セキュリティ管理は、情報セキュリティに起因するニーズに対応しています。その主な目的は、情報のセキュリティを確保することです。セキュリティが知られている唯一のリスクは、攻撃に対して脆弱ではないこと、そしてできるだけ未知のリスクを回避しているようです。
1.1目標
セキュリティ管理の目標は、情報の価値は、機密性、完全性、可用性に依存して保護することです。
機密性:不正なアクセスや使用から情報を保護します。
完全性:情報の正確性、完全性、適時性。
可用性:情報は、任意の所定の時間にアクセスすることができます。
目標1:セキュリティーサービスレベルアグリーメントのニーズを満たすために。
目標2:基本的なセキュリティを提供するためには、外需とは無関係です。
セキュリティ管理の目標は、3層の、戦略的、戦術と運用レベルを介して搬送される効果的な情報セキュリティ対策を確実にするためです。
安全管理活動
2、活動
2.1、コントロール
中央制御の活動が安全管理プロセスの最初の子である、それはプロセスの組織と管理についての主です。情報セキュリティ管理フレームワークを含みます。フレームワークは、以下のサブプロセスを説明:セキュリティ計画、セキュリティ計画の実装では、毎年のセキュリティ計画(改善計画)における評価の結果を実装し、評価します。
キャンペーンは、サブプロセス、定義されたセキュリティ機能、役割と責任を。これは、組織構造を記述し、(実施状況を報告するためにどのように何かを行う案内、)手配制御構造を報告します。
2.2計画
計画は、サービスレベル管理と協議した後、契約をサポートするセキュリティサブプロセスパーツサービスレベル契約と同様に、セキュリティ関連活動の開発が含まれています。サービスレベル契約の対象は、一般的にオールインクルーシブの用語のいくつかを定義するために使用されています。オペレーショナルレベル・アグリーメントでは、さらなる改良とこれらの目標の規定が必要になります。
2.3実施例
計画されたすべての安全対策の実施を担当するサブプロセスの実装。
アクセス制御:
アクセスとアクセス制御のポリシーの実装。
ユーザーとネットワークの保守、ネットワーク・アプリケーション・サービス、コンピュータ・システムおよびアプリケーションのメンテナンスのアクセス権。
ネットワークセキュリティバリア(ファイアウォール、ダイヤルアップサービス、ブリッジやルータ)を維持します。
ネットワークに接続されたコンピュータ・システム、ワークステーションやコンピュータのための実施形態の識別および認証対策。
2.4評価
独立した評価を実施する予定措置の実施の結果は非常に重要です。査定サブプロセスの結果は、顧客と協議して合意されたセキュリティ対策を更新するために使用することができ、彼らはまた、結果の実装を改善するために使用することができます。
評価フォーム:
自己評価 - 組織のプロセスの実装のメインストレート。
内部監査 - 内部IT監査人を持っています。
外部監査 - 外部のIT監査人を持っています。
:セキュリティインシデントには、アセスメントを実施しているとき
フォローのセキュリティポリシーの実装だけでなく、安全プログラムを確認するには。
システムのITセキュリティ監査。
ITリソースの誤用を見つけ、適切な治療を行います。
他のITセキュリティ監査を実施しています。
2.5メンテナンス
メンテナンスは、サブプロセスの評価の結果だけでなく、リスク評価の変化の結果をもとにする必要があります。
2.6、レポート
報告書は、他のサブプロセスの出力の結果です。顧客がセキュリティ上の問題を理解するように。