客服热线:
手机版
二维码
ISO20000认证体系信息安全管理的控制
ISO20000认证体系信息安全管理的控制
怎样实施ISO20000认证体系信息安全管理的控制呢?本篇摘要介绍ISO20000认证体系信息安全管理内容、概念、要求和信息安全控制以供实施ISO20000认证体系企业参考。
ISO20000认证体系信息安全管理要求内容 INTENT OF THEREQUIREMENTS
信息安全管理过程应确保信息安全控制措施能保护信息资产,同时,新的和变更的服务的设计与转换应考虑信息安全需求。
ISO20000认证体系信息安全管理概念 CONCEPTS
信息安全应是一系列方针和程序的结果,以识别、控制和保护组织的信息以及在存储、传送和处理过程中所需的资源。
管理层应明确清晰且明确的信息安全管理目标,并与业务需求相一致。
服务提供者应根据信息资产的价值、机密性或业务影响对其进行分类。对于每类资产,服务提供者和顾客应明确并达成风险可接受等级。
ISO20000认证体系信息安全管理要求说明 EXPLANATION OFREQUIREMENTS
ISO20000认证体系信息安全政策Information security policy
服务需求、法律法规要求和和合同要求是形成信息安全方针的基础。方针应指导物理的、管理的和技术的信息安全控制措施的使用以保护信息资产的安全,如机密性、完整性和可访问性。同时,方针应由对SMS和服务负责的管理人员批准。
信息安全策略的范围应包含但不限于必需的物理的、管理的和技术的控制,以确保SMS范围内信息资产的机密性、完整性和可访问性。信息安全方针的范围可能超越SMS的范围以满足业务需求。
管理层应确保个人、顾客供应商和内部团队不仅能充分理解方针的内容,并且要对坚持遵守方针的重要性予以毫无疑问。
管理层还应确保信息安全方针作为风险评估和信息安全审计时的一部分。
信息安全方针应为制定风险接受准则和管理所识别的信息安全风险提供指导,如口令管理。
信息安全方针应确保定期执行信息安全内部审核,如信息安全漏洞,新的和变更的服务的部署。
信息安全方针应确保对信息安全审核结果进行定期评审,以识别信息安全改进机会。如,改正在信息安全审核中发现的弱点。
注:具备专业信息安全职责的人员会发现熟悉ISO/IEC27002,Informationtechnology—Securitytechniques—Codeofpracticeforinformationsecuritymanagement.是很有协助的。此国际标准包含关于安全策略的内容。
ISO20000认证体系信息安全控制Information securitycontrols
信息安全控制应保证实现信息安全管理目标,同时管理信息安全风险。信息安全控制包含物理控制、管理控制或技术控制。
服务提供者应确保控制控制措施文件化,且描述了相关风险及风险应对策略。服务提供者也应明确评审控制的权限和责任,及评审周期。服务提供者也应明确信息安全控制以管理必须访问、使用或管理组织信息或服务的外部组织或个人。
ISO20000认证项目背景介绍
IT组织从产生到发展的较长一段阶段,一直是以搞好技术,做好技术支持配角为特征的。但今日的信息系统已不单纯是企业的技术支撑,信息化由"技术驱动"向"业务驱动"转变,IT部门的角色也逐步开始从单纯的信息技术提供者向信息服务供应者转换,职能的转变,客观上也要求信息管理向IT服务管理模式转变。
随着IT技术的发展,越来越多的组织基于IT技术构筑自己的价值链,必须IT来支持和支撑组织的运行,IT构架已经成为影响组织生存的关键要素,特别是对于银行、证券、保险、电信等高度依赖信息技术的组织。并且随着逐年IT的投入,建设了大量的软硬件系统,对顾客要求的提高,对故障发生的恐惧,对投入成本逐年增加的不安,都促使现在的组织要采取措施规范IT服务的管理。
在产品生产过程中,必须遵循一定的质量控制标准(如ISO9000系列标准),能够确保产品的质量保持较高的水准(如较高的产品合格率),同时也能够降低产品制造成本。而对于服务提供(运营)过程而言,遵循相关的服务管理标准(如ISO20000)能够实现服务运营的输入(Inputs)和生产流程(ProCEss)的标准化。仅有将过程标准化了,才能保证最终的服务质量和成本符合预定的标准,才能实现过程控制,从而达到质量控制的目标。
在传统的IT管理模式下,IT部门是作为技术支持的角色被动地存在的,而在新的IT服务管理模式下,IT部门是作为1个主动的服务提供者向其顾客和用户(企业的业务部门)提供赖以支撑组织业务运作的IT服务,IT部门和IT外包商往往必须向顾客提供服务目录(SC)并和顾客签订正式的服务级别协议(SLA)。
目前,全球的IT服务业正逐渐走向专业化和外包化。随着企业和政府组织的业务运作越来越依赖于IT,越来越多的组织考虑将其IT服务运营外包给专业的IT服务提供商或对内部的IT支持部门提出更明确的服务要求,以确保提高服务质量,降低服务成本,降低因IT服务中断所导致的业务风险。
怎样控制这个IT服务的整体风险(无论是内部还是外部),提高IT的整体服务水平是1个必须高度重视的问题,而ISO/IEC20000就是解决该问题的1个很好的指南。
