编辑
在2021/12/17, 17:06上

< >

修改评论该版本没有评论

Raw
已渲染

Summary

Page properties (1 modified, 0 added, 0 removed)

Details

Page properties

Content

@@ -24,11
          +24,9 @@
  ----
--
  {{box cssClass="floatinginfobox" title="**Contents**"}}
  {{toc/}}
  {{/box}}
--
  = **1  关于本文件** =
  本文档提供了信息安全管理的实践指南，它分为五个主要部分，内容包括：
@@ -39,8
          +39,9 @@
  * 支持实践的信息和技术
  * 实践中关于合作伙伴和供应商的注意事项。
--== **1.1ITIL^^®^^4认证方案 ** ==
++== [[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsFB93.tmp.png]]**1.1ITIL^^®^^4认证方案 ** ==
++
   本文档的选定内容可作为以下课程的一部分进行测试：
  * **ITIL专家（高速IT）**
@@ -92,7
          +92,7 @@
  确保信息准确无误，并且只能由被授权人员和活动进行修改。
--不正确的信息可能比根本没有任何信息更糟糕。例如，如果一家银行错误地认为客户的帐户中有大量资金并允许他们提取该笔款项，则该银行可能遭受重大损失。
++[[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wps5DAE.tmp.png]] 不正确的信息可能比根本没有任何信息更糟糕。例如，如果一家银行错误地认为客户的帐户中有大量资金并允许他们提取该笔款项，则该银行可能遭受重大损失。
  身份验证用于建立人与物的身份
@@ -106,6
          +106,7 @@
  * 网站可以使用证书和加密来提供身份验证
++
  **定义：不可抵赖**
  提供不可否认的证据，证明非法事态发生，或者非法行为正在进行，并且此事态或行为由特定实体执行。
@@ -187,6
          +187,7 @@
  )))
  |(% style="width:358px" %)监控，发现潜在的安全事件|(% style="width:211px" %)监控和事态管理
++
  == **2.4 实践成功要素** ==
  **实践成功要素**
@@ -203,6
          +203,7 @@
  * 执行和测试信息安全管理计划
  * 将信息安全嵌入到服务价值系统的所有方面。
++
  === 2.4.1 制定和管理安全信息策略和计划 ===
  组织制定并维护安全信息策略和计划，以维持所需的安全信息水平。这些计划适用于组织内的每个人，并且有可能涉及服务的使用者，以及供应商和合作伙伴。因此，应该在整个组织内，保持沟通并理解适用的策略和计划。
@@ -277,6
          +277,7 @@
  * 聚焦价值：价值可以通过信息质量中的改进来实现
  * 协作和提升可视化：高层还会考虑信息的保密性。
++
  ==== 2.4.4.2 治理 ====
  治理对于有效的信息安全管理实践至关重要。甚至最小的组织都应当针对以下内容建立本实践的治理：
@@ -286,6
          +286,7 @@
  * 将高层需求传递给管理层
  * 监视组织以确保满足这些需求。
++
  ==== 2.4.4.3 服务价值链和价值流 ====
  每个价值流应包括适当的信息安全管理实践活动。通常，它们将被嵌入到价值流的多个步骤以及服务价值链的多个点中。例如，考虑一个价值流，它创建了一个新的或经过重大变更的服务：
@@ -303,6
          +303,7 @@
  * 向客户和用户发布新的服务（交付和支持）
  * 用户和IT人员需要进行培训，包括安全培训，作为发布的一部分。
++
  ==== 2.4.4.4 实践 ====
  每个实践都需求包含信息安全管理的很多方面。这可能与服务管理四维模型某项有关。
@@ -369,7
          +369,7 @@
  = **3. 价值流和流程** =
--== **3.1 价值流量贡献** ==
++== **3.1 价值流量贡献**    ==
  像任何其他ITIL 管理实践一样，信息安全管理实践也有助于多个价值流。重要的是要记住，价值流永远不会由单个实践形成。信息安全管理实践与其他实践相结合，可以为消费者提供高质量服务。信息安全管理实践为服务价值链的所有活动做出了贡献。图3.1 中显示了信息安全管理实践对服务价值链的贡献。
@@ -381,7
          +381,7 @@
  == **3.2 流程** ==
--每个实践可能包含一个或多个流程和活动，它们对于实现该实践的目标可能是必需的。
++[[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsCCBA.tmp.png]]每个实践可能包含一个或多个流程和活动，它们对于实现该实践的目标可能是必需的。
  **定义：流程**
@@ -400,6
          +400,7 @@
  * 安全事件管理
  * 审计和评审。
++
  === 3.2.1 安全事件管理 ===
  安全事件有很多不同的类型。范围从单个客户设备受病毒影响，到对国家基础设施造成严重损害，或严重破坏高度敏感信息的攻击。
@@ -539,10
          +539,12 @@
  审计报告
  )))
++
++
  (% style="text-align:center" %)
  [[image:1639731110544-225.png]]
--图3.3 审计和评审流程的工作流
++[[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsA789.tmp.jpg]][[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsA78A.tmp.png]]图3.3 审计和评审流程的工作流
  图3.3 显示了流程的工作流图。
@@ -595,8
          +595,9 @@
  ** 为采购、开发，测试，部署定义标准和指南并持续管理具有安全影响的基础架构和应用程序，例如服务器，操作系统，SaaS产品，内部应用程序，中间件和客户设备
  ** 运维活动，例如安全事态监控和安全产品例行检查。
--=== 4.1.2 信息安全管理中涉及的其他角色 ===
++== 4.1.2 信息安全管理中涉及的其他角色 ==
++
  下表4.2 列出了信息安全管理实践中可能涉及的其他角色，以及相关的能力类型和特定技能。
  表4.2 负责信息安全管理的角色示例活动
@@ -649,7
          +649,7 @@
--== **4.2 组织结构和团队** ==
++== **4.2 [[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wps4D31.tmp.png]]组织结构和团队** ==
   在拥有专门IT部门的组织中，CISO的角色通常不在IT范围内，以确保实践的范围不仅限于IT。通常，CISO将有许多直接报告人员，他们能够制定策略和流程，执行安全审计并向其他人员提供安全信息指南。
@@ -661,6
          +661,8 @@
  * 所有员工都必须知晓检测常见安全攻击的责任，并知道如何应对这些攻击。
++
++
  ----
  = **5. 信息和技术** =
@@ -711,6
          +711,8 @@
  * 具有定期审核的合同条款：确保供应商理解对他们的期望并满足这些期望。
++
++
  ----
  = **7. 重要提醒** =
@@ -739,7
          +739,7 @@
  AXELOS Ltd非常感谢为本指南的开发做出贡献的每一个人。这些实践指南融合了ITIL社区前所未有的热情和反馈。AXELOS特别要感谢以下人员：
--== **8.1 作者** ==
++== **8.1 [[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wpsD957.tmp.png]]作者** ==
   罗曼·朱拉夫列夫（Roman Jouravlev），斯图尔特·兰斯（Stuart Rance）

粤ICP备17056641号

深圳市艾拓先锋企业管理咨询有限公司