Zarządzanie bezpieczeństwem informacji (ITIL) Przekierowano ze strony: Information security management (ITIL) ang. information security management, ISM

Zarządzanie bezpieczeństwem informacji
proces
Projektowanie Usług
ITIL
Logo ITIL


Zarządzanie bezpieczeństwem informacji - proces w fazie Projektowania Usług (ang. Service Design) odpowiedzialny za zapewnienie, że: poufność, integralność i dostępność zasobów organizacji, informacji, danych oraz usług informatycznych odpowiada uzgodnionym potrzebom organizacji biznesowej. Proces Zarządzania bezpieczeństwem informacji wspiera bezpieczeństwo organizacji biznesowej, które ma szerszy zakres niż proces dostawcy usług informatycznych i obejmuje obsługę dokumentów papierowych, dostęp do budynków, połączenia telefoniczne, itd. w obrębie całej organizacji.[1]

Spis treści

Cele

Celem procesu zarządzania bezpieczeństwem informacji (ang. ISM) jest ochrona interesów tych firm, które opierają swoją działalność na informacjach oraz zapewnienie bezpieczeństwa systemów i kanałów komunikacyjnych, które dostarczają różnorodne informacje, przed zagrożeniami związanymi z awariami w zakresie dostępności, poufności oraz integralności.

Zakres

Pojęcie informacji obejmuje takie składniki jak bazy danych, przechowalnie danych czy metadane. Termin ten uwzględnia także wszystkie kanały przekazywania oraz ujawniania różnorodnych informacji.

Mając to na uwadze procedury ISM powinny uwzględniać:
  • plany oraz politykę bezpieczeństwa organizacji biznesowej
  • teraźniejsze operacje biznesowe i ich potrzeby w zakresie bezpieczeństwa
  • przyszłe plany i potrzeby organizacji
  • wymogi legislacyjne
  • zobowiązania oraz zakres odpowiedzialności w zakresie bezpieczeństwa zawarte w umowie SLA
  • ryzyko biznesowe oraz procesy zarządzania ryzykiem w IT


Znaczenie dla biznesu

Zarządzanie bezpieczeństwem informacji zapewnia utrzymanie polityki bezpieczeństwa informacji oraz wspomaga proces spełniania potrzeb firmy względem polityki bezpieczeństwa i wymagań ładu korporacyjnego. Procedury ISM podnoszą ponadto świadomość w firmie o potrzebie zabezpieczenia wszelkich zasobów informacyjnych.

Opis procesu

Zarządzanie bezpieczeństwem informacji (ISM) jest działaniem z zakresu nadzoru w ramach struktur ładu korporacyjnego. Zapewnia strategiczny kierunek i punkt ogniskujący rozwój wszystkich działań z zakresu bezpieczeństwa. Gwarantuje realizację wszystkich celów strategicznych, zarządzanie ryzykiem bezpieczeństwa informacji czy odpowiedzialne korzystanie z informacyjnych zasobów organizacji biznesowej.

Metody i techniki

Kluczowymi działaniami procesu zarządzania bezpieczeństwem informacji są:
  • wytwarzanie, przeglądanie i ulepszanie polityki bezpieczeństwa informacji
  • ogłaszanie, implementowanie oraz egzekwowanie wymagań polityki bezpieczeństwa
  • ocena i klasyfikacja wszystkich zasobów informacyjnych oraz dokumentacji
  • implementacja oraz rozwój zestawów kontroli bezpieczeństwa
  • monitorowanie i zarządzanie wszelkimi wyłomami w zabezpieczeniach oraz przy okazji poważniejszych incydentów
  • analizowanie, raportowanie i podejmowanie działań zmierzających do redukcji skali problemów z zabezpieczeniami i wpływu tych incydentów na bezpieczeństwo informacji
  • planowanie i wykonywanie przeglądów zabezpieczeń oraz audytów

Wyzwalacze

  • nowe lub zmienione wytyczne ładu korporacyjnego
  • nowa luz zmieniona polityka bezpieczeństwa w firmie
  • nowe lub zmienione usługi lub potrzeby organizacji
  • naruszenia usługi lub komponentów IT

Wejścia

  • informacje biznesowe zawarte w ogólnej strategii biznesowej organizacji
  • nadzór oraz bezpieczeństwo wynikające z wytycznych ładu korporacyjnego oraz polityki bezpieczeństwa firmy
  • szczegóły odnośnie incydentów lub naruszeń w zakresie bezpieczeństwa
  • procedury oceny ryzyka oraz raporty

Wyjścia

Role

  • Menedżer ds. bezpieczeństwa informacji (właściciel procesu) - jest on odpowiedzialny za zapewnienie poufności, integralności i dostępności zasobów, informacji, danych i usług IT w organizacji. Jest również zwykle zaangażowany w procesy zarządzania bezpieczeństwem w zakresie szerszym niż tylko dostawca usług IT, bowiem działa on w ramach całej organizacji.

Odpowiedzialność

Macierz odpowiedzialności: Proces zarządzania bezpieczeństwem informacji.

Rola ITIL/PodprocesMenedżer ds. bezpieczeństwa informacjiWłaściciel usługiAnalityk aplikacjiAnalityk technicznyOperator ITMenedżer ds. wyposażenia
Zaprojektowanie mechanizmów kontroli bezpieczeństwaA RRRR
Testowanie bezpieczeństwaA RRR
Zarządzanie incydentami związanymi z bezpieczeństwemA R
Przegląd bezpieczeństwaA R


A: (ang. Accountable) Odpowiedzialność zarządcza - zgodnie z modelem RACI, osoba ostatecznie odpowiedzialna za prawidłowość i dokładne wypełnianie procesu zarządzania bezpieczeństwem informacji. w ITIL®.

R: (ang. Responsible) Odpowiedzialność - zgodnie z modelem RACI, osoba odpowiedzialna za realizację zadań w procesie zarządzania bezpieczeństwem informacji w ITIL®.

Powiązania



Krytyczne czynniki sukcesu i Kluczowe wskaźniki wydajności

Poniższa tabela zwiera przykładowe krytyczne czynniki sukcesu (CSF) dla procesu zarządzania bezpieczeństwem informacji (ang. ISM), uzupełnione typowymi dla tego procesu kluczowymi wskaźnikami wydajności (KPI). Wszelkie osiągnięcia związane z potencjalnymi KPI powinny być monitorowane i wykorzystywane w celu zidentyfikowania możliwości rozwoju, co powinno zostać zapisane w rejestrze CSI.

Krytyczny czynnik sukcesuKluczowy wskaźnik wydajności
Organizacja jest zabezpieczona przed wszelkimi naruszeniami bezpieczeństwa.Procentowy spadek naruszeń bezpieczeństwa.
Określenie klarowanej i uzgodnionej polityki, spójnej z potrzebami organizacji.Zmniejszenie niezgodności polityki bezpieczeństwa informacji z polityką bezpieczeństwa organizacji.
Procesy zabezpieczające, które są uprawomocnione, odpowiednie i wspierane przez wyższe kierownictwo.Wzrost akceptacji i zgodności procedur bezpieczeństwa.
Efektywny marketing i edukacja w zakresie potrzeb bezpieczeństwa.Zwiększona świadomość o potrzebie wdrażania polityki bezpieczeństwa informacji w całej organizacji.


Wyzwania i ryzyka

Wyzwania
  • Zapewnienie odpowiedniego wsparcia dla polityki bezpieczeństwa informacji ze strony samej organizacji - cele procesu zabezpieczenia informacji nie mogą zostać zrealizowane bez widocznego wsparcia i poparcia ze strony najwyższego szczebla kierowniczego w danej firmie.


Ryzyka
  • Brak zaangażowania samej organizacji przy procesach ISM.
  • Brak zaangażowania ze strony kierownictwa lub brak zasobów albo środków finansowych na utrzymanie procesu.
  • Dokonywanie analizy ryzyka bez udział procedur zarządzania dostępnością i procesów ITSCM.


Zasady i podstawowe pojęcia

  • Polityka bezpieczeństwa informacji - ten aspekt polityki ISM powinien mieć pełne wsparcie ze strony najwyższego kierownictwa działów IT oraz całej organizacji oraz obejmować wszelkie obszary zabezpieczania informacji, odpowiednie dla realizacji celów ISM.
  • Ocena i zarządzanie ryzykiem - formalne procedury oceny i zarządzania ryzykiem, w odniesieniu do zachowania bezpieczeństwa informacji oraz ich przetwarzania, są procesami fundamentalnymi. ISM bardzo często korzysta z procedur ITSCM czy zarządzania dostępnością, w celu przeprowadzania oceny ryzyka.
  • System zarządzania bezpieczeństwem informacji (ISMS) - system ten jest podstawą dla implementacji i rozwoju efektywnych, pod względem kosztowym, programów zabezpieczających informacje, które wspierają cele organizacji.


Zobacz też

Pozostałe procesy Projektowania Usług:

Bibliografia

  • OGC: ITIL® Foundation Handbook - Pocketbook from the Official Publisher of ITIL, TSO, ISBN: 9780113313495

Znaki towarowe

  • IT Infrastructure Library®, ITIL® are registered trade marks of the Cabinet Office;
ostatnia modyfikacja 20 sierpnia 2016 r.