構(gòu)建ITIL助力企業(yè)信息安全管理

信息安全在向更高層次的范疇延伸。首先，概念上從信息安全基礎(chǔ)建設(shè)提升到了信息安全管理，由IATF框架、13335標(biāo)準(zhǔn)、等級化保護(hù)等引領(lǐng)而來的本土化安全管理體系，使信息安全理念拓展到整個(gè)企業(yè)IT架構(gòu)的組織安全；其次，相對于商業(yè)風(fēng)險(xiǎn)而言，剝離用戶在企業(yè)層面的技術(shù)風(fēng)險(xiǎn)，幫助用戶解決的不再僅僅是與業(yè)務(wù)緊密相關(guān)的信息安全問題。通過用戶的技術(shù)風(fēng)險(xiǎn)與商業(yè)風(fēng)險(xiǎn)的管控結(jié)合，也能實(shí)現(xiàn)企業(yè)業(yè)務(wù)發(fā)展的安全風(fēng)險(xiǎn)管理。

實(shí)踐證明，ITIL（英文全拼Information Technology Infrastructure Library， IT基礎(chǔ)架構(gòu)庫）基于實(shí)踐的、標(biāo)準(zhǔn)化的、集成的過程和理論方法，有助于用戶實(shí)現(xiàn)組織改進(jìn)和信息安全管理。

在完成信息安全基礎(chǔ)設(shè)施的配套和安全標(biāo)準(zhǔn)的制定后，信息安全管理者將面對以下問題：首先是對安全事件的管理。對于一個(gè)企業(yè)或者機(jī)構(gòu)來講，指定期限內(nèi)發(fā)生的信息安全事故的數(shù)量、問題類型的描述、造成的影響、處理解決耗時(shí)和金錢代價(jià)等問題至關(guān)重要，不僅能夠正確說明潛在的安全需求，甚至直接決定未來信息安全的預(yù)算。其次是對安全變更的管理。大型企業(yè)和機(jī)構(gòu)的IT建設(shè)是一個(gè)龐大且復(fù)雜的工程，在此之上是更為復(fù)雜且不允許停頓的業(yè)務(wù)系統(tǒng)，無論是硬件設(shè)備更換還是軟件配置更新，任何一個(gè)缺乏變更登記、日志、授權(quán)、認(rèn)證管理的系統(tǒng)變化，都將給企業(yè)帶來安全風(fēng)險(xiǎn)甚至災(zāi)難。再次是對安全問題的管理。IT系統(tǒng)建設(shè)本身就是一個(gè)不斷調(diào)試優(yōu)化的過程，信息安全問題的發(fā)現(xiàn)、處理、解決能力，代表了企業(yè)信息化的水平。

根據(jù)ITIL理論，出現(xiàn)任何安全問題時(shí)，要有服務(wù)臺做初步響應(yīng)，對事件做記錄和分類。對事件快速處理后，應(yīng)當(dāng)將其記錄到事件數(shù)據(jù)庫中。ITIL將信息安全分解為4個(gè)關(guān)鍵環(huán)節(jié)：第一是策略，組織要達(dá)到的總體目標(biāo)。第二是過程，實(shí)現(xiàn)目標(biāo)所采取的行為。第三是程序，何人、何時(shí)、如何實(shí)現(xiàn)目標(biāo)。第四是規(guī)程，采取具體行為的規(guī)程。ITIL將信息安全看作是一個(gè)控制、計(jì)劃、實(shí)施、評估和維護(hù)的反復(fù)過程，藉此保證信息安全措施切實(shí)在戰(zhàn)略、戰(zhàn)術(shù)和運(yùn)行三個(gè)層次得到有效實(shí)施。

ITIL通過很多重要的途徑來改進(jìn)組織實(shí)施和優(yōu)化信息安全管理。第一，ITIL通過要求連續(xù)檢查來保證在需求、環(huán)境和威脅變化的情況下，信息安全措施始終保持有效。第二，ITIL把過程和標(biāo)準(zhǔn)（如SLA和OLA）文檔化。第三，ITIL給出了信息安全得以建立的基礎(chǔ)（如事件管理、變更管理、問題管理）。第四，ITIL建立了討論信息安全的通用語言。第五，有組織的ITIL框架可以防止盲目、無組織地實(shí)施信息安全措施。

很多企業(yè)管理者和信息化構(gòu)建者都將信息安全看成信息系統(tǒng)實(shí)現(xiàn)業(yè)務(wù)功能過程中的“成本黑洞”。ITIL劃清了信息安全服務(wù)和企業(yè)實(shí)際業(yè)務(wù)的關(guān)系，使得業(yè)務(wù)過程與IT能夠協(xié)同信息安全服務(wù)，保證了服務(wù)和業(yè)務(wù)需求相一致。企業(yè)安全管理者也可以解脫出來，成為企業(yè)信息安全策略的真正決策者。endprint