|
|
楼主 |
发表于 2010-9-25 09:39:10
|
显示全部楼层
ITIL如何改进信息安全
by Steven Weil, CISSP, CISA, CBCP
last updated December 22, 2004
原文:http://www.securityfocus.com/infocus/1815
翻译:竹子 2005-3-23
简介
ITIL(Information Technology Infrastructure Library,信息技术基础设施库)是一个用来管理IT服务的指导方针和最佳实践准则库,定义了了集成的和基于过程的方法。 ITIL可以应用于各种不同类型的IT环境。
ITIL得到了世界上越来越多的关注,许多的公司已经采用了ITIL,包括Proctor & Gamble, Washington Mutual, Southwest Airlines, Hershey Foods和Internal Revenue Service。ITIL除了许多公认的益处(如使IT和业务需求相一致、提高服务质量、降低IT服务交付和支持成本)之外,ITIL框架还可以直接(其中专门有一部门描述安全管理过程)或者间接地帮助信息安全专业人员。
本文给出ITIL的综述,然后讨论如何ITIL如何帮助组织实现和管理信息安全的。
ITIL综述
ITIL开始于20世纪80年代,英国政府尝试开发一种方法实现对其拥有的IT资源低成本高效的利用。参考IT专业人员的经验,英国政府发布了一系列最佳实践文档,每个文档描述不同IT过程。从那个时起,ITIL包含了组织、工具、咨询服务、相关框架和出版物(这句话翻译又可能不恰当),目前仍然在不断的发展。最初的44卷的指导方针压缩成了8本核心文档。
通常人们讨论ITIL指的是ITIL服务支持和服务交付部分的文档,包括了一套结构化的最佳实践和标准方法论,针对关键的IT操作过程,包括变更、发布和配置管理,还包括事故、问题、能力和可用性管理。
ITIL强调服务质量,关注如何低成本高效得提供IT服务和支持。在ITIL框架中,组织中的每个需要IT组织提供付费服务的业务部门,称之为“客户”。IT组织被认为是客户的服务提供者。
ITIL定义了IT组织中常见过程的目标、行为、输入和输出。主要关注哪些的过程需要高质量的IT服务;但是ITIL没有详细具体描述如何实现这些过程,因为对不同组织的其实现不同。换句话说,ITIL仅仅告诉组织做什么,而没有给出如何去做。
ITIL框架需要分阶段实施,在一个连续的服务改进过程中添加新的过程。
组织中实施ITIL具有下面的益处:
• IT服务更加面向客户
• IT服务的质量和成本得到更好的控制
• IT组织的结构更加清晰有效
• IT变更更加方便管理
• IT组织内部有一个统一内部沟通框架
• IT过程标准化、集成化
• 定义可见的和可审计的性能指标
ITIL详述
ITIL采用基于过程的方法来管理和提供IT服务,IT行为被分解成过程,每个过程有三个层次:
• 战略: 定义组织的目标和达到该目标的方法;
• 战术: 战略分解成恰当组织结构层次的具体计划,说明要执行哪些过程,需要部署哪些资产以及会产生什么结果;
• 运行: 战术计划得到实施,按时实现战略目标。
ITIL中大量IT过程的具体描述不在本文的范围内。下面给出简单的ITIL过程描述,其中安全管理过程和信息安全密切相关。下面每个领域都是最佳实践的集合:
• 配置管理:关于产品管理的最佳实践(例如:标准化、状态监控、资产识别)。通过识别、控制、维护和验证IT组织的IT基础设施项,这些实践保证了基础设施是一个具有逻辑性的模型。
• 事故管理:关于排除事故尽快恢复IT服务的最佳实践。事故是指会引起IT服务的中断、服务质量降低的事件。这个实践给保证IT服务在发生事故后能尽快的恢复。
• 问题管理:识别导致IT事故的原因,并防止其将来再次发生的最佳实践。这些实践寻求主动的防止事故和问题的发生。
• 变更管理:标准化和IT变更控制实现的最佳实践。这些最佳实践保证变更对IT服务的负面影响最小并且可追踪。
• 发布管理:关于硬件和软件发布的最佳实践。保证只有测试合格的授权软件和硬件版本提供给客户。
• 可用性管理:保持提供给客户的IT服务的可用性的最佳实践,例如:优化维护和设计手段来降低故障的数量。这些最佳实践保证IT基础设施是可靠的、具有弹性和可恢复的。
• 成本管理:理解和管理提供IT服务成本的最佳实践。例如:预算、IT记账和收费。这些最佳实践保证提供的IT服务是有效的、经济的。
• 服务级别管理:保证IT和IT客户之间的协议是具体的和完整的最佳实践。保证IT服务通过协商、监控、报告和审查这一周期得到不断的维护和改进。
另外,还有服务桌面,描述建立和管理和IT服务客户的集中联系点的最佳实践。服务桌面的两个重要的功能是监控事故和与用户通讯。
图1描述了上面的过程,服务桌面作为不同服务管理过程的集中联系点。
图1 ITIL服务管理过程
上述过程的详细信息和服务桌面的功能可以在本文后面的参考文献中找到。
ITIL和信息安全
ITIL保证信息安全措施切实在战略、战术和运行三个层次得到有效的实施。信息安全被认为是一个控制、计划、实施、评估和维护反复的过程。
ITIL把信息安全分解为:
• 策略:组织要达到的总体目标
• 过程:要实现目标采取的行为
• 程序:何人、何时、如何实现目标
• 规程:采取具体行为的规程
ITIL定义信息安全为一个不断的检查和改进的循环过程,如图2所示:
图2 信息安全过程
鉴于一些组织把实施和监控作为一个步骤,ITIL信息安全过程可以描述7个步骤:
1. IT客户通过风险分析识别其安全需求;
2. IT部门分析这些安全需求的可行性,并且把其和组织最小信息安全基线相比较;
3. 客户和IT组织协商确定服务级别协议(SLA),SLA包括以可测量的目标描述的信息安全需求和验证其是否达到的方法。
4. 在IT组织内协商和定义运行级别协议(OLA),详细描述如何提供信息安全服务。
5. 实现和监控SLA和OLA;
6. 定期向客户报告所提供的信息安全服务的有效性和状态;
7. 有必要的条件下更改SLA和OLA。
服务级别协议
SLA是ITIL信息安全过程中一个关键的部分,是一个描述服务级别的书面正式协议,包括IT负责提供的信息安全。SAL应该包括关键的性能指标和性能评价准则,通常SLA中信息安全陈述包括下面几个方面:
• 允许的访问手段
• 允许审计和记录日志
• 物理安全措施
• 用户信息安全培训
• 用户访问授权规程
• 报告和调查信息安全事故
• 期望的报告和审计
上述过程的详细信息和服务桌面的功能可以在本文后面的参考文献中找到。
ITIL和信息安全
ITIL保证信息安全措施切实在战略、战术和运行三个层次得到有效的实施。信息安全被认为是一个控制、计划、实施、评估和维护反复的过程。
ITIL把信息安全分解为:
• 策略:组织要达到的总体目标
• 过程:要实现目标采取的行为
• 程序:何人、何时、如何实现目标
• 规程:采取具体行为的规程
ITIL定义信息安全为一个不断的检查和改进的循环过程,如图2所示:
图2 信息安全过程
鉴于一些组织把实施和监控作为一个步骤,ITIL信息安全过程可以描述7个步骤:
8. IT客户通过风险分析识别其安全需求;
9. IT部门分析这些安全需求的可行性,并且把其和组织最小信息安全基线相比较;
10. 客户和IT组织协商确定服务级别协议(SLA),SLA包括以可测量的目标描述的信息安全需求和验证其是否达到的方法。
11. 在IT组织内协商和定义运行级别协议(OLA),详细描述如何提供信息安全服务。
12. 实现和监控SLA和OLA;
13. 定期向客户报告所提供的信息安全服务的有效性和状态;
14. 有必要的条件下更改SLA和OLA。
服务级别协议
SLA是ITIL信息安全过程中一个关键的部分,是一个描述服务级别的书面正式协议,包括IT负责提供的信息安全。SAL应该包括关键的性能指标和性能评价准则,通常SLA中信息安全陈述包括下面几个方面:
• 允许的访问手段
• 允许审计和记录日志
• 物理安全措施
• 用户信息安全培训
• 用户访问授权规程
• 报告和调查信息安全事故
• 期望的报告和审计
除了SLA和OLA,ITIL定义了其他三个信息安全文档:
• 信息安全策略:ITIL指出信息安全策略应该来高级管理层,包括下面内容:
1. 组织信息安全的目标和范围
2. 信心安全管理的目的和制度
3. 信息安全角色和职责
• 信息安全计划;描述安全策略在一个特定的信息系统和/或业务部门如何实现;
• 信心安全手册:日常的操作文档,给出具体的详细的工作规程。
ITIL改进信息安全的10种途径
ITIL在很多重要的途径来改进组织实施和管理信息安全
1. ITIL给出了信息安全所关注的业务和服务。信心安全经常为误认为是信息系统实现业务功能过程中“成本中心”或者“负担”。采用ITIL,业务过程拥有者和IT来协商信息安全服务,这就保证了服务和业务需求相一致。
2. ITIL使得组织可以在最佳实践的基础上以一种机构化的清晰的方法来规划和实现信息安全。信息安全职员可以从“消防员”的工作方式转变成更加结构化和有计划的工作方式。
3. ITIL通过要求连续检查来保证在需求、环境和威胁变化的情况下,信息安全措施始终保持有效。
4. ITIL把过程和标准(如SLA和OLA)文档化,使得其可以审计和监控。有利于组织理解信息安全规划的有效性和检查与政策法规(如HIPAA或者萨班斯法案)的符合性。
5. ITIL给出了信息安全得以建立的基础(如变更管理、配置管理和事故管理),明显的促进信息安全。例如,不正确的变更管理(服务器错误配置)会导致许多的信息安全问题。
6. ITIL使得信息安全人员用其他组织可以理解的标准术语来讨论信息安全。许多经理不能理解相对底层的详细加密和防火墙规则,但是他们完全可以理解ITIL的概念,例如把信息安全放到定义好的过程中来处理问题,改进服务和维护SLA。ITIL可以帮助经理理解信息安全是一个成功的运行良好的组织中一个重要的部分。
7. 有组织的ITIL框架可以防止盲目的无组织的实施信息安全措施。ITIL需要在IT服务中设计和建立连续的、可测量的信息安全措施,最终节省了时间、金钱和努力。
8. ITIL中要求的报告过程,保证组织管理层有效的得到组织信息安全措施的信息。报告使得管理层能够决策组织所面临的风险。
9. ITIL定义信息安全角色和职责,在安全事故中明确责任和义务。
10. ITIL建立了讨论信息安全的通用语言。信息安全职员可以有效的和内部和外部的业务伙伴进行沟通,例如组织外包安全服务。
实现ITIL
ITIL不开始于IT部门,IT通常由CEO或者CIO启动。但是,作为信息安全专业人员,你可以添加使得ITIL引起高级管理层关注的筹码。随着ITIL框架被广泛的采用,你的组织可能已经在关注ITIL,让你的管理层明白ITIL在信息安全管理上益处,有助于促使他们决定采用ITIL。
实施ITIL需要花费时间和努力。根据组织的规模和复杂程度,实施ITIL可能需要大量的时间和努力。对于许多组织,成功的实施ITIL需要改变其组织文化和需要整个组织雇员参与和承诺。
成功实施ITIL的关键因素:
• 管理层的承诺和参与ITIL实施;
• 分阶段实施;
• 不断培训职员和管理人员;
• 使得ITLE改进服务供应和缩减成本是可见的
• 在ITIL支持工具上足够的投入
结论
信息安全的范围、复杂性和重要性不断增加。一个组织把信息安全建立在粗制滥造和闭门造车的基础上具有很高的风险和无效的。ITIL取而代之以基于最佳实践的标准化的、集成的过程。尽管需要一些时间和努力,ITIL改进组织实现和管理信息安全。
Further Reading
• The Official ITIL Webpages - www.itil.co.uk
• ITIL Service Leadership - www.itil.org
• IT Service Management Forum - www.itsmf.com
• Pink Elephant ITIL Best Practices - www.pinkelephant.com
• ITIL Community Forum - www.itilcommunity.com
About the author
Steven Weil, CISSP, CISA, CBCP is senior security consultant with Seitel Leeds & Associates, a full service consulting firm based in Seattle, WA. Mr. Weil specializes in the areas of security policy development, HIPAA compliance, disaster recovery planning, security assessments, and information security management. He can be reached at sweil@sla.com.
View more articles by Steven Weil on SecurityFocus. |
|
IP卡
狗仔卡
发表于 2010-3-20 20:25:31
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
