安全管理是顺应信息安全的需要而产生的。其主要目标是确保信息的安全性。安全性似乎只不易遭到已知风险的侵袭,并且尽可能的规避未知风险。
1.1、目标
安全管理的目标是要保护信息的价值,取决于机密性、完整性和可用性。
机密性:保护信息免受未经授权的访问和使用。
完整性:信息的准确性、完全性和及时性。
可用性:信息在任何预定的时间内都可以被访问。
目标1:满足服务级别协议中的安全性需求。
目标2:提供一个独立于外部需求的基本的安全性级别。
安全管理的目标是要确保有效的信息安全措施在战略、战术层和操作层三个层面都要得到贯彻。
安全管理活动
2、活动
2.1、控制
中央的控制活动是安全管理的第一个子流程,它主要是关于该流程的组织和管理。主要包括信息安全管理框架。该框架主要描述了以下子流程:安全计划的制定、安全计划的实施、实施评估以及将评估结果纳入年度安全计划(改进计划)。
该活动定义了子流程,安全职能、角色和责任。描述了组织结构报告安排及控制结构(谁指导谁,谁做什么事情,如何报告实施状况)。
2.2、计划
计划子流程包括在与服务级别管理磋商后制定服务级别协议中的安全部分,以及与安全相关的支持合同中的活动。服务级别协议中的目标一般都是用一些总括性的术语定义的。而在运营级别协议中则需要对这些目标做进一步的细化和规定。
2.3、实施
实施子流程负责实施计划中的所有安全措施。
访问控制:
访问和访问控制政策的实施。
用户访问权利的维护以及网络、网络服务、计算机和应用系统的应用维护。
网络安全屏障(防火墙、拨号服务、网桥和路由器)的维护。
针对计算机系统、工作站和连接在网络上的计算机的身份识别和验证措施的实施。
2.4、评估
对计划措施的实施结果进行独立的评估是非常重要的。评估子流程的结果可用来更新与客户协商约定的安全措施,也可用于改进他们的实施效果。
评估的形式:
自我评估-主要有流程的直线组织实施。
内部审计-有内部IT审计师进行。
外部审计-有外部IT审计师进行。
在安全事件发生时也要实施评估,包括:
核实遵循安全政策的情况以及安全计划的实施情况。
对IT系统实施安全审计。
找出对IT资源的不正确的使用,并作出相应的处理。
承担其他IT审计的安全方面。
2.5、维护
维护需要根据评估子流程的结果以及对风险变化的评估结果进行。
2.6、报告
报告是其他子流程输出的结果。让客户了解有关的安全问题。