精华内容
下载资源
问答
  • it安全管理指南

    2013-05-10 17:18:57
    13335分为五个部分,主要描述了IT安全管理的主要内容。对评估有指导作用。
  • 再次发表于TT安全之前,先要向我的团队成员们致敬!SOC和NOC的关系是一个一开始就存在的问题。赵粮博士跟我交流的时候表示他们最早在电信的时候,SOC就是建在NOC之下的。后来,在国内SOC热潮澎湃的2004~2006年间,...
  • 13335-3 IT安全管理技术

    2011-04-21 20:45:07
    ISO/IEC TR 13335 第3部分介绍了IT安全管理的技术。 这些技术都基于ISO/IEC TR 13335第 2 和 3 部分中介绍的通用性指南。这些指南被设计用来帮助 IT 安全的实施。对第 1 部分介绍的概念和模型以及第 2 部分介绍的...
  • 高效IT安全管理人员8大日志管理习惯现今的商业环境中,数据资源是驱动企业向正确方向发展的源泉。例如,零售商需要根据用户行为数据获取更多销售订单,CEO需要根据企业之前的运作数据做出有效的决策。同样的,IT安全...

    高效IT安全管理人员8大日志管理习惯


    现今的商业环境中,数据资源是驱动企业向正确方向发展的源泉。例如,零售商需要根据用户行为数据获取更多销售订单,CEO需要根据企业之前的运作数据做出有效的决策。同样的,IT安全专家需要根据IT网络日志数据基础架构收集到的数据,让网络安全远离威胁、攻击和破坏。大多数企业的IT基础架构都会包括网络设备(路由器、交换机、防火墙等),系统(WindowsLinux等)和收集大量日志数据的关键业务应用程序。

    日志数据如蕴含黄金的矿厂,对所有安全威胁提供强大的洞察力和安全情报---- 但这仅仅是在日志数据实时监控和分析时有效。高效的日志数据管理可以帮助IT安全管理人员减少复杂的网络攻击,识别安全事件的根本原因、监控用户活动、防止数据泄露,以及最重要的一点,满足常规安全性要求。但是没有适当的日志管理策略和流程,IT安全管理人员在确保企业免受攻击和破坏时,肯定会面临巨大的挑战。

    下面,我们将介绍高效的IT安全管理人员在管理日志数据时应采用的8种习惯。这些日志管理习惯在本质上是相通的,它可以帮助所有IT安全管理人员利用日志数据的力量有效地保护其网络安全。

    习惯之1 – 使用自动化的用户日志管理工具

    分析日志数据是IT安全管理人员面临的最大挑战之一。手动监控和分析日志数据是绝不肯能的,因为日志数据值非常巨大,这个过程很容易发生人为错误。因此,IT安全管理人员需要依靠自动化日志管理解决方案,分析由网络基础架构产生的巨大数量的日志数据。

    使用自动化日志管理工具,IT安全管理人员可以实时获得安全情报。使用自动化日志管理解决方案,当应用、系统和设备发生异常情况,IT安全管理人员可以实时收到通知。仅仅几秒,自动日志管理工具可以对用户行为、网络异常、系统宕机、违反政策、内部威胁等提供强大的参考。

    习惯之2 – 集中收集日志数据

    从异构数据源收集日志数据--- Windows,UnixLinux及其他系统;应用程序、数据库、路由器、交换机、防火墙等;对于IT安全管理人员来说,对日志管理的安全防护是一项艰巨的任务。使用多种日志管理工具收集和分析来自数量众多的设备、系统和应用程序不同格式的日志,这可不是一家公司高效管理日志的方法。

    IT安全管理人员需要配置单个日志管理工具,帮助他们从任何来源解读任何日志格式。IT安全管理人员应该选择具有通用日志收集特性的日志管理工具,这个特性使企业能够从任何来源收集和分析任何格式的日志数据。在集中收集日志数据,使IT安全管理人员能够全面地查看网络上发生的所有活动,从而及时地促进有效的安全策略。

    习惯之3 – 保持审计状态-准备就绪的安全报表

    每个企业都需要遵守他们自己的内部安全政策或外部监管机构政策,如PCI DSSSOXFISMAISO27001HIPAA。当涉及到外部审计时,IT安全管理人员必须集中精力满足外部机构制定的需求,并确保合规审计人员以最小的工作量完成他们的工作。单凭对合规审计人员的口头保证远远不够。安全报表必须准备充分,并且用适当的日志数据和使用的日志管理工具来备份报表。

    习惯之4 – 执行日志取证调查

    所有网络问题在日志数据中都可以找到答案。所有的攻击者都会留下痕迹,而你的日志数据是唯一能帮助你识别漏洞的原因,甚至告诉你是谁发起了攻击。此外,日志数据取证分析报表可以用作法庭证据。手动搜索日志来查找网络问题的根本原因,或者在事件中发现规律,就像大海捞针一般。

    IT安全管理人员真正找寻问题答案时,得到答案却十分困难。但是如果有了正确的日志取证策略和工具,他们就能得到所有问题的答案。日志取证工具搜索功能可以帮助管理员进行调查,这样可以帮助他们快速找到和修复网络问题和异常行为。日志搜索功能可以让IT安全管理人员在整个网络基础架构中进行搜索。

    习惯之 5 – 主动应对安全威胁

    为了解除复杂的网络攻击,IT安全管理人员必须对网络基础架构的日志数据进行实时关联。日志数据关联功能可以让IT安全管理人员在多个日志源同时处理数百万个事件,以增强网络安全性,在攻击或破坏发生之前,主动检测网络上的异常事件。实时事件关联性主动应对威胁。为了防止安全威胁,IT安全管理人员依靠日志相关工具来加速对网络事件的监控和分析。 

    有了数据相关性分析工具, IT安全管理人员不需要花几个小时手动跟踪可疑的网络行为。日志数据相关性自动检测并提供关于漏洞、网络用户活动、策略违规、网络异常、系统停机时间和网络安全威胁的实时告警。

    习惯之 6 – 跟踪用户活动

    当您最信任的员工和用户有权限访问业务关键的应用程序设备、系统和文件时,会有意无意地引发盗取数据、中断或系统崩溃。IT安全管理人员,必须通过监视日志数据实时跟踪整个IT基础架构中的所有用户活动。日志数据包含关键网络资源上发生的所有活动完整的审计跟踪。IT安全管理人员需要利用日志数据审计跟踪来获得所有用户的实时活动,找到关于谁、什么、哪里和如何的答案。

    习惯之 7 – 数据归档和保证日志数据安全

    日志归档是所有企业满足合规性要求所必须完成的任务。日志归档依赖于企业所需遵守的政策和合规性法则。日志归档周期根据合规性审计的不同而有所不同。例如,PCI DSS 要求存档一年,HIPAA 要求存档七年,而FISMA要求存档三年。日志归档的另一个原因是日志取证调查,如习惯之4中所述。

    归档日志数据必须保护其不受更改,以保证其真实性。IT安全管理人员应该对日志数据进行加密,并通过哈希算法和时间戳防止日志被篡改,以便将来进行取证分析,合规性或内部审计。

    习惯之8 – 持续监控和回顾日志数据

    IT安全管理人员应该将监控和回复日志数据作为常规工作。所有上述的七个习惯都是为了实现第八个习惯。日志管理不是保护网络的一次性工作为了让您远离网络威胁,它应该是一个持续的过程,在这个过程中,日志数据必须进行实时收集、监控和分析。

    结论

    大多数企业都由众多的系统、设备和应用程序组成,每个系统生成的日志数据对于检测异常行为、威胁、漏洞、安全事件、政策违规、用户活动等等都是至关重要的。利用日志数据, IT安全管理人员通过主动地网络威胁防御措施,可以大大地提升企业的整体安全态势。 

    IT安全管理人员应该将所有8个日志管理习惯付诸实践,这样他们就可以从日志数据中获取有意义的、可操作的信息和安全情报。


    展开全文
  • ISO/IEC TR 13335 第2 部分的指南阐述了对于 IT 安全管理只管重要的主题,以及这些主题之间的关系。这些指南有助于识别和管理 IT 安全的所有方面。这些指南有助于识别和管理 IT 安全的所有方面。
  • 确保访问受保护的资产的用户被严格限制;为用户提出的 IT 安全需求提供解决途径;及时发现和排除 IT安全隐患,减少 IT安全事故发生次数。
  • 描述了如何在企业信息管理体系中运用ISO/IEC 17799
  • 我希望这篇补充博文将能帮助您了解合适的IT资产管理策略,还能提供一个支持您IT安全管理的有用工具。 您可能还记得我说过IT资产管理工具的核心是资产数据库,在1999年年底前,资产数据就已经被用来判断所有Y2K...
      <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

     对于看过我上篇博文--- IT资产管理演变”的朋友,希望它给您提供了一些关于IT资产管理战略方面的启示,并对您IT资产管理战略制定有所帮助。我希望这篇补充博文将能帮助您了解合适的IT资产管理策略,还能提供一个支持您IT安全管理的有用工具。

       您可能还记得我说过IT资产管理工具的核心是资产数据库,在1999年年底前,资产数据就已经被用来判断所有Y2K风险。此博文将阐述,在10年后的2009年,如何利用资产数据来确定您IT基础设施中的安全隐患。(注:我是否第一个描述关于利用资产数据来进行安全管理并不重要,更重要的事实是,虽然大多数企业都有某种形式的IT资产管理,但资产数据并没有得到有效地利用来提升IT价值。)

        让我们从最起码的安全措施---操作系统和应用程序的安全补丁说起。不要低估企业环境中补丁管理的重要性,系统漏洞恰恰是安全隐患的一个主要根源。不管是否严重到造成业务中断,数据被盗并导致利润损失,甚至最终破产,安全隐患问题在企业安全管理中都应是被最优先考虑的。众所周知,当漏洞被发现和公开后,相对***的出现已经变得越来越快。“零时差***”一词的产生,是指在发布补丁软件之前,或者更糟的情况,在制造商察觉漏洞之前带来的威胁。通过分析IT资产数据库中的软件清单数据,您应该可以将每项应用程序分成下列几种情况:

    a) a)        最近使用的版本/补丁(绿色)
    b)       可用却还没发放的补丁(×××)
    c)       已知漏洞但尚未提供补丁(红色)
    d)       不再支持的软件(红色)
    **当制造商不再支持软件,也就是说制造商不再承诺对于漏洞发现后提供软件补丁。不少企业的安全政策都有禁止使用不受支持的软件。请不要误会受支持的软件就没有漏洞,但由于是有支持的软件,制造商就承诺了提供补丁或升级或替代方法来减轻风险。一个很好的例子就是微软的Windows XP操作系统已经结束“主流支持”,而“扩展支持”定于2014年终止。这也意味着当下一代SOE(标准操作环境)设计完成并通过商业应用兼容性测试后,大多企业将会迁移到下一代操作系统。
    考  考考你:如果Windows XP的支持在2014年结束,这个操作系统已经存在多久了?

            ** 如果您从Windows XP出现之初你就开始使用它,并且今天仍在使用,您可能和我经历的一样,现在系统正运行在第5代电脑硬件之上:

            第一台电脑:133MHz英特尔奔腾处理器(年轻一代叫0.133GHz  :P

            第二台电脑:266MHz英特尔奔腾MMX处理器

            第三台电脑:800MHz英特尔奔腾III处理器

            第四台电脑:1.7GHz英特尔奔腾4处理器

            第五台电脑:英特尔酷睿2处理器(2.4GHz双核心)和上网本的英特尔凌动处理器( 1.6GHz

        现在我们开始使用IT资产数据库来分析您的软件补丁状态,您拥有了必要的数据来分配资源、部署补丁和消除安全隐患。但是不要停下脚步,我们需要做得更多。通常,软件许可证管理可帮助确定企业用户是否有足够的软件许可证到位。IT资产管理有助于确定硬件和软件的数量以及许可证的使用。其目的是提高软件许可的使用效率,也就是说,确保企业购买的许可证不是过多或不足,而是刚刚好的数量。

        现在进入到下一步---已安装的应用程序监控。通过分析资产数据库中的软件清单数据,我们可以查明应用程序是否获得批准使用。这个组合包括:软件是否许可使用,该软件产品是否获得批准,版本和补丁级别是否获得批准,计算机的使用者(或所有者)是否被批准使用这个应用程序,应用程序的配置是否获得批准。一旦你做此分析之后,你只需要通过移除未获批准的应用程序,授权批准应用程序,和其他安全措施,来消除风险。

    (注:前些时候我跟一个同事共进晚餐,他是一位经验丰富的服务台经理,我们讨论到故障的发生,往往是由于偏离SOE(标准操作系统) ,或者是未经批准的应用的兼容性问题 。如果这些可以被识别并消除,事件的数量将大大减少,并最终转化为运维成本的降低。这无论是对您利用资产数据库来管理SOE,还是改进流程中的运维成本来说,都将是一个积极的结果。

        补充说明:作为金道首席技术官( CTO ),我的责任之一是提高公司内部的安全意识。作为我们经理培训计划的一部分,我已经对我公司的经理和经理候选人进行了安全意识方面的培训,包括安全措施和安全意识。该培训给经理们设置了任务,要求他们对自己的计算机要有深刻的认识,并能明确每一个有效的应用,而且还要问自己这些问题: “我了解这些应用程序吗? “我安装/批准这个应用程序了吗? 它起什么作用,我需要吗?”

        如果其中任何一个问题的答案为否,那就说明有潜在的安全风险存在,他们就应该去寻求移除未知应用的建议和方法。

        我想说明的观点是,培训我们的经理时会注重安全实践,但如果利用资产数据库中的现成资料我们就可以强制执行应用程序的安全管理。有了这些正确的要素(工具,流程和人员) ,您将能提升您的IT资产管理和安全管理的价值。

    转载于:https://blog.51cto.com/rickho/198026

    展开全文
  • 该标准的目标为IT安全管理方面提供保障,而不是解决方法,为IT安全负责的组织中的那些单独的个体应该能在报告中不断调整内容以满足特定的需要,技术报告的主要目的是: 定义和描述与IT安全管理相关的概念 辨别IT安全...
  • 包含系统安全运维组织、人力资源安全、资产安全安全等级包含、日志管理、访问控制、密码管理、脆弱性管理、备份、安全事件管理等标准的指引。我就放2分下载,为啥要改我的下载分?
  • IT系统安全管理指南

    2010-04-02 15:05:58
    IT系统安全管理指南(sp 800-30)中文版说明
  • 公司IT信息安全管理制度DOC文档。
  • 正規企業IT管理制度 包含內容為 日常管理 網絡安全管理 數據管理等等
  • IT运维安全管理支招

    2013-02-21 18:06:04
    初识IT运维管理:内外有别 一年一度的春节即将到来。在大家纷纷想着回家的时候,有这样一群人却还在紧张忙碌着。他们就是各大企业的IT运维人员。由于时值传统佳节,各行各业都安排 假期,在这举国上下欢欢喜喜过...

    初识IT运维管理:内外有别

        一年一度的春节即将到来。在大家纷纷想着回家的时候,有这样一群人却还在紧张忙碌着。他们就是各大企业的IT运维人员。由于时值传统佳节,各行各业都安排 假期,在这举国上下欢欢喜喜过大年之际,往往会给IT行业的管理和运维带来松懈。在这种情况下,我们有必要为大家讲解,在春节假期如何做好IT运维。

      在介绍IT运维与管理之前,首先我们要明确,根据ITSM的解释,IT运维管理主要包括以下两大部分:

      1、Helpdesk call center ,呼叫中心管理;主要以值班形式;

      2、机房设施和系统管理;现代机房都有软硬件系统告警设备,任何系统异常,都会有邮件、短信、电话等形式第一时间通知维护人员。

       因此,在探讨春节期间的IT运维与管理,我们要对其IT系统进行分类逐一分析。不同行业,其IT运维管理在节假日期间的执行要求并不相同。一般来说,在 春节期间,春节联欢晚会在线直播、体育赛事、相声小品等多媒体平台,以及团购促销等平台,都会迎来海量的高并发访问量,并对其IT系统和业务支撑带来严峻 挑战。这些不同行业的IT服务公司,其IT运维管理的特点也不尽相同。

      比如,主要服务内部客户的公司,由于节假日内部客户都休假,IT 部门业务量也下降,只需安排call center的值班人员应对突发事件。如果面向外包客户的公司,比如互联网、电商公司,由于节假日业务量反而比平常增加,需要增加人手,并采取轮流值班形 式保证正常运行。

        服务领域IT运维管理:有备无患

        正如前文所述,IT系统的运维管理视不同行业而有所不同。对于一般的企业来说,如果它并不对外提供IT服务,而仅仅是日常工作时间,为企业内部员工提供平 台支持,企业邮箱也完全外包采用第三方服务的话,他们就无需在春节这个节假日刻意安排人手轮流值班。也就是说对于一般的公司,其网络系统并不重要的话,可 以将更多精力放在节后。

        对于比较重要的、对外提供服务的IT系统来说,确保7*24正常运行是最基本的要求。在这种情况下,IT运维管理就显得非常重要了。而这,也是我们要介绍的应用服务领域的IT运维管理。

        IDC、SDC、NDC等行业公司,由于规模较大,其服务的用户群体和服务内容都比较广,因此,这些企业都安排有专人24小时值班。当然,即使是春节这样的传统佳节,也会有专人值班,以应对突发事件的发生。

        然而即便如此,在春节这样的重大节日面前,我们在IT运维管理的时候仍然特别需要注意以下几个问题:

        1、硬件设备检修

        IDC这类运营商的数据中心,其IT系统都提供有冗余设备(冗余电源、灾备等),可提供在硬件设备宕机的情况下,自动切换并保证系统持久稳定运行的机制。也正是冗余设备的重要性,运维人员在春节这样的节假日,特别需要了解各个硬件设备的现状。

         这种了解包括两部分:机器本身的可用性和使用周期。如果超出使用周期,需要调配新的机器设备,以满足突发性的高并发访问需求。另外还需要了解冗余设备的可 用性。而这种冗余设备的检修往往会被忽视,如果一旦发生异常情况,系统自动切换到冗余设备上而设备发生故障,那么后果也是不堪设想的。

        2、保证电源持久供给

        “有了电,多方便”。春节期间,家家户户闹新年,往往各大电器都超长时间满负荷运行,从而会给电力的使用带来安全隐患。对于应用服务提供商来说也同样如此,如果电力供给出现故障,那么其他的所有一切工作都白费,而且还会造成难以挽回的巨大财产损失。

        对于IDC、SDC等应用来说,在电源方面通常都是采取双备份的机制来确保电源持久供应。有些服务器通常都有四个电源模块,而有些移动运营商甚至配备有 UPS直流电源模块房,如果整个大楼停电,可以通过该模块房提供长达一周的用电需求。当然,更有甚者,将数据中心楼宇中的电梯也纳入到UPS供电的体系 中,以方便管理员更高效、安全的提供运维、管理工作。

        3、职责明确 落实到人

        由于这类IT运维管理需要有专人值守,因此,在春节期间应该有职责明确、分工落实到个人的事先安排。通常情况下,这种24小时专人值守,可以采用轮流、现 场和远程结合的形式来做出安排。比如,现场值班人员可以安排负责整个机房、数据中心的安全、防护工作,而作为系统监控、常规性故障处理,则可以由远处异 地、通过手机、PC终端接入网络进行处理。当然,为了应对严重的突发事件,现场必须配备有专业技术人员。

        另外,有些IDC是根据业务区块(数据中心不同的业务区)来分派不同的专业技术人员进行值班监管,在这种情况下,每个运维人员特别需要留意所在的服务器访 问情况(包括以往访问记录和高并发访问下的负载分担设备),以便有的放矢做出重点监测。而对于一般的网络设备,由于它们都具有堆叠和级联的功能(将多个交 换机整合成单个),在高并发访问的情况下也能确保正常工作。

        通信领域IT运维管理:电话畅通

        除了运营服务领域的IT运维管理,其实还有一个重要领域的运维也需要予以重视,也就是通信领域的服务运维与管理。通信领域通常包括运营支撑(类似前面所介 绍内容)、核心网、无线网络和传输四大块领域。通常每逢节假日,国家通信网络都会进入一个封网期——也就是节前一周至节后一周的这段时间内,其他工程项目 都停止,所有网络都进入安全维护期,以确保高强度通信需求。

        和应用服务提供商有点不同的是,设备厂家和通信运营商都在安全维护期安排工程师7*24小时待命,以便支持运营商的维护人员解决故障,如果故障严重,厂家往往都会安排专人前往现场解决故障。

        在此次专门针对通信的IT运维管理进行讨论,主要是考虑到新春佳节之际,人们走亲访友,电话量、短信量暴增,会对整个国家网络通信系统、尤其是各个基站带来巨大压力。

        在一般情况下,短信并不会像电话(移动电话)那样,在大年三十的凌晨之际出现“打不通”的困恼。因为短信一般采用的是基于IP的通信原理,不太会出现网络 拥堵的情况(但可能会存有延迟)。而电话则是通过基站来建立连接的。基站的呼叫是按照载频来计算,一般每个基站都是2000个载频,每个载频可以带12个 电话。也就是说,单个基站其所能承受的是同时支持最多24000个移动电话的呼叫。

        在这种情况下,CS领域的IT运维管理应该注意一些什么问题呢?在笔者看来,在春节这样的节假日期间的IT运维管理,CS会比PS相对简单些,毕竟如果出 现了话务量过大的情况,可以通过爱尔兰告警(单位时间内呼叫量)在接入层进行限制。除此之外,我们还需要特别注意以下两点:

        合理设置 事先防范

        不同热点不同城市,其移动电话用户规模也不同。因此,在春节这样的节假日期间,用户群密度不大的地区,其基站载频所带的电话数量应该取8-12个为宜,也 就是说,每个基站所能同时承载的话务量应该控制在16000-24000之间,最好不要满载,否则设备容易出现故障。

        另外,对于核心网这块,在重视设备检修之余,还应该特别各个通信局间的通信机制。比如局内呼叫,局间呼叫,省内呼叫,省间呼叫,其呼叫持续时间不能过长,而且应该优化大规模漫游电话的呼叫流程,从而减轻各个基站和系统负担。

        编后语:

        以上,我们从当今IT运维的主要行业进行了梳理,寄希望于春节期间举国上下都在闹新春之际,能对IT运维管理给予更多的重视。这一方面不仅是IT系统运维 的需求,同时更是某些移动通信、在线点播、电商促销和业务支撑平台公司的需求。而对于呼叫中心管理,则主要有赖于公司自己的人员值班安排与制度规范来确 保。

    转载于:https://blog.51cto.com/873896/1137254

    展开全文
  • 管理和运营的角度看IT系列之八:IT安全和风险管理
  • 2009最新IT审计和风险管理框架工具-IT审计和安全管理必备手册。 信息安全管理人员和IT内审人员的最佳参考手册
  • 基于全生命周期的IT项目信息安全管理方法 基于全生命周期的IT项目信息安全管理方法 基于全生命周期的IT项目信息安全管理方法
  • 银行信息系统安全运营,与IT外包商提供的软硬件产品质量休戚相关,而IT业务外包风险贯穿于技术、产品、系统、服务、生产、采购、集成、运行、维护等整个产品供应链中的各个阶段,一旦风险与安全管理失控,则给银行...
  • 信息安全管理体系ISO27001&IT服务管理体系ISO20000(转)信息安全管理体系ISO27001&IT服务管理体系ISO20000 http://www.itpub.net/693458.html现在很多...

    信息安全管理体系ISO27001&IT服务管理体系ISO20000(转)

    信息安全管理体系ISO27001&IT服务管理体系ISO20000

    http://www.itpub.net/693458.html


    现在很多IT外包企业在需要做这个,据说做好了国家会有补贴。发一下做个小介绍。

    什么是信息安全管理体系(ISMS)?

    信息安全管理体系是系统的对组织敏感信息进行管理,涉及到人,程序和信息科技(IT)系统。BSI发布了正被国际上使用的信息安全管理体系标准号ISO/IEC 17799 (BS7799-1)。


    信息安全不是有一个终端防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面信息管理,管理更为有效。

    ISO/IEC17799 (BS7799-1:2005)

    BS7799 由两部分组成。BS7799-1是信息安全管理的最佳实践指南,BS7799-2是信息安全管理体系的要求,是获取认证的标准。BS7799-1已在2005年5月转为ISO标准-ISO/IEC17799 (BS7799-1:2005),BS7799-2已在2005年10月转为ISO标准-ISO27001(BS7799-2:2005),并且继续保持BS7799的编号。

    BS7799可以帮助公司识别,管理和减少信息通常所面临的各种威胁。

    ISO27001(BS7799-1:2005)的十一个章节概述如下:

    · 安全方针-为信息安全提供管理指导和支持。

    · 安全组织-在公司内管理信息安全。

    · 资产分类与管理-对公司的信息资产采取适当的保护措施。

    · 人员安全-减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险。

    · 实体和环境安全-防止对商业场所及信息未经授权的访问、损坏及干扰。

    · 通讯与运作管理-确保信息处理设施正确和安全运行。

    · 访问控制-管理对信息的访问。

    · 系统的获得、开发和维护-确保将安全纳入信息系统的整个生命周期。

    · 安全事件管理-确保安全事件发生后有正确的处理流程和报告方式

    · 商业活动连续性管理-防止商业活动的中断,并保护关键的业务过程免受重大故障或灾难的影响。

    · 符合法律-避免违反任何刑法和民法、法律法规或合同义务以及任何安全要求。

    使用ISO27001:2005(BS7799-2:2005)作为信息安全管理标准,由BSI认证。可以向您的股东证实您符合信息安全要求。


    什么是IT服务管理体系ITSMS?


    IT服务管理体系(ITSMS)提供了一个管理IT服务的系统化的方法,无论这个IT服务的客户是内部的还是外部的,它包含了人员、过程和IT系统。

    BSI出版的BS 15000标准包括IT服务管理的规范和实施要点两个部分,作为一个被业内广泛接受的标准,与英国商务部(OGC)制订的ITIL定义的过程方法相一致。BS 15000正被国际上广泛采用,它提供了IT服务管理的审核规范,和一个集成的方法来提供有效的IT服务以满足客户和业务需求。


    什么是ISO/IEC 20000?


    ISO/IEC 20000是一个关于IT服务管理体系的要求的标准,它帮助识别和管理IT服务的关键过程,保证提供有效的IT服务满足客户和业务的需求。

    这个标准基于ITIL的最佳实践基础,ISO/IEC 20000提出了服务文化,提供了满足业务需求的服务的方法论和管理方式的优先权。它还:

    · 定义了一系列相互关联的服务管理过程

    · 识别了过程之间的关系,和这些过程关系在组织内的应用

    · 提供了方针目标和服务管理的控制措施

    · ISO/IEC 20000规定了5个关键的服务管理过程

    · 服务提供过程-包括服务级别管理、可用性管理和能力规划管理

    · 关系过程-包括服务提供者与客户和供应商之间的接口

    · 解决过程-关注需要解决和预防发生的事件和事故

    · 控制过程-包括变更管理,资产管理和配置管理

    · 发布过程-包括新的或更新的软件和硬件的发布

    一个组织利用ISO/IEC 20000作为它的IT服务管理体系的基础,并通过BSI认证,可以表明它的IT服务管理体系满足了该标准的要求。

    来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/7178747/viewspace-161455/,如需转载,请注明出处,否则将追究法律责任。

    转载于:http://blog.itpub.net/7178747/viewspace-161455/

    展开全文

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,826
精华内容 1,930
关键字:

it安全管理