文档更改通用管理实践 - 15 信息安全

Summary

• Page properties (1 modified, 0 added, 0 removed)

Details

Page properties

Content

...	...	@@ -56,7 +56,7 @@
56	56
57	57	== **2.1** **目的和描述** ==
58	58
59		- ​​​​​​​信息安全成为一项越来越重要又困难的任务。信息安全管理实践在数字化转型的背景下越来越重要。这是由于跨行业数字化服务的增长，在这种情况下安全信息泄露可能会对组织的业务产生重大影响。云解决方案的更广泛使用，以及合作伙伴和服务消费者的数字化服务更广泛集成产生了新的关键依赖关系，而控制信息如何被收集，存储，共享和使用的能力却有限。合作伙伴和服务使用者的处境相同，通常会在数据保护和信息安全解决方案上进行投入。但是，组织之间完整性和一致性的缺失产生了新的漏洞，需要了解和处理。信息安全管理实践与其他实践（包括：可用性管理，容量和性能管理，信息安全管理，风险管理，服务设计，关系管理，架构管理，供应商管理和其他规范）结合在一起，可确保组织的产品和服务满足所有相关方要求的信息安全级别。
	59	+ [[image:file:///C:\Users\19805\AppData\Local\Temp\ksohtml\wps5D9B.tmp.png]]信息安全成为一项越来越重要又困难的任务。信息安全管理实践在数字化转型的背景下越来越重要。这是由于跨行业数字化服务的增长，在这种情况下安全信息泄露可能会对组织的业务产生重大影响。云解决方案的更广泛使用，以及合作伙伴和服务消费者的数字化服务更广泛集成产生了新的关键依赖关系，而控制信息如何被收集，存储，共享和使用的能力却有限。合作伙伴和服务使用者的处境相同，通常会在数据保护和信息安全解决方案上进行投入。但是，组织之间完整性和一致性的缺失产生了新的漏洞，需要了解和处理。信息安全管理实践与其他实践（包括：可用性管理，容量和性能管理，信息安全管理，风险管理，服务设计，关系管理，架构管理，供应商管理和其他规范）结合在一起，可确保组织的产品和服务满足所有相关方要求的信息安全级别。
60	60
61	61	许多组织认为信息安全管理实践是广义安全管理的特定分支。在服务经济中，每个组织的业务都是由服务驱动和数字化赋能的。这会带来策略更紧密的整合，因为，安全管理更关注数字化服务和信息的安全。在数字化转型消除了IT管理和业务管理边界的情形下，这种整合变为可能并发挥作用。（有关此主题的更多信息，请参见ITIL®4：高速IT）。
62	62
...	...	@@ -277,6 +277,7 @@
277	277	* 聚焦价值：价值可以通过信息质量中的改进来实现
278	278	* 协作和提升可视化：高层还会考虑信息的保密性。
279	279
	280	+
280	280	==== 2.4.4.2 治理 ====
281	281
282	282	治理对于有效的信息安全管理实践至关重要。甚至最小的组织都应当针对以下内容建立本实践的治理：
...	...	@@ -286,6 +286,7 @@
286	286	* 将高层需求传递给管理层
287	287	* 监视组织以确保满足这些需求。
288	288
	290	+
289	289	==== 2.4.4.3 服务价值链和价值流 ====
290	290
291	291	每个价值流应包括适当的信息安全管理实践活动。通常，它们将被嵌入到价值流的多个步骤以及服务价值链的多个点中。例如，考虑一个价值流，它创建了一个新的或经过重大变更的服务：
...	...	@@ -303,6 +303,7 @@
303	303	* 向客户和用户发布新的服务（交付和支持）
304	304	* 用户和IT人员需要进行培训，包括安全培训，作为发布的一部分。
305	305
	308	+
306	306	==== 2.4.4.4 实践 ====
307	307
308	308	每个实践都需求包含信息安全管理的很多方面。这可能与服务管理四维模型某项有关。
...	...	@@ -369,7 +369,7 @@
369	369	= **3. 价值流和流程** =
370	370
371	371
372		-== **​​​​​​​3.1 ​​​​​​​价值流量贡献** ==
	375	+== **​​​​​​​3.1 ​​​​​​​价值流量贡献** ==
373	373
374	374	像任何其他ITIL 管理实践一样，信息安全管理实践也有助于多个价值流。重要的是要记住，价值流永远不会由单个实践形成。信息安全管理实践与其他实践相结合，可以为消费者提供高质量服务。信息安全管理实践为服务价值链的所有活动做出了贡献。图3.1 中显示了信息安全管理实践对服务价值链的贡献。
375	375
...	...	@@ -400,6 +400,7 @@
400	400	* 安全事件管理
401	401	* 审计和评审。
402	402
	406	+
403	403	=== 3.2.1 安全事件管理 ===
404	404
405	405	安全事件有很多不同的类型。范围从单个客户设备受病毒影响，到对国家基础设施造成严重损害，或严重破坏高度敏感信息的攻击。
...	...	@@ -502,6 +502,8 @@
502	502	)))
503	503	|事件后活动|系统和服务被监视以保证威胁已被移除。进行经验教训分析以识别改进机会。事件报告完成创建并适当分享
504	504
	509	+
	510	+
505	505	=== 3.2.2 审计和评审 ===
506	506
507	507	审计和评审会定期执行并遵循时间表。重大事件或威胁评估或脆弱性评估的发现也可能触发它。
...	...	@@ -538,6 +538,7 @@
538	538	审计报告
539	539	)))
540	540
	547	+
541	541	(% style="text-align:center" %)
542	542	[[image:1639731110544-225.png]]
543	543
...	...	@@ -594,6 +594,7 @@
594	594	** 为采购、开发，测试，部署定义标准和指南并持续管理具有安全影响的基础架构和应用程序，例如服务器，操作系统，SaaS产品，内部应用程序，中间件和客户设备
595	595	** 运维活动，例如安全事态监控和安全产品例行检查。
596	596
	604	+
597	597	=== 4.1.2 信息安全管理中涉及的其他角色 ===
598	598
599	599	下表4.2 列出了信息安全管理实践中可能涉及的其他角色，以及相关的能力类型和特定技能。
...	...	@@ -659,6 +659,8 @@
659	659	* 服务台工作人员必须能够识别安全事件，并根据组织的安全策略和安全事件响应计划采取适当行动。
660	660	* 所有员工都必须知晓检测常见安全攻击的责任，并知道如何应对这些攻击。
661	661
	670	+
	671	+
662	662	----
663	663
664	664	= **​​​​​​​5. 信息和技术** =
...	...	@@ -708,6 +708,8 @@
708	708	* 强身份验证和加密功能：防止供应商访问敏感的数据和系统
709	709	* 具有定期审核的合同条款：确保供应商理解对他们的期望并满足这些期望。
710	710
	721	+
	722	+
711	711	----
712	712
713	713	= **7. 重要提醒** =