yITIL服务设计之信息安全管理

4.6 信息安全管理4.6.1 意图、目的和目标“信息安全管理的目标是使IT安全与业务安全保持一致以保证在所有的服务和服务管理活动中有效地管理信息安全。”需要在公司治理框架内考虑信息安全管理。公司治理是由提供战略方向的董事会和高级管理层执行的责任和实践的集合，为的是保证达到目标、确认风险得到恰当地管理和核查企业资源得到有效利用。信息安全是一项在公司治理框架内的管理活动，为安全活动提供战略方向和保证达到目标。它进一步保证信息安全风险得到恰当地管理和企业信息资源得到合理地利用。信息安全管理的目的是关注IT安全的所有方面和管理所有的IT安全活动。名词“信息”通常是个泛称，包括数据存储、数据库和元数据。信息安全的目标是依托信息、系统和传递信息的通信包含其利益，避免不可用、泄密和不完整所导致的损害。对于绝大多数组织，当出现如下情况时，可以达到安全目标：n 当需要的时候，信息是可用的并且能用的，提供信息的系统能够恰当地抵抗攻击、阻止失败或从失败中恢复（可用性）n 信息只对有权限的人是公开的（机密性）n 信息是完全的、准确的并且免受非法修改（完整性）n 业务处理，和企业之间或合作伙伴之间的信息交换是可信任的（可靠性和不可抵赖性）需要在业务背景下考虑机密性、完整性和可用性的优先级。定义保护什么以及保护级别的主要指导应该来自于业务。为了达到效果，安全应该描述端到端的所有业务流程和覆盖物理和技术的所有方面。只有在业务背景下需求和风险能够定义安全。4.6.2 范围信息安全管理应该是所有IT问题的焦点，必须保证覆盖所有IT系统和服务的可用和不可用情况的信息安全策略得到制定、维护和执行。信息安全管理需要了解整个的IT和业务安全环境，包括：n 业务安全策略和计划n 当前业务运营及其安全要求n 将来业务计划和要求n 法律要求n 服务级别协议（SLA）中所包含的安全义务和责任n 业务和IT风险及其管理了解所有这些能够使信息安全管理保证当前和将来的安全方面和业务风险得到有效地管理。信息安全管理流程应该包括：n 信息安全策略的制定、维护、分发和执行n 对业务当前和将来安全要求及现存业务安全策略和计划的理解n 支持信息安全策略和管理服务、信息、系统相关风险的安全控制的实施n 所有安全控制连同其运维、维护和相关风险的文档n 结合供应商管理，对系统、服务的供应商和合同的管理n 所有系统和服务相关的安全违背和故障的管理n 安全控制、安全风险管理和减少的主动改进n 在所有其他ITSM流程内安全各个方面的集成为了达到有效地信息安全管理，必须建立和维护一个信息安全管理系统来指导全面的信息安全项目的开发和管理以支持业务目标。4.6.3 业务价值信息安全管理保证信息安全策略的维护和执行以符合业务安全策略的需要和公司治理的要求。信息安全管理激发了组织中对所有IT服务和资产的安全需要的意识，保证策略对组织需要是恰当的。信息安全管理管理所有IT和服务管理活动内IT和信息安全的各个方面。信息安全管理通过执行在IT所有领域恰当的安全控制和管理符合业务和公司风险管理流程的IT风险对业务流程提供保证。4.6.4 策略、原则和基本概念审慎的业务实践需要IT流程符合业务流程和目标。对信息安全来说，这是至关重要的，其必须紧密地符合于业务安全和业务需要。另外，IT组织内的所有流程都应该包含安全考虑。高级管理层需要为组织信息负最终责任并对影响其保护内容的问题做出响应。另外，期望董事会能把信息安全作为公司治理的一个完整组成部分。因此，所有的IT服务提供商必须保证他们有完全的信息安全管理策略和必要的安全控制来监控和执行这些策略。4.6.4.1 安全框架信息安全管理流程和框架通常由以下部分组成：n 信息安全策略和具体安全策略描述战略、控制和规定的各个方面n 包含标准、管理流程和指导以支持信息安全策略的信息安全管理系统n 与业务目标、战略和计划紧密相连的全面的安全战略n 有效的安全组织架构n 支持策略的安全控制的集合n 安全风险的管理n 保证承诺和提供反馈的监控流程n 为安全制定地沟通战略和计划n 培训和战略（规划）意识4.6.4.2 信息安全策略信息安全管理活动应该由整体的信息安全策略和支撑的具体的安全策略所关注和驱动。ITP应该为高层经理IT管理提供全部支持，理想状况下应该提供能够和保证。策略应该覆盖符合业务需求的安全的所有方面，并包括：n 整体的信息安全策略n IT资产的可用和不可用的策略n 访问控制策略n 密码控制策略n 邮件策略n 互联网策略n 反病毒策略n 信息分类策略n 文档分类策略n 远程访问策略n 供应商对IT服务、信息和组件的访问策略n 资产处理策略这些策略对所有客户和用户应该是广泛可用的，并在服务级别协议、合同和协定中有所涉及。这些策略应该由业务和IT的高级管理层进行授权，并支持符合策略的活动。所有的安全策略需要得到回顾，必要的时候进行修正，至少一年一次。4.6.4.3 信息安全管理系统安全框架或安全信息管理系统为支持业务目标的成本有效的信息安全项目的制定提供基础。主要涉及4P，即人员（People）、流程（Processes）、产品和技术（Products and technology）、业务伙伴和供应商（Partners and suppliers）来保证高级别的安全。ISO 27001是一个正式的标准，许多组织可能摒弃它而去寻求其信息安全管理系统的独立的验证（意味着组织内系统地和一致地设计、实施、管理、维护和执行信息安全流程和控制）。图4.26中所展示的信息安全管理系统基于多方面的建议和指导，包括ISO27001，并且被广泛地使用。信息安全管理系统框架的五要素如下：（一）控制信息安全管理系统中“控制”要素的目标是：n 在组织中建立一个管理框架来发起和管理信息安全n 建立组织架构来准备、批准和实施信息安全策略n 责任分配n 建立和控制相关文档（2） 计划信息安全管理系统中“计划”要素的目标是基于对组织需要的理解来设计和建议恰当的安全措施。这些来源于业务和服务风险、计划和战略、SLA和OLA、法律的、道德的和社会责任的组织需要被收集起来以便信息安全的使用。其他需要考虑的因素包括，可用资金数量、组织文化和对待安全的态度等。信息安全策略定义了组织对待安全时间的态度和立场。这需要形成组织范围内的文档，不止是IT服务提供者所使用。维护这文档是信息安全经理的责任。（三）实施信息安全管理系统中“实施”要素的目标是保证恰当的步骤、工具和控制措施得到实施来支撑信息安全策略。措施如下：n 资产的经管责任-此时配置管理和配置管理系统是无价的n 信息分类-信息和套件库应该根据敏感度和披露后的影响度来进行分类安全控制措施的成功实施依赖的因素如下：n 与业务需要集成的，清晰而协定的策略的确定n 合理的恰当的并得到高级管理层支持的安全步骤n 安全需求方面有效的营销和教育n 改进机制（4） 评估信息安全管理系统中“评估”要素的目标是：n 监督和检查SLA和OLA中的安全策略和安全要求是否得到遵守n 对IT系统的技术安全定期审核n 如果需要，向外部审核人员提供信息（5） 维护信息安全管理系统中“维护”要素的目标是：n 改进安全协议，例如SLA和OLA中的协议n 改进安全控制措施的实施可以通过使用PDCA循环法（计划-执行-检查-处理）来完成这些目标，这种正式方法在ISO 27001中被建议用来建立信息安全管理系统或安全框架。详见持续性服务改进。安全管理当实施信息安全管理的时候，应该提供六个基本成果：n 战略调整l 安全要求应该由组织要求驱动l 安全解决方案需要符合组织流程l 信息方面的投资应该与组织战略和风险一致n 价值交付l 安全实践的标准集合，例如，伴随最佳实践的基本安全要求l 对产生重大影响和业务效益的领域分配合适的优先顺序和有效分布的努力l 制度化的和商品化的解决方案l 覆盖组织、流程和技术的完全的解决方案l 持续改进的文化n 风险管理l 达成一致的风险介绍l 对风险显露的理解l 对风险管理优先级的意识l 风险消减l 风险接受/顺从n 绩效管理l 定义的、商定的、有意义的度量标准l 测量流程可以帮助识别缺点和对解决问题的进度提供反馈l 独立保证n 资源管理l 可得到的和可用的知识l 文档化的安全流程和实践l 成熟的安全架构以便有效地利用基础架构资源n 业务流程保证4.6.5 活动、方法和技术信息安全管理的意图是保证服务和所有服务管理活动相关的安全方面能够得到恰当地管理和控制以符合业务需要和风险。信息安全管理的主要活动是：n 整体信息安全策略和具体策略的制定、回顾和修订n 安全策略的沟通、实施和执行n 所有信息资产和文档的评估和分类n 安全控制措施和风险评估及响应的实施、回顾、修正和改进n 所有安全违背和主要安全故障的监控和管理n 对安全违背和故障的数量和影响的分析、报告和减少n 安全回顾、审核和渗透测试的安排和完成图4.27展示了这些活动之间的交互。成熟的信息安全管理流程与方法、工具和技术一起构成了安全战略。安全经理应该保证技术、产品和服务是恰当的，还需要保证整体策略得到制定和很好地发布。安全经理还需要为安全架构、认证、权限、管理和恢复负责。安全战略还要考虑怎么样把最佳安全实践移植到业务的各个领域。对整体安全战略的培训和意识是至关重要的，因为安全通常在终端用户层面最薄弱。需要制定方法和流程以使策略和标准能够更加容易地得到跟进和实施。需要分配资源来跟踪支持安全策略的技术和产品。例如，隐私仍然是重要的，并且，随着对管理规定的关注，保护隐私的技术成为重要的技术。4.6.5.1 安全控制信息安全经理必须了解安全并不是服务和系统生命周期中的一个步骤，安全不能够通过技术来解决。相反，信息安全必须作为所有服务和系统的一个完整部分，是一个不间断的过程，需要使用安全控制措施进行持续地管理，如图4.28所示。需要设计安全控制措施来支持和执行信息安全策略以及最小化所有识别的风险。这些控制措施如果在服务设计阶段得到考虑，则会变得更加有效。这可以保证对所有现存服务的持续保护和新服务的启用与信息安全策略保持一致。安全措施可以用在某个具体的阶段以阻止和解决安全故障，如图4.28所示。安全故障并不是由技术威胁单一地引起，统计显示，大量的人为错误（有意地或无意地）或步骤错误通常会对安全、法律或健康等其他领域产生影响。可以识别一下阶段。刚开始，威胁具体化了。威胁可以是中断业务流程或对业务产生消极影响的任何事情。一旦威胁具体化，我们认为发生了安全故障。安全故障可能导致对信息或资产的损害，需要得到修复或改正。需要为某个阶段选择合适的措施，取决于信息的重要性。n 预防的：安全措施用于阻止安全故障的发生。预防措施的最有名的例子是为获得授权的人分配访问权限。这种措施相关的更多要求包括访问权限控制（批准、维护和回收权限）、授权（识别何人可以使用何种工具访问何种信息）、身份认证（确认何人在申请访问）和访问控制（保证只有授权的人员可以访问）。n 减少的：可以采取更进一步的措施以最小化可能发生的损害。有一些减少损害的措施，最熟悉的例子是定期备份和意外计划的制定、测试和维护。n 探测的：如果安全故障发生了，重要的是尽快发现它。一个熟悉的例子就是监控，与报警流程相关联。另一个例子是病毒检测软件。n 抑制的：用于抑制安全故障的持续和重复。例如，多次登陆失败后，暂时冻结账号或网址，或者多次输入错误的个人识别号后会发生吞卡等n 矫正的：使用矫正措施尽可能的修复损害。例如，恢复备份、返回以前的稳定状态（回滚、取消）。回退也可以视为矫正措施。应该维护所有控制措施的文档以正确地反映其操作方式、维护方式和操作方法。4.6.5.2 安全违背和故障的管理万一发生严重的安全违背或故障，在适当的时候进行评估是必要的，用来决定出了什么错、什么引起的错误以及如何在将来避免这种错误。当然，这一流程并不限于严重的安全故障。需要对所有的安全违背和故障进行研究以在整体上充分了解安全措施的效果。需要安全故障的通报流程来评估安全措施的效果和效率。可以从日志文件、审计档案当然还有服务台的故障记录获得帮助。对安全问题的统计分析并结合问题管理，应该导致减少所有安全违背和故障的影响和数量的改进行动。4.6.6 触发、输入、输出和接口许多事件可以触发信息安全管理活动，包括：n 新的或变更的公司治理指导方针n 新的或变更的业务安全策略n 新的或变更的公司风险管理流程和指导方针n 新的或变更的业务需求或服务n 新的或变更的协议中的需求，如SLR、SLA、OLA或合同n 业务和IT计划和战略的回顾、修订n 设计和战略的回顾、修订n 服务或组件安全违背、警告、事件、报警，包括阈值事件、异常报告等n 定期的活动，比如回顾、修订或报告，包括信息安全管理策略、报告、计划的回顾和修订n 对风险变更或业务流程、IT服务（或组件）影响的识别和通知n 其他领域，尤其是协助安全问题的服务级别管理的请求组织内一项信息安全策略的有效果的和有效率的实施在很大程度上依赖于良好的服务管理流程。确实，一些流程的有效实施是安全控制的先决条件。信息安全管理与其他流程的关键接口有：n 故障和问题管理：为安全故障和问题提供解决方案和后续的调整改正措施。故障管理必须有能力识别和处理安全故障。服务台和服务运营人员必须能够“识别”安全故障。n IT服务可持续性管理（ITSCM）：业务影响和风险的评估、弹性设计的规定、失败和恢复机制等。当测试或激活可持续计划的时候，安全变为重大的问题。一项可行的ITSCM计划是ISO 27001的强制要求。n 服务级别管理（SLM）：与服务和组件的安全违背的调查和解决一起，协助决定安全要求、责任和内涵。n 变更管理：信息安全管理协助评估每个变更对安全和安全控制的影响，同时，信息安全管理还未未授权的变更提供信息。n 当调查安全问题的时候，必须考虑法律和人力资源因素。n 配置管理提供准确的资产信息以协助安全分类。准确的配置管理系统为信息安全管理提供非常有用的信息输入。n 安全通常被视为可用性管理的要素，机密性、集成性和可用性正在成为可用性管理和信息安全管理的本质。同时，信息安全管理应该与可用性管理和IT服务可持续性管理一起来指导风险分析和管理实践。n 当选择或引进新技术的时候，容量管理必须考虑安全意义。当采购新技术或软件的时候，安全是重要的考虑因素。n 财务管理应该提供足够的资金来满足安全要求。n 供应商管理应该协助供应商的共同管理及其对服务和系统的访问，还有有关供应商责任的合同包含的条款和条件。4.6.6.1 输入信息安全管理需要从许多领域获得输入信息，包括：n 业务信息：组织业务信息、业务计划、财务计划、当前和将来的需求信息n 公司治理和业务安全策略及指导方针、安全计划、风险分析与响应方面的信息n IT信息：IT战略、计划和当前预算的信息n 服务信息：服务组合、服务目录和SLA（和SLR）中的服务细节信息，SLA的监控信息、SLA服务回顾与违背的信息n 风险分析流程和报告：来自信息安全管理、可用性管理和IT服务持续性管理的信息n 所有安全事件和违背的细节：来自IT和服务管理的所有领域，尤其是故障管理和问题管理的信息n 变更信息：来自于变更管理流程，包含变更安排、评估所有变更对安全策略、计划和控制的影响的需要等信息n 配置管理系统：包含业务、服务和技术之间联系的信息n 业务伙伴和供应商细节：供应商管理和可用性管理对服务和系统进行外部访问的信息4.6.6.2 输出信息安全管理流程的输出可以用于所有领域，输出内容包括：n 一个整体的信息安全管理策略和一系列的具体安全策略n 安全管理信息系统（SMIS），包含所有信息安全管理相关的信息n 修订的安全风险评估流程和报告n 一系列的安全控制措施，包含操作细节、维护细节和相关风险n 安全审核和审核报告n 安全测试安排和计划，包括情境测试、报告等n 安全分类和信息资产分类n 安全违背和主要故障的回顾和报告n 管理业务伙伴和供应商及其对服务和信息的访问的策略、流程和步骤4.6.7 关键性能指标许多的关键性能指标可以用于评估信息安全管理流程和活动的效果与效率。这些指标需要从服务、客户和业务的视角来制定，例如：n 保护业务免受违反安全的损害：l 报告给服务台的安全违背数量减少的百分比l 安全违背和故障产生的影响降低的百分比l SLA中符合安全条款的增加的百分比n 确定符合业务需要的清晰的和商定的策略：不符合业务安全策略的信息安全管理流程减少的数量n 安全措施是可调整的、恰当的并得到高级管理层的支持：l 接受的安全流程数量的增加l 高级管理层增加的支持和承诺n 改进机制：l 对安全流程和控制措施提议改进的数量l 在审核和安全测试期间检测到的安全违背减少的数量n 信息安全是所有IT服务和IT服务管理流程必不可少的一部分：符合安全流程和控制措施的服务和流程增加的数量n 在安全需求、IT员工对支持服务的技术的意识方面的营销和教育l 组织中增加的对安全策略及其内容的意识l 技术的服务目录支持的服务完成度比IT组件增加的百分比l 服务台支持的所有服务4.6.8 信息管理信息安全管理所需的所有信息都应该包含在安全管理信息系统中。它应该包含所有必要的安全控制措施、风险、违背、流程和报告以支持和维护信息安全策略和信息安全管理系统。这些信息应该覆盖所有的IT服务和组件，需要与其他的IT信息管理系统尤其是服务组合和配置管理系统进行集成和得到维护。安全管理信息系统同时安全审核和回顾以及持续性改进活动提供输入信息，还为新系统或服务的设计提供有价值的输入信息。4.6.9 挑战、关键成功因素和风险信息安全管理在建立具有有效支持流程和控制的恰当的信息安全策略时面临许多挑战。最大的挑战之一是保证业务、业务安全和高级管理层提供足够的支持。如果得不到支持，建立一个有效的信息安全管理流程是不可能的。如果有高级IT管理层的支持但是没有业务支持，IT安全控制和风险评估将会受到严重的限制。如果不能在业务之中实施安全策略、流程和控制措施，那么这将是没有意义的。IT服务和资产的主要使用被排除在IT之外，同样，安全威胁和风险的大多数也被排除在IT之外了。在一些组织中，业务（部门）的看法是安全是IT（部门）的责任，所有业务部门认为IT部门应该为IT安全的所有方面负责并且IT服务得到足够地保护。然而，没有业务部门的贡献和支持，投资在昂贵安全控制和流程（procedure）上的资金将会是极大浪费的而且绝大多数是无效的。如果建立了业务安全流程，挑战就变成了需要把信息安全策略与业务安全流程进行集成和保持一致。信息安全管理必须保证可以从业务安全流程获得关于业务的需要、风险、影响度和优先级的准确的信息，并且信息安全管理策略、信息和计划与这些业务保持一致。为了达到这种一致，挑战变成了需要使用严格的变更管理和配置管理控制来对业务和IT变更进行管理和控制来保证一致性。再次强调，这需要业务和高级管理层的支持。对信息安全管理来说，主要的关键成功因素