ITIL 4 信息安全管理实践指南（2023版）精华内容速览

一、基本信息与目的

信息安全管理实践的主要目的是保护组织开展业务所需的信息。这包括理解和管理信息的机密性、完整性和可用性风险，以及处理信息安全的其他方面，如身份验证和不可否认性。随着数字化转型的推进，信息安全管理实践变得日益重要，因为数字服务的增长和云解决方案的更广泛使用创造了新的关键依赖性，而信息安全违规可能对组织的业务产生重大影响。

二、关键术语与概念

1. 安全特性

• 保密性：防止未经授权的实体披露或获取信息。

• 可用性：确保信息能在需要时被使用的特性。

• 完整性：确保信息准确且只能由授权人员和活动修改的保证。

• 身份验证：验证显示或声称为真的特性或属性实际上是真的。

• 不可否认性：提供不可否认的证据证明指控事件发生，或指控行为由特定实体执行。

2. 资产、威胁与漏洞

• 资产：对组织有价值的任何事物。

• 威胁：可能对资产产生负面影响的任何潜在事件。

• 威胁行为者：构成威胁的任何人或组织。

• 漏洞：资产或控制中可能被威胁利用的任何弱点。

三、实践成功因素

1. 制定和管理信息安全政策和计划

组织需要制定和维护信息安全政策和计划，以维持所需的信息安全水平。这些政策和计划应适用于组织内的每个人，并可能涉及服务消费者、供应商和合作伙伴。

2. 减轻信息安全风险

识别、分析和管理信息安全风险。这包括确定风险控制措施，以及在预防、检测和纠正之间取得平衡。

3. 演练和测试信息安全管理计划

未经测试的计划很少能按预期工作。定期测试确保计划和控制在实践中有效，并能发现需要改进的地方。

4. 将信息安全嵌入服务价值系统的各个方面

信息安全管理实践必须嵌入到服务价值系统的各个部分，包括指导原则、治理、服务价值链和价值流、实践以及持续改进。

四、流程和活动

信息安全管理实践形成四个主要流程：

1. 信息安全规划和实施流程

• 分析组织策略和环境

• 定义并同意信息安全政策

• 进行信息安全风险评估

• 定义并同意信息安全控制和计划

• 传达信息安全政策并在组织中实施信息安全控制和计划

2. 信息安全控制测试和演练流程

• 规划测试和演练

• 准备测试和演练

• 执行测试和演练

• 审查测试和演练

3. 安全事件管理流程

• 检测和分配

• 分类和分析

• 控制和恢复

• 信息安全事件审查

4. 信息安全评估和审查流程

• 识别业务、技术或威胁环境的变化

• 识别缺失的控制

• 评估控制有效性

• 创建评估报告

五、组织和人员

1. 首席信息安全官(CISO)

负责组织的整体信息安全战略，确保组织采取平衡的信息安全方法，同时与董事会和其他利益相关者进行战略沟通。

2. 信息安全经理

负责战术和操作层面的信息安全活动，包括制定和实施安全政策、风险评估和管理、安全意识和培训等。

3. 所有角色的安全能力

组织内的每个人都对信息安全管理负有一定责任，可以通过以下方式做出贡献：

• 防止信息安全事件和违规

• 检测信息安全事件和违规

• 纠正信息安全事件和违规

六、信息和技术

1. 信息交换

信息安全管理的有效性基于所使用信息的质量，包括消费者业务流程、服务架构和设计、合作伙伴和供应商信息、监管要求等。

2. 自动化和工具

信息安全管理实践可以从多种自动化解决方案中受益：

• 安全信息和事件管理（SIEM）工具

• 工作流管理和协作工具

• 监控和事态管理工具

• 分析和报告工具

• 工作规划和优先级工具

• 编排系统

• 知识管理工具

七、合作伙伴和供应商

1. 对第三方的依赖

合作伙伴和供应商可能提供关键产品和服务组件，服务提供商需要与合作伙伴和供应商协商并同意信息安全要求。如果供应商访问组织的网络、服务器或其他资源，可能会构成安全风险，需要通过网络隔离、强身份验证和加密以及合同条款来控制。

2. 第三方支持

合作伙伴和供应商也可能提供信息安全服务和解决方案，如漏洞评估、威胁评估、安全事件管理等。专门从事信息安全服务的合作伙伴可能更善于跟踪新的网络威胁并提供可能的补救步骤。

八、实践成功建议

以下是信息安全管理实践成功的建议：

• 将信息安全管理定位为每位员工的责任

• 与客户和合作伙伴密切合作，协调信息安全工作和技术使用

• 评估风险并了解所需的信息安全级别

• 将政策和标准情境化到组织中

• 自动化异常检测，利用模式分析，并建立恢复能力

ITIL 4大师级课程官方授权讲师长河老师原创，末经许可，不得转载