Dołącz do Governautów, zarejestruj się
Załóż konto
Reklama
Drogi użytkowniku!
Wygląda na to, że używasz rozszerzenia blokującego reklamy.
W Governice nie stosujemy nachalnych reklam. Możesz bezpiecznie odblokować je na naszej stronie ;-)
Zarządzanie jakością IT, systemy informatyczne, oprogramowanie biznesowe i inżynieria oprogramowania – to przykładowe zagadnienia, którym poświęcony jest dział Zarządzanie informatyką. Z haseł i artykułów można dowiedzieć się także o nadzorze IT, interakcji człowieka z komputerem czy wsparciu użytkowników IT.
Zarządzanie bezpieczeństwem informacji (ITIL) Przekierowano ze strony: ISM (ITIL) ang. information security management, ISM
Zarządzanie bezpieczeństwem informacji - proces w fazie Projektowania Usług (ang. Service Design) odpowiedzialny za zapewnienie, że: poufność, integralność i dostępność zasobów organizacji, informacji, danych oraz usług informatycznych odpowiada uzgodnionym potrzebom organizacji biznesowej. Proces Zarządzania bezpieczeństwem informacji wspiera bezpieczeństwo organizacji biznesowej, które ma szerszy zakres niż proces dostawcy usług informatycznych i obejmuje obsługę dokumentów papierowych, dostęp do budynków, połączenia telefoniczne, itd. w obrębie całej organizacji.[1]
Cele
Zakres
Mając to na uwadze procedury ISM powinny uwzględniać:
- plany oraz politykę bezpieczeństwa organizacji biznesowej
- teraźniejsze operacje biznesowe i ich potrzeby w zakresie bezpieczeństwa
- przyszłe plany i potrzeby organizacji
- wymogi legislacyjne
- zobowiązania oraz zakres odpowiedzialności w zakresie bezpieczeństwa zawarte w umowie SLA
- ryzyko biznesowe oraz procesy zarządzania ryzykiem w IT
Znaczenie dla biznesu
Opis procesu
Metody i techniki
Kluczowymi działaniami procesu zarządzania bezpieczeństwem informacji są:- wytwarzanie, przeglądanie i ulepszanie polityki bezpieczeństwa informacji
- ogłaszanie, implementowanie oraz egzekwowanie wymagań polityki bezpieczeństwa
- ocena i klasyfikacja wszystkich zasobów informacyjnych oraz dokumentacji
- implementacja oraz rozwój zestawów kontroli bezpieczeństwa
- monitorowanie i zarządzanie wszelkimi wyłomami w zabezpieczeniach oraz przy okazji poważniejszych incydentów
- analizowanie, raportowanie i podejmowanie działań zmierzających do redukcji skali problemów z zabezpieczeniami i wpływu tych incydentów na bezpieczeństwo informacji
- planowanie i wykonywanie przeglądów zabezpieczeń oraz audytów
Wyzwalacze
- nowe lub zmienione wytyczne ładu korporacyjnego
- nowa luz zmieniona polityka bezpieczeństwa w firmie
- nowe lub zmienione usługi lub potrzeby organizacji
- naruszenia usługi lub komponentów IT
Wejścia
- informacje biznesowe zawarte w ogólnej strategii biznesowej organizacji
- nadzór oraz bezpieczeństwo wynikające z wytycznych ładu korporacyjnego oraz polityki bezpieczeństwa firmy
- szczegóły odnośnie incydentów lub naruszeń w zakresie bezpieczeństwa
- procedury oceny ryzyka oraz raporty
Wyjścia
- polityka zarządzania bezpieczeństwem informacji
- system informacji o zarządzaniu bezpieczeństwem (SMIS)
- zestaw zabezpieczeń
- audyty bezpieczeństwa i raporty
Role
- Menedżer ds. bezpieczeństwa informacji (właściciel procesu) - jest on odpowiedzialny za zapewnienie poufności, integralności i dostępności zasobów, informacji, danych i usług IT w organizacji. Jest również zwykle zaangażowany w procesy zarządzania bezpieczeństwem w zakresie szerszym niż tylko dostawca usług IT, bowiem działa on w ramach całej organizacji.
Odpowiedzialność
Macierz odpowiedzialności: Proces zarządzania bezpieczeństwem informacji.| Rola ITIL/Podproces | Menedżer ds. bezpieczeństwa informacji | Właściciel usługi | Analityk aplikacji | Analityk techniczny | Operator IT | Menedżer ds. wyposażenia |
|---|---|---|---|---|---|---|
| Zaprojektowanie mechanizmów kontroli bezpieczeństwa | A R | R | R | R | ||
| Testowanie bezpieczeństwa | A R | R | R | |||
| Zarządzanie incydentami związanymi z bezpieczeństwem | A R | |||||
| Przegląd bezpieczeństwa | A R | |||||
A: (ang. Accountable) Odpowiedzialność zarządcza - zgodnie z modelem RACI, osoba ostatecznie odpowiedzialna za prawidłowość i dokładne wypełnianie procesu zarządzania bezpieczeństwem informacji. w ITIL®.
R: (ang. Responsible) Odpowiedzialność - zgodnie z modelem RACI, osoba odpowiedzialna za realizację zadań w procesie zarządzania bezpieczeństwem informacji w ITIL®.
Powiązania
- Proces zarządzania poziomem świadczenia usługi - zapewnia wsparcie przy określaniu potrzeb bezpieczeństwa i zakresu odpowiedzialności.
- Proces zarządzania uprawnieniami dostępu - wspomaga proces przyznawania i odbierania dostępu, a także usprawnia zastosowanie odpowiedniej polityki.
- Proces zarządzania zmianą - procedury ISM wspomagają ten proces poprzez ocenę zmian i ich wpływu na bezpieczeństwo informacji.
- Proces zarządzania incydentami - ISM wspomaga ten proces w znajdowaniu rozwiązań dla różnego rodzaju incydentów i naruszeń bezpieczeństwa i podejmowaniu uprawomocnionych działań korygujących.
- Proces zarządzania ciągłością usług informatycznych - oba procesy współpracują przy ocenie wpływów na biznes i ryzyka biznesowego.
Krytyczne czynniki sukcesu i Kluczowe wskaźniki wydajności
| Krytyczny czynnik sukcesu | Kluczowy wskaźnik wydajności |
|---|---|
| Organizacja jest zabezpieczona przed wszelkimi naruszeniami bezpieczeństwa. | Procentowy spadek naruszeń bezpieczeństwa. |
| Określenie klarowanej i uzgodnionej polityki, spójnej z potrzebami organizacji. | Zmniejszenie niezgodności polityki bezpieczeństwa informacji z polityką bezpieczeństwa organizacji. |
| Procesy zabezpieczające, które są uprawomocnione, odpowiednie i wspierane przez wyższe kierownictwo. | Wzrost akceptacji i zgodności procedur bezpieczeństwa. |
| Efektywny marketing i edukacja w zakresie potrzeb bezpieczeństwa. | Zwiększona świadomość o potrzebie wdrażania polityki bezpieczeństwa informacji w całej organizacji. |
Wyzwania i ryzyka
- Zapewnienie odpowiedniego wsparcia dla polityki bezpieczeństwa informacji ze strony samej organizacji - cele procesu zabezpieczenia informacji nie mogą zostać zrealizowane bez widocznego wsparcia i poparcia ze strony najwyższego szczebla kierowniczego w danej firmie.
Ryzyka
- Brak zaangażowania samej organizacji przy procesach ISM.
- Brak zaangażowania ze strony kierownictwa lub brak zasobów albo środków finansowych na utrzymanie procesu.
- Dokonywanie analizy ryzyka bez udział procedur zarządzania dostępnością i procesów ITSCM.
Zasady i podstawowe pojęcia
- Polityka bezpieczeństwa informacji - ten aspekt polityki ISM powinien mieć pełne wsparcie ze strony najwyższego kierownictwa działów IT oraz całej organizacji oraz obejmować wszelkie obszary zabezpieczania informacji, odpowiednie dla realizacji celów ISM.
- Ocena i zarządzanie ryzykiem - formalne procedury oceny i zarządzania ryzykiem, w odniesieniu do zachowania bezpieczeństwa informacji oraz ich przetwarzania, są procesami fundamentalnymi. ISM bardzo często korzysta z procedur ITSCM czy zarządzania dostępnością, w celu przeprowadzania oceny ryzyka.
- System zarządzania bezpieczeństwem informacji (ISMS) - system ten jest podstawą dla implementacji i rozwoju efektywnych, pod względem kosztowym, programów zabezpieczających informacje, które wspierają cele organizacji.
Zobacz też
Pozostałe procesy Projektowania Usług:- Koordynację projektowania (ang. design coordination)
- Zarządzanie katalogiem usług (ang. service catalogue management)
- Zarządzanie poziomem świadczenia usług (ang. service level management, SLM),
- Zarządzanie dostępnością (ang. availability management, AM),
- Zarządzanie potencjałem wykonawczym (ang. capacity management)
- Zarządzanie ciągłością świadczenia usług informatycznych (ang. IT service continuity management, ITSCM)
- Zarządzanie dostawcami (ang. supplier management)
Bibliografia
- OGC: ITIL® Foundation Handbook - Pocketbook from the Official Publisher of ITIL, TSO, ISBN: 9780113313495
Znaki towarowe
- IT Infrastructure Library®, ITIL® are registered trade marks of the Cabinet Office;
ostatnia modyfikacja 20 sierpnia 2016 r.