信息安全在向更高层次的范畴延伸。首先,概念上从信息安全基础建设提升到了信息安全管理,由IATF框架、13335标准、等级化保护等引领而来的本土化安全管理体系,使信息安全理念拓展到整个企业IT架构的组织安全;其次,相对于商业风险而言,剥离用户在企业层面的技术风险,帮助用户解决的不再仅仅是与业务紧密相关的信息安全问题。通过用户的技术风险与商业风险的管控结合,也能实现企业业务发展的安全风险管理。
实践证明,ITIL(英文全拼Information Technology Infrastructure Library, IT基础架构库)基于实践的、标准化的、集成的过程和理论方法,有助于用户实现组织改进和信息安全管理。
在完成信息安全基础设施的配套和安全标准的制定后,信息安全管理者将面对以下问题:首先是对安全事件的管理。对于一个企业或者机构来讲,指定期限内发生的信息安全事故的数量、问题类型的描述、造成的影响、处理解决耗时和金钱代价等问题至关重要,不仅能够正确说明潜在的安全需求,甚至直接决定未来信息安全的预算。其次是对安全变更的管理。大型企业和机构的IT建设是一个庞大且复杂的工程,在此之上是更为复杂且不允许停顿的业务系统,无论是硬件设备更换还是软件配置更新,任何一个缺乏变更登记、日志、授权、认证管理的系统变化,都将给企业带来安全风险甚至灾难。再次是对安全问题的管理。IT系统建设本身就是一个不断调试优化的过程,信息安全问题的发现、处理、解决能力,代表了企业信息化的水平。
根据ITIL理论,出现任何安全问题时,要有服务台做初步响应,对事件做记录和分类。对事件快速处理后,应当将其记录到事件数据库中。ITIL将信息安全分解为4个关键环节:第一是策略,组织要达到的总体目标。第二是过程,实现目标所采取的行为。第三是程序,何人、何时、如何实现目标。第四是规程,采取具体行为的规程。ITIL将信息安全看作是一个控制、计划、实施、评估和维护的反复过程,藉此保证信息安全措施切实在战略、战术和运行三个层次得到有效实施。
ITIL通过很多重要的途径来改进组织实施和优化信息安全管理。第一,ITIL通过要求连续检查来保证在需求、环境和威胁变化的情况下,信息安全措施始终保持有效。第二,ITIL把过程和标准(如SLA和OLA)文档化。第三,ITIL给出了信息安全得以建立的基础(如事件管理、变更管理、问题管理)。第四,ITIL建立了讨论信息安全的通用语言。第五,有组织的ITIL框架可以防止盲目、无组织地实施信息安全措施。
很多企业管理者和信息化构建者都将信息安全看成信息系统实现业务功能过程中的“成本黑洞”。ITIL划清了信息安全服务和企业实际业务的关系,使得业务过程与IT能够协同信息安全服务,保证了服务和业务需求相一致。企业安全管理者也可以解脱出来,成为企业信息安全策略的真正决策者。endprint