ISO IT管理认证专题

network

信息安全发展至今，人们越来越认识到安全管理在整个企业运营管理中的重要性，而作为信息安全管理方面最著名的国际标准——IS0/IEC27001&BS7799，则成为可以指导我们现实工作的最好的参照。IS0/IEC27001&BS7799目前做为国际标准，正迅速被全球所接受。依据ISO27001标准进行信息安全管理体系建设，是当前各行业组织在推动信息安全保护方面最普遍的思路和决策。


标准的起源和发展
    信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：
    BS7799-1，信息安全管理实施规则
    BS7799-2，信息安全管理体系规范。
    第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。
    2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。

标准的主要内容
    ISO/IEC17799-2000（BS7799-1）对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。
    标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。
    信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。
    ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者增加其他附加控制。国际标准化组织（ISO）在2005年对ISO 17799进行了修订，修订后的标准作为ISO 27000标准族的第一部分——ISO/IEC 27001，新标准去掉9点控制措施，新增17点控制措施，并重组部分控制措施而新增一章，重组部分控制措施，关联性逻辑性更好，更适合应用；并修改了部分控制措施措辞。修改后的标准包括11个章节：
    1）安全策略
    2）信息安全的组织
    3）资产管理
    4）人力资源安全
    5）物理和环境安全
    6）通信和操作管理
    7）访问控制
    8）系统系统采集、开发和维护
    9）信息安全事故管理
    10）业务连续性管理
    11）符合性
ISO27001:2005主要内容：
Chapter 0 : 简介 　 ISO27001控制目标和控制措施

Chapter 1 : 范围 安全方针

Chapter 2 : 强制性应用标准 安全组织

Chapter 3 : 术语和定义 资产分类与控制

Chapter 4 : 信息安全管理体系 人员安全 物理与环境安全 通信与运行管理 系统开发与维护

Chapter 5 : 管理责任 访问控制

Chapter 6 : ISMS内部审查 信息安全事件管理

Chapter 7 : ISMS管理评审 业务持续性管理

Chapter 8 : ISMS改善 符 合 性
附件A (强制性)控制目标和控制措施

network

简介　　标准的起源和发展起源发展　　2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。
[编辑本段]
ISO27001认证公司认监委批准的认证公司　　现在国内的认监委对ISO27001认证管控非常严格，至今只允许5家国内认证机构进行认证，分别是，
　　中国信息安全认证中心
　　华夏认证中心
　　中国电子技术标准化研究所
　　上海质量体系审核中心
　　广州赛宝认证中心服务有限公司 到目前为止就这五家全球已经通过ISO27001认证的企业　　到2010年3月底，全球已经通过认证的公司
　　Number of Certificates Per Country
　　

Japan	3480	Saudi Arabia	13	Peru	3
India	495	Singapore	13	Portugal	3
UK	444	Slovenia	13	Argentina	2
Taiwan	385	Netherlands	12	Bosnia Herzegovina	2
China	347	Pakistan	11	Belgium	2
Germany	136	Bulgaria	10	Cyprus	2
Korea	106	Indonesia	10	Isle of Man	2
USA	95	Norway	10	Kazakhstan	2
Czech Republic	85	Russian Federation	10	Morocco	2
Hungary	70	Kuwait	9	Ukraine	2
Italy	60	Sweden	9	Armenia	1
Poland	56	Iran	8	Bangladesh	1
Spain	40	Slovakia	8	Belarus	1
Austria	32	Bahrain	7	Denmark	1
Hong Kong	31	Colombia	7	Dominican Republic	1
Australia	29	Croatia	6	Kyrgyzstan	1
Ireland	29	Switzerland	6	Lebanon	1
Thailand	28	Canada	5	Luxembourg	1
Greece	27	South Africa	5	Macedonia	1
Malaysia	27	Sri Lanka	5	Mauritius	1
Mexico	26	Lithuania	4	Moldova	1
Romania	26	Oman	4	New Zealand	1
Brazil	23	Qatar	4	Sudan	1
Turkey	21	Vietnam	4	Uruguay	1
UAE	19	Chile	3	Yemen	1
Philippines	15	Egypt	3
Iceland	14	Gibraltar	3
France	13	Macau	3	Total	6385

　The total number of ISO/IEC 27001 certificates is now 6385.
[编辑本段]
主要内容标准的主要内容　　ISO/IEC17799-2000（BS7799-1）对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。
　　标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。
　　信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。内容章节　　ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者增加其他附加控制。国际标准化组织（ISO）在2005年对ISO 17799进行了修订，修订后的标准作为ISO 27000标准族的第一部分——ISO/IEC 27001，新标准去掉9点控制措施，新增17点控制措施，并重组部分控制措施而新增一章，重组部分控制措施，关联性逻辑性更好，更适合应用；并修改了部分控制措施措辞。修改后的标准包括11个章节：
　　1）安全策略
　　2）信息安全的组织
　　3）资产管理
　　4）人力资源安全
　　5）物理和环境安全
　　6）通信和操作管理
　　7）访问控制
　　8）系统系统采集、开发和维护
　　9）信息安全事故管理
　　10）业务连续性管理
　　11）符合性ISO27001的效益　　1、通过定义、评估和控制风险，确保经营的持续性和能力
　　2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
　　3、通过遵守国际标准提高企业竞争能力，提升企业形象
　　4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失
　　5、建立安全工具使用方针
　　6、谨防技术诀窍的丢失
　　7、在组织内部增强安全意识
　　8、可作为公共会计审计的证据认识ISO27001国际标准　　ISO27001（BS7799/ISO17799）国际标准究竟是什么？它如何帮助一个组织更加有效地管理信息安全？BS7799/ISO27001和ISO9001之间有什么联系？初次涉猎信息安全管理领域应该掌握哪些内容，以便组织发起信息安全管理项目？如何获得BS7799国际标准认证？IT治理和信息安全　　近年来企业高层对内部治理需求越来越实际而具体。随着信息技术普遍渗透到企业组织中的各个方面，企业越来越依赖IT系统来处理和储存各种信息，以保证业务正常运营，由此IT系统在企业治理中的作z用越来越明晰，IT治理也逐渐被大多数企业认可，成为董事会和企业内部共同关注的领域。IT治理的基础部分是信息安全保护——包括确保信息的可用性、机密性和完整性——这是其他IT治理环节实施的前提。
　　与此同时，和信息安全相关的国际标准已经出台，成为标准IT治理框架中的一大基石。信息安全和法律法规　　业内人士对ISO27001认证趋之若鹜，这其中有两个关键性的驱动因素：一是日益严峻的信息安全威胁，二是不断增长的信息保护相关法规的需求。
　　本质上说，信息安全威胁是全球化的。一般来说，它将毫无差别地辐射到每一个拥有、使用电子信息的机构和个人。这种威胁在因特网的环境中自动生成并释放。更严重的问题是，其他各种形式的危险也在整日威胁数据安全，包括从外部攻击行为到内部破坏、偷盗等一系列危险。
　　过去的十年内，围绕信息和数据安全问题建立起来的法律法规体系从无到有、不断壮大，其中包括专门针对个人数据保护问题的，也有针对企业财政、运营和风险管理体系建立的法规保障问题的。一套正式规范的信息安全管理体系应当可以提供最佳实践部署指导。目前，建立这样的管理体系逐渐成为诸多合规项目的必要条件，与此同时，针对该管理体系的认证逐渐成为各种组织（包括政府部门）的热门需求，这份认证可以为他们带来重要的潜在商业合同。信息安全和技术　　绝大多数人认为信息安全是一个纯粹的有关技术的话题，只有那些技术人员，尤其是计算机安全技术人员，才能够处理任何保障数据和计算机安全的相关事宜。这固然有一定道理。不过，实际上，恰恰是计算机用户本身需要考虑这样的问题：避免哪些威胁？在信息安全和信息通畅中如何平衡取舍？的确如此，一旦用户给出答案，计算机安全专家就可以设计并执行一个技术方案以达成用户需求。
　　在组织内部，管理层应当负责决策，而不是IT部门。一个规范的信息安全管理体系必须明确指出，组织机构董事会和管理层应当负责相关信息安全管理体系的决策，同时，这个体系也应当能够反映这种决策，并且在运行过程中能够提供证据证明其有效性。
　　所以机构组织内部的信息安全管理体系的建立项目不必由一个技术专家来领导。事实上，技术专家在很多情况下起到相反的作用，可能会阻碍项目进程。因此，这个项目应该由质量管理经理、总经理或者其他负责机构内部重大职能的执行主管负责主持。信息安全标准　　1995年，英国标准机构（BSI）发布BS7799标准，即ISMS（信息安全管理体系），旨在规范、引导信息安全管理体系的发展过程和实施情况。BS7799标准被外界认为是一个不偏向任何技术、任何企业和产品供应商的价值中立的管理体系。只要实施得当，BS7799标准将帮助企业检查并确认其信息安全管理手段和实施方案的有效性。
　　从企业外部来看，BS7799关注信息的可用性、机密性和完整性，至今这仍然是这项标准致力达到的目标。BS7799集中关注企业组织层面上的风险规避（一定程度上主要是商业和金融风险），而不包括避免每一个潜在风险的保护措施——尽管它们至关重要。
　　BS7799最初仅有一份文档，且具有明显的实践指南性质。也就是说，它为组织提供信息安全指引，但没有形成规范，不能为外部第三方审计和认证等提供依据。随着越来越多的企业开始认识到来自信息安全的威胁波及范围越来越广，影响程度越来越大，并且关于数据和隐私权保护的法律法规不断出台，信息安全标准认证的需求开始不断增加。
　　这种需求的增加最终促成了该项标准第二部分的出台，即标准规范。实践指南和标准规范之间的关系是这样的：标准规范是认证方案的基础，同时标准规范要求实践者遵从实践指南的指引。
　　这个实践指南最近被修订为ISO/IEC 17799：2005，标准规范也被修订为ISO/IEC 27001:2005，逐步得到国际认同。
　　许多国家也已发布了自己的相关标准，比如AS/NZS7799。这些标准的国际化版本可以在世界任何国家得到认可，这促使了本土化标准的消退（除了基于两个标准号码基础上的本土化标准以外）。认证与遵从　　一个组织可以仅遵从ISO17799来建立和发展ISMS（信息安全管理体系），因为实践指南中的内容是普遍适用的。然而，由于ISO17799并非基于认证框架，它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/EC27001则包含这些具体详尽的管理体系认证要求。在技术层面来讲，这就表明一个正在独立运用ISO17799的机构组织，完全符合实践指南的要求，但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是，一个正在同时运用ISO27001和ISO17799标准的机构组织，可以建立一个完全符合认证具体要求的ISMS，同时这个ISMS体系也符合实践指南的要求，于是，这一组织就可以获得外界的认同，即获得认证。ISO27001认证要求与其他管理标准　　ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。
　　但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权，才能为认证组织提供认证服务，并发放认证证书。大多数国家都有自己的国家鉴定机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。风险评估和风险应对计划　　任何一个ISMS体系的建立和开发都应当满足组织独特的需求。每个组织不仅都有自己独特的业务模式、运营目标、形象特点和内部文化，他们对待风险的态度倾向也大相径庭。换句话说，同一个东西，一个机构组织认为是必须提防的威胁，在另一个组织看来可能是一个必须抓住的机遇。同样地，各个机构组织对于既有风险防护的投入也参差不齐。基于以上或者其他原因，每个运行ISMS的组织，其内部成员必须对风险评估有一个共识，这个风险评估的方法论、结果发现和推荐解决方式都必须得到董事会的首肯。着手准备ISMS项目和PDCA流程　　ISMS项目很复杂，可能持续若干个月甚至若干年，涉及整个机构组织以及从管理层到收发部门的每个成员。ISO27001认证诞生时间短，成功的案例比较少。从务实的角度考虑，这表明在项目计划过程中，必须尽早对这些仅有的指导性的书籍和案例进行分析和研究。
　　ISO27001标准指导一个企业如何着手开展ISMS项目，并且关注整个项目进程中的若干重要元素。
　　1950年W. Edwards Deming提出PDCA流程，即计划（Plan）－执行（Do）－检查（Check）－提升（Act）过程，意在说明业务流程应当是不断改进的，该方法使得职能部门经理可以识别出那些需要修正的环节并进行修正。这个流程以及流程的改进，都必须遵循这样一个过程：先计划，再执行，而后对其运行结果进行评估，紧接着按照计划的具体要求对该评估进行复查，而后寻找到任何与计划不符的结果偏差（即潜在改进的可能性），最后向管理层提出如何运行的最终报告。




扩展阅读：

1.国家批准的公告请参照：

2.http://www.cnas.org.cn/col812/index.htm1?colid=812

3.其中第2010年第9号公告是上海质量体系审核中心

4.第六号是中国电子技术标准化研究所

5.中国信息安全认证中心和华夏的在之前的批准文件中

6.苏州金商科技发展有限公司是专业ISO27001认证咨询机构。

network

阻碍发展的原因永远是相同的，那就是认为"我们现在做的是最好的"。
——质量管理大师久米均先生

随着青岛海尔软件、完美世界有限公司IT部、中电财有限责任公司IT管理部、国家电网通讯有限责任公司、四川凯特信息技术有限公司通过ISO20000，中国大陆已经有82家企业通过了ISO20000认证(见：IT治理网 通过ISO20000的中国大陆企业)。至此，中国大陆已经成为全球通过ISO20000企业最多的国家。       从中国第一家通过ISO20000认证的企业算起，中国企业在5年间借鉴、学习、实践IT服务管理思想并积极开展ISO20000体系的推广。随着国际环境的变化和IT管理理念的深入，最近的5年间形成了一股横扫中国的ISO20000认证热潮。 以IT服务管理体系为核心推广及影响管理的方式应该是一种非常好的事情，这种标准花的方法能够彻底的改变管理活动，将不可预期的工作转变为可预期的工作，使无序的工作有序化，同时由于是国际标准，使得全球采用了相同的IT语言管理和沟通IT服务，为企业挑战全球一体化提供有力的武器。       但是盲从性、不规范的市场使企业产生了视听混淆的情况，IT服务管理的理论界也受到“单一物种”——ITIL及ISO20000的统治。这样的IT服务管理学术氛围对IT服务管理及IT治理的推动和开展是一种焚书坑儒式的镇压。即便是公认标准体系管理也不不能如此依赖，它是一种科学的管理模式，但不能说是最好的，更不是唯一的。       一个标准体系的应用需要企业文化的完全融合和领导强有力的支持，否则体系一旦投入运行后，由于盲从带来的体系自有脆弱点和缺陷便会使体系运行阻力加大、有效性降低甚至出现管理失控、丧失管理的主导权的局面。       而ISO20000体系推广也出现了种种乱象，比如：咨询工作就是出漂亮的报表但是对体系推广没有任何实质性帮助——“华而不实”，不懂ISO20000的要求却直接修改客户现有体系——“颠倒是非”，从未开展过IT服务的企业咨询机构却给个文档修改后草草认证了事——“走马观花”，审核机构直接参与咨询工作——“越俎代庖”，审核机构发放证书不报备权威认可机构——“皇帝新衣”等等案例枚不胜举。这样的标准体系推广认证工作怎能不成为“面子工程”，这样的混乱局面下的ISO20000认证工作又如何获得国内外客户的认同，如何获得国内外业界同仁的尊重？ 因此在面对ISO20000认证热潮的时候，学术界和咨询公司、审核机构需要谆谆善诱，保持IT服务专家应有的冷静和客观，毫不迟疑的为客户指出通过ISO20000的正确目的、体系推广过程、体系本身存在的缺陷、标准为中心的管理可能发生的各种问题，帮助客户树立正确的“IT服务观”、“IT治理观”。       最后中国的IT服务界要清醒的意识到IT服务管理标准的推广只是质量管理发展过程中一个里程碑而已，如何借鉴和发展现有IT服务管理的优秀思想，并将这些思想付诸实践并审视自己不断优化，才真正实现了质量管理的精髓——持续改进。       质量管理大师久米均先生曾经这么评论质量管理，我也将它作为今天我们讨论“ISO20000热”的一句结束词：“阻碍发展的原因永远是相同的，那就是认为‘我们现在做的是最好的’。”

network

ITIL如何改进信息安全
by Steven Weil, CISSP, CISA, CBCP
last updated December 22, 2004
原文：http://www.securityfocus.com/infocus/1815
翻译：竹子 2005-3-23
简介
ITIL（Information Technology Infrastructure Library，信息技术基础设施库）是一个用来管理IT服务的指导方针和最佳实践准则库，定义了了集成的和基于过程的方法。 ITIL可以应用于各种不同类型的IT环境。
ITIL得到了世界上越来越多的关注，许多的公司已经采用了ITIL，包括Proctor & Gamble, Washington Mutual, Southwest Airlines, Hershey Foods和Internal Revenue Service。ITIL除了许多公认的益处（如使IT和业务需求相一致、提高服务质量、降低IT服务交付和支持成本）之外，ITIL框架还可以直接（其中专门有一部门描述安全管理过程）或者间接地帮助信息安全专业人员。
本文给出ITIL的综述，然后讨论如何ITIL如何帮助组织实现和管理信息安全的。
ITIL综述
ITIL开始于20世纪80年代，英国政府尝试开发一种方法实现对其拥有的IT资源低成本高效的利用。参考IT专业人员的经验，英国政府发布了一系列最佳实践文档，每个文档描述不同IT过程。从那个时起，ITIL包含了组织、工具、咨询服务、相关框架和出版物（这句话翻译又可能不恰当），目前仍然在不断的发展。最初的44卷的指导方针压缩成了8本核心文档。
通常人们讨论ITIL指的是ITIL服务支持和服务交付部分的文档，包括了一套结构化的最佳实践和标准方法论，针对关键的IT操作过程，包括变更、发布和配置管理，还包括事故、问题、能力和可用性管理。
ITIL强调服务质量，关注如何低成本高效得提供IT服务和支持。在ITIL框架中，组织中的每个需要IT组织提供付费服务的业务部门，称之为“客户”。IT组织被认为是客户的服务提供者。
ITIL定义了IT组织中常见过程的目标、行为、输入和输出。主要关注哪些的过程需要高质量的IT服务；但是ITIL没有详细具体描述如何实现这些过程，因为对不同组织的其实现不同。换句话说，ITIL仅仅告诉组织做什么，而没有给出如何去做。
ITIL框架需要分阶段实施，在一个连续的服务改进过程中添加新的过程。
组织中实施ITIL具有下面的益处：
•        IT服务更加面向客户
•        IT服务的质量和成本得到更好的控制
•        IT组织的结构更加清晰有效
•        IT变更更加方便管理
•        IT组织内部有一个统一内部沟通框架
•        IT过程标准化、集成化
•        定义可见的和可审计的性能指标
ITIL详述
ITIL采用基于过程的方法来管理和提供IT服务，IT行为被分解成过程，每个过程有三个层次：
•        战略： 定义组织的目标和达到该目标的方法；
•        战术： 战略分解成恰当组织结构层次的具体计划，说明要执行哪些过程，需要部署哪些资产以及会产生什么结果；
•        运行： 战术计划得到实施，按时实现战略目标。
ITIL中大量IT过程的具体描述不在本文的范围内。下面给出简单的ITIL过程描述，其中安全管理过程和信息安全密切相关。下面每个领域都是最佳实践的集合：
•        配置管理：关于产品管理的最佳实践（例如：标准化、状态监控、资产识别）。通过识别、控制、维护和验证IT组织的IT基础设施项，这些实践保证了基础设施是一个具有逻辑性的模型。
•        事故管理：关于排除事故尽快恢复IT服务的最佳实践。事故是指会引起IT服务的中断、服务质量降低的事件。这个实践给保证IT服务在发生事故后能尽快的恢复。
•        问题管理：识别导致IT事故的原因，并防止其将来再次发生的最佳实践。这些实践寻求主动的防止事故和问题的发生。
•        变更管理：标准化和IT变更控制实现的最佳实践。这些最佳实践保证变更对IT服务的负面影响最小并且可追踪。
•        发布管理：关于硬件和软件发布的最佳实践。保证只有测试合格的授权软件和硬件版本提供给客户。
•        可用性管理：保持提供给客户的IT服务的可用性的最佳实践，例如：优化维护和设计手段来降低故障的数量。这些最佳实践保证IT基础设施是可靠的、具有弹性和可恢复的。
•        成本管理：理解和管理提供IT服务成本的最佳实践。例如：预算、IT记账和收费。这些最佳实践保证提供的IT服务是有效的、经济的。
•        服务级别管理：保证IT和IT客户之间的协议是具体的和完整的最佳实践。保证IT服务通过协商、监控、报告和审查这一周期得到不断的维护和改进。
另外，还有服务桌面，描述建立和管理和IT服务客户的集中联系点的最佳实践。服务桌面的两个重要的功能是监控事故和与用户通讯。
图1描述了上面的过程，服务桌面作为不同服务管理过程的集中联系点。

图1  ITIL服务管理过程
上述过程的详细信息和服务桌面的功能可以在本文后面的参考文献中找到。
ITIL和信息安全
ITIL保证信息安全措施切实在战略、战术和运行三个层次得到有效的实施。信息安全被认为是一个控制、计划、实施、评估和维护反复的过程。
ITIL把信息安全分解为：
•        策略：组织要达到的总体目标
•        过程：要实现目标采取的行为
•        程序：何人、何时、如何实现目标
•        规程：采取具体行为的规程
ITIL定义信息安全为一个不断的检查和改进的循环过程，如图2所示：


图2 信息安全过程
鉴于一些组织把实施和监控作为一个步骤，ITIL信息安全过程可以描述7个步骤：
1.        IT客户通过风险分析识别其安全需求；
2.        IT部门分析这些安全需求的可行性，并且把其和组织最小信息安全基线相比较；
3.        客户和IT组织协商确定服务级别协议(SLA)，SLA包括以可测量的目标描述的信息安全需求和验证其是否达到的方法。
4.        在IT组织内协商和定义运行级别协议（OLA），详细描述如何提供信息安全服务。
5.        实现和监控SLA和OLA；
6.        定期向客户报告所提供的信息安全服务的有效性和状态；
7.        有必要的条件下更改SLA和OLA。
服务级别协议
SLA是ITIL信息安全过程中一个关键的部分，是一个描述服务级别的书面正式协议，包括IT负责提供的信息安全。SAL应该包括关键的性能指标和性能评价准则，通常SLA中信息安全陈述包括下面几个方面：
•        允许的访问手段
•        允许审计和记录日志
•        物理安全措施
•        用户信息安全培训
•        用户访问授权规程
•        报告和调查信息安全事故
•        期望的报告和审计
上述过程的详细信息和服务桌面的功能可以在本文后面的参考文献中找到。
ITIL和信息安全
ITIL保证信息安全措施切实在战略、战术和运行三个层次得到有效的实施。信息安全被认为是一个控制、计划、实施、评估和维护反复的过程。
ITIL把信息安全分解为：
•        策略：组织要达到的总体目标
•        过程：要实现目标采取的行为
•        程序：何人、何时、如何实现目标
•        规程：采取具体行为的规程
ITIL定义信息安全为一个不断的检查和改进的循环过程，如图2所示：


图2 信息安全过程
鉴于一些组织把实施和监控作为一个步骤，ITIL信息安全过程可以描述7个步骤：
8.        IT客户通过风险分析识别其安全需求；
9.        IT部门分析这些安全需求的可行性，并且把其和组织最小信息安全基线相比较；
10.        客户和IT组织协商确定服务级别协议(SLA)，SLA包括以可测量的目标描述的信息安全需求和验证其是否达到的方法。
11.        在IT组织内协商和定义运行级别协议（OLA），详细描述如何提供信息安全服务。
12.        实现和监控SLA和OLA；
13.        定期向客户报告所提供的信息安全服务的有效性和状态；
14.        有必要的条件下更改SLA和OLA。
服务级别协议
SLA是ITIL信息安全过程中一个关键的部分，是一个描述服务级别的书面正式协议，包括IT负责提供的信息安全。SAL应该包括关键的性能指标和性能评价准则，通常SLA中信息安全陈述包括下面几个方面：
•        允许的访问手段
•        允许审计和记录日志
•        物理安全措施
•        用户信息安全培训
•        用户访问授权规程
•        报告和调查信息安全事故
•        期望的报告和审计
除了SLA和OLA，ITIL定义了其他三个信息安全文档：
•        信息安全策略：ITIL指出信息安全策略应该来高级管理层，包括下面内容：
1.        组织信息安全的目标和范围
2.        信心安全管理的目的和制度
3.        信息安全角色和职责
•        信息安全计划；描述安全策略在一个特定的信息系统和/或业务部门如何实现；
•        信心安全手册：日常的操作文档，给出具体的详细的工作规程。
ITIL改进信息安全的10种途径
ITIL在很多重要的途径来改进组织实施和管理信息安全
1.        ITIL给出了信息安全所关注的业务和服务。信心安全经常为误认为是信息系统实现业务功能过程中“成本中心”或者“负担”。采用ITIL，业务过程拥有者和IT来协商信息安全服务，这就保证了服务和业务需求相一致。
2.        ITIL使得组织可以在最佳实践的基础上以一种机构化的清晰的方法来规划和实现信息安全。信息安全职员可以从“消防员”的工作方式转变成更加结构化和有计划的工作方式。
3.        ITIL通过要求连续检查来保证在需求、环境和威胁变化的情况下，信息安全措施始终保持有效。
4.        ITIL把过程和标准（如SLA和OLA）文档化，使得其可以审计和监控。有利于组织理解信息安全规划的有效性和检查与政策法规（如HIPAA或者萨班斯法案）的符合性。
5.        ITIL给出了信息安全得以建立的基础（如变更管理、配置管理和事故管理），明显的促进信息安全。例如，不正确的变更管理（服务器错误配置）会导致许多的信息安全问题。
6.        ITIL使得信息安全人员用其他组织可以理解的标准术语来讨论信息安全。许多经理不能理解相对底层的详细加密和防火墙规则，但是他们完全可以理解ITIL的概念，例如把信息安全放到定义好的过程中来处理问题，改进服务和维护SLA。ITIL可以帮助经理理解信息安全是一个成功的运行良好的组织中一个重要的部分。
7.        有组织的ITIL框架可以防止盲目的无组织的实施信息安全措施。ITIL需要在IT服务中设计和建立连续的、可测量的信息安全措施，最终节省了时间、金钱和努力。
8.        ITIL中要求的报告过程，保证组织管理层有效的得到组织信息安全措施的信息。报告使得管理层能够决策组织所面临的风险。
9.        ITIL定义信息安全角色和职责，在安全事故中明确责任和义务。
10.        ITIL建立了讨论信息安全的通用语言。信息安全职员可以有效的和内部和外部的业务伙伴进行沟通，例如组织外包安全服务。
实现ITIL
ITIL不开始于IT部门，IT通常由CEO或者CIO启动。但是，作为信息安全专业人员，你可以添加使得ITIL引起高级管理层关注的筹码。随着ITIL框架被广泛的采用，你的组织可能已经在关注ITIL，让你的管理层明白ITIL在信息安全管理上益处，有助于促使他们决定采用ITIL。
实施ITIL需要花费时间和努力。根据组织的规模和复杂程度，实施ITIL可能需要大量的时间和努力。对于许多组织，成功的实施ITIL需要改变其组织文化和需要整个组织雇员参与和承诺。
成功实施ITIL的关键因素：
•        管理层的承诺和参与ITIL实施；
•        分阶段实施；
•        不断培训职员和管理人员；
•        使得ITLE改进服务供应和缩减成本是可见的
•        在ITIL支持工具上足够的投入
结论
信息安全的范围、复杂性和重要性不断增加。一个组织把信息安全建立在粗制滥造和闭门造车的基础上具有很高的风险和无效的。ITIL取而代之以基于最佳实践的标准化的、集成的过程。尽管需要一些时间和努力，ITIL改进组织实现和管理信息安全。
Further Reading
•        The Official ITIL Webpages - www.itil.co.uk
•        ITIL Service Leadership - www.itil.org
•        IT Service Management Forum - www.itsmf.com
•        Pink Elephant ITIL Best Practices - www.pinkelephant.com
•        ITIL Community Forum - www.itilcommunity.com
About the author
Steven Weil, CISSP, CISA, CBCP is senior security consultant with Seitel Leeds & Associates, a full service consulting firm based in Seattle, WA. Mr. Weil specializes in the areas of security policy development, HIPAA compliance, disaster recovery planning, security assessments, and information security management. He can be reached at sweil@sla.com.
View more articles by Steven Weil on SecurityFocus.