ITIL 保證資訊安全措施切實在戰略、戰術和運作三個層次得到有效的實施。資訊安全被認為是 一個控制、計劃、實施、評估和維護反複的過程。
ITIL 把資訊安全分解為:
政策:組織要達到的總體目标
過程:要實作目标采取的行為
程式:何人、何時、如何實作目标
規程:采取具體行為的規程
ITIL 定義資訊安全為一個不斷的檢查和改進的循環過程,鑒于一些組織把實施和監控作為一個步驟,ITIL 資訊安全過程可以描述7 個步驟:
1. IT 客戶通過風險分析識别其安全需求;
2. IT 部門分析這些安全需求的可行性,并且把其群組織最小資訊安全基線相比較;
3. 客戶和IT 組織協商确定服務級别協定(SLA),SLA 包括以可測量的目标描述的資訊安 全需求和驗證其是否達到的方法。
4. 在IT 組織内協商和定義運作級别協定(OLA),較長的描述如何提供資訊安全服務。
5. 實作和監控SLA 和OLA;
6. 定期向客戶報告所提供的資訊安全服務的有效性和狀态;
7. 有必要的條件下更改SLA 和OLA。
服務級别協定
SLA 是ITIL 資訊安全過程中一個關鍵的部分,是一個描述服務級别的書面正式協定,包括IT 負責提供的資訊安全。SAL 應該包括關鍵的性能名額和性能評價準則,通常SLA 中資訊安全陳述包括下面幾個方面:
- 允許的通路手段
- 允許審計和記錄日志
- 實體安全措施
- 使用者資訊安全教育訓練
- 使用者通路授權規程
- 報告和調查資訊安全事故
- 期望的報告和審計
上述過程的詳細資訊和服務桌面的功能可以在本文後面的參考文獻中找到。
除了SLA 和OLA,ITIL 定義了其他三個資訊安全文檔:
- 資訊安全政策:ITIL 指出資訊安全政策應該來進階管理層,包括下面内容:
1. 組織資訊安全的目标和範圍
2. 信心安全管理的目的和制度
3. 資訊安全角色和職責
- 資訊安全計劃:描述安全政策在一個特定的資訊系統和/或業務部門如何實作;
- 資訊安全手冊:日常的操作文檔,給出具體的詳細的工作規程。