ITIL改进信息安全的10种途径

 ITIL 在很多重要的途径来改进组织实施和管理信息安全 ,以下是改进信息安全的10种途径:
   1.  ITIL 给出了信息安全所关注的业务和服务。信息安全经常为误认为是信息系统实现业务 功能过程中“成本中心”或者“负担”。采用ITIL,业务过程拥有者和IT 来协商信息安全服务,这就保证了服务和业务需求相一致。 

   2.  ITIL 使得组织可以在最佳实践的基础上以一种机构化的清晰的方法来规划和实现信息  安全。信息安全职员可以从“消防员”的工作方式转变成更加结构化和有计划的工作方 式。 
   3.  ITIL 通过要求连续检查来保证在需求、环境和威胁变化的情况下,信息安全措施始终保 持有效。 
   4.  ITIL 把过程和标准(如SLA 和OLA)文档化,使得其可以审计和监控。有利于组织理  解信息安全规划的有效性和检查与政策法规(如HIPAA 或者萨班斯法案)的符合性。 

   5.  ITIL 给出了信息安全得以建立的基础(如变更管理、配置管理和事故管理),明显的促  进信息安全。例如,不正确的变更管理(服务器错误配置)会导致许多的信息安全问题。 
   6.  ITIL 使得信息安全人员用其他组织可以理解的标准术语来讨论信息安全。许多经理不能   理解相对底层的详细加密和防火墙规则,但是他们完全可以理解ITIL 的概念,例如把 信息安全放到定义好的过程中来处理问题,改进服务和维护SLA。ITIL 可以帮助经理 理解信息安全是一个成功的运行良好的组织中一个重要的部分。 
   7.  有组织的ITIL 框架可以防止盲目的无组织的实施信息安全措施。ITIL 需要在IT 服务中 设计和建立连续的、可测量的信息安全措施,最终节省了时间、金钱和努力。 
   8.  ITIL 中要求的报告过程,保证组织管理层有效的得到组织信息安全措施的信息。报告使 得管理层能够决策组织所面临的风险。 
   9.  ITIL 定义信息安全角色和职责,在安全事故中明确责任和义务。 
   10.ITIL 建立了讨论信息安全的通用语言。信息安全职员可以有效的和内部和外部的业务伙  伴进行沟通,例如组织外包安全服务。 

实现ITIL :

ITIL不仅仅开始于IT 部门,IT 通常由CEO 或者CIO 启动。但是,作为信息安全专业人员,你可  以添加使得ITIL 引起高级管理层关注的筹码。随着ITIL 框架被广泛的采用,你的组织可能已经  在关注ITIL,让你的管理层明白ITIL 在信息安全管理上益处,有助于促使他们决定采用ITIL。
  实施ITIL 需要花费时间和努力。根据组织的规模和复杂程度,实施ITIL 可能需要大量的时间和努力。对于许多组织,成功的实施ITIL 需要改变其组织文化和需要整个组织雇员参与和承诺。 

成功实施ITIL 的关键因素: 

   * 管理层的承诺和参与ITIL 实施; 

   * 分阶段实施; 

   * 不断培训职员和管理人员; 

   * 使得ITLE 改进服务供应和缩减成本是可见的;

   * 在ITIL 支持工具上足够的投入 

结论 

信息安全的范围、复杂性和重要性不断增加。一个组织把信息安全建立在粗制滥造和闭门造车的  基础上具有很高的风险和无效的。ITIL 取而代之以基于最佳实践的标准化的、集成的过程。尽  管需要一些时间和努力,ITIL 改进组织实现和管理信息安全。

 

你可能感兴趣的:(职场,休闲,ITIL)