ITIL қауіпсіздігін басқару - ITIL security management - Wikipedia

Бұл мақала үшін қосымша дәйексөздер қажет тексеру. Өтінемін көмектесіңіз осы мақаланы жақсарту арқылы дәйексөздерді сенімді дерек көздеріне қосу. Ресурссыз материалға шағым жасалуы және алынып тасталуы мүмкін. Дереккөздерді табу: «ITIL қауіпсіздігін басқару»  – жаңалықтар  · газеттер  · кітаптар  · ғалым  · JSTOR (Тамыз 2016) (Бұл шаблон хабарламасын қалай және қашан жою керектігін біліп алыңыз)

ITIL қауіпсіздігін басқару қауіпсіздіктің ұйымға құрылымдық сәйкестігін сипаттайды. ITIL қауіпсіздікті басқару ISO 27001 стандартына негізделген. «ISO / IEC 27001: 2005 ұйымдардың барлық түрлерін қамтиды (мысалы, коммерциялық кәсіпорындар, мемлекеттік органдар, коммерциялық емес ұйымдар).^[1] ISO / IEC 27001: 2005 ұйымның жалпы іскери тәуекелдері аясында құжатталған Ақпараттық қауіпсіздікті басқару жүйесін құру, енгізу, пайдалану, бақылау, қарау және жетілдіру талаптарын анықтайды. Онда жекелеген ұйымдардың немесе олардың бөліктерінің қажеттіліктеріне бейімделген қауіпсіздік бақылауын жүзеге асыруға қойылатын талаптар көрсетілген. ISO / IEC 27001: 2005 ақпараттық активтерді қорғайтын және мүдделі тұлғаларға сенім беретін қауіпсіздіктің барабар және пропорционалды бақылауын таңдауды қамтамасыз етуге арналған. «

Қауіпсіздікті басқарудың негізгі тұжырымдамасы болып табылады ақпараттық қауіпсіздік. Ақпараттық қауіпсіздіктің басты мақсаты - ақпаратқа қол жетімділікті бақылау. Ақпараттың құндылығы - оны қорғау керек. Бұл мәндерге кіреді құпиялылық, тұтастық және қол жетімділік. Алынған аспектілер - құпиялылық, құпиялылық және тексерілу.

Қауіпсіздікті басқару мақсаты екі бөлімнен тұрады:

• Қауіпсіздік анықталған талаптар қызмет деңгейіндегі келісімдер (SLA) және келісімшарттарда, заңнамада және ықтимал ішкі немесе сыртқы саясатта көрсетілген басқа да сыртқы талаптар.
• Басқарудың үздіксіздігіне кепілдік беретін негізгі қауіпсіздік. Бұл ақпараттық қауіпсіздікті жеңілдетілген қызмет деңгейіндегі басқаруға қол жеткізу үшін қажет.

Құқықтық қауіпсіздік ережелері заңнамамен (егер қажет болса) және басқа келісімшарттармен бірге қауіпсіздік талаптарын анықтайды. Бұл талаптар әрекет етуі мүмкін қызметтің негізгі көрсеткіштері (KPIs), олар процесті басқару үшін және қауіпсіздікті басқару процесінің нәтижелерін түсіндіру үшін қолданыла алады.

Қауіпсіздікті басқару процесі басқа ITIL процестеріне қатысты. Алайда, бұл нақты бөлімде қатынастар ең айқын қатынастар болып табылады қызмет деңгейін басқару, оқиғаларды басқару және өзгерістерді басқару процестер.

Қауіпсіздікті басқару

Қауіпсіздікті басқару - бұл салыстыруға болатын үздіксіз процесс Эдвардс Деминг Сапа шеңбері (Жоспарлаңыз, жасаңыз, тексеріңіз, әрекет етіңіз ).

Кірістер клиенттердің талаптары болып табылады. Талаптар қауіпсіздік қызметтері мен қауіпсіздік өлшемдеріне аударылады. Клиент те, жоспардың ішкі процесі де SLA-ға әсер етеді. SLA - бұл клиент үшін де, процесс үшін де енгізу. Провайдер ұйымның қауіпсіздік жоспарларын жасайды. Бұл жоспарларда саясат пен операциялық деңгейдегі келісімдер бар. Содан кейін қауіпсіздік жоспарлары (Жоспар) іске асырылады (Do), содан кейін іске асыру бағаланады (Check). Бағалаудан кейін жоспарлар мен жоспардың орындалуы сақталады (Акт).

Іс-шаралар, нәтижелер / өнімдер және процесс құжатталған. Сыртқы есептер клиенттерге жазылады және жіберіледі. Содан кейін клиенттер есептер арқылы алынған ақпарат негізінде өз талаптарын бейімдей алады. Сонымен қатар, қызмет көрсетуші SLA-да көрсетілген барлық талаптарды (соның ішінде жаңа талаптарды) қанағаттандыру үшін жоспарын немесе іске асырылуын олардың нәтижелері негізінде түзете алады.

Бақылау

Қауіпсіздікті басқару процесіндегі алғашқы әрекет - бұл «Бақылау» ішкі процесі. Бақылау ішкі процесі қауіпсіздікті басқару процесін ұйымдастырады және басқарады. Бақылаудың ішкі процесі процестерді, саясаттың мәлімдемелері мен басқару құрылымы үшін жауапкершіліктің бөлінуін анықтайды.

Қауіпсіздікті басқару шеңбері іс-шаралар жоспарына әзірлеу, енгізу және бағалаудың ішкі процестерін анықтайды. Сонымен қатар, басқару жүйесі нәтижелерді клиенттерге қалай хабарлау керектігін анықтайды.

Кесте 2.1.2: Қауіпсіздікті басқарудың ішкі процесінің түсінігі мен анықтамасын бақылау

Қызметі	Қосалқы қызмет	Сипаттамалар
Бақылау	Саясатты жүзеге асыру	Бұл үдеріс қауіпсіздікті басқаруды жүзеге асыру үшін орындалуы керек нақты талаптар мен ережелерді көрсетеді. Процесс аяқталады саясат туралы мәлімдеме.
	Қауіпсіздік ұйымын құрыңыз	Бұл үдеріс үшін ұйымдар құрылады ақпараттық қауіпсіздік. Мысалы, бұл үдерісте құрылым жауапкершіліктері белгіленеді. Бұл процесс аяқталады қауіпсіздікті басқару жүйесі.
	Есеп беру	Бұл үдерісте барлық мақсат қою процесі нақты түрде құжатталады. Бұл процесс аяқталады есептер.

Басқарудың ішкі процесінің мета-процестің моделі а UML белсенділік диаграммасы және Бақылау ішкі процесінің қызметіне шолу жасайды. Сұр тіктөртбұрыш басқару ішкі процесін, ал ішіндегі кішігірім сәулелік пішіндер оның ішінде болатын әрекеттерді білдіреді.

Тұжырымдама	Сипаттама
Бақылау құжаттары	Бақылау - бұл қауіпсіздікті басқару қалай ұйымдастырылатындығы және оны қалай басқаратындығы.
Саяси мәлімдемелер	Саяси мәлімдемелерде нақты талаптар немесе ережелер көрсетілген, олар орындалуы керек. Ішінде ақпараттық қауіпсіздік саясат, әдетте, белгілі бір бағытты қамтитын нақты сипаттамаға ие. Мысалы, «қолайлы пайдалану» ережелері есептеу құралдарын орынды пайдалану ережелері мен ережелерін қамтиды.
Қауіпсіздікті басқару жүйесі	Қауіпсіздікті басқару жүйесі - бұл ұйым ішіндегі ақпараттық қауіпсіздікті іске асыруды бастау және бақылау және тұрақты ақпараттық қауіпсіздікті қамтамасыз етуді басқару үшін қалыптасқан басқару жүйесі.

Басқарудың ішкі процесінің метамәліметтер моделі UML негізінде жасалған сынып диаграммасы. 2.1.2-суретте бақылау ішкі процесінің метамоделі көрсетілген.

Сурет 2.1.2: Мета-процесс моделін басқарудың ішкі процесі

Ақ көлеңкесі бар БАСҚАРУ тіктөртбұрышы ашық күрделі ұғым. Бұл басқару тіктөртбұрышы (ішкі) ұғымдар жиынтығынан тұрады дегенді білдіреді.

2.1.3-сурет - бұл басқарудың ішкі процесінің процестік деректер моделі. Бұл екі модельдің интеграциясын көрсетеді. Нүктелі көрсеткілер тиісті әрекеттерде жасалынған немесе түзетілген ұғымдарды көрсетеді.

2.1.3-сурет: Процесс-деректер моделін басқарудың ішкі процесі

Жоспар

Жоспардың ішкі үдерісі ынтымақтастықта болатын іс-шараларды қамтиды қызмет деңгейін басқару SLA ішіндегі (ақпарат) қауіпсіздік бөліміне апарыңыз. Сонымен қатар, Жоспардың ішкі процесінде (ақпараттық) қауіпсіздікке арналған негіздемелік келісімдерге байланысты іс-шаралар бар.

Жоспардың ішкі процесінде SLA-да тұжырымдалған мақсаттар операциялық деңгей келісімдері (OLA) түрінде көрсетілген. Бұл OLA қызметтерді жеткізушінің белгілі бір ішкі ұйымы үшін қауіпсіздік жоспарлары ретінде анықталуы мүмкін.

SLA-ны енгізуден басқа, Жоспардың ішкі процесі қызметтерді жеткізушінің саясаттық мәлімдемелерімен де жұмыс істейді. Бұрын айтылғандай, бұл ережелер бақылаудың ішкі процесінде анықталған.

Операциялық деңгейдегі келісімдер ақпараттық қауіпсіздік ITIL процесі негізінде орнатылады және жүзеге асырылады. Бұл үшін басқа ITIL процестерімен ынтымақтастық қажет. Мысалы, егер қауіпсіздік басшылығы өзгертуді қаласа IT инфрақұрылымы қауіпсіздікті күшейту мақсатында бұл өзгерістер өзгерістерді басқару процесс. Қауіпсіздікті басқару осы өзгеріс үшін ақпаратты енгізеді (Өзгертуді сұрау). Өзгерістер менеджері өзгерістерді басқару процесіне жауап береді.

Кесте 2.2.1: (Қосымша) іс-шаралар және сипаттамалар ITIL қауіпсіздігін басқару ішкі процесін жоспарлау

Қызметі	Қосалқы қызмет	Сипаттамалар
Жоспар	SLA үшін қауіпсіздік бөлімін жасаңыз	Бұл үдеріс қызмет деңгейіндегі келісімдерде қауіпсіздік келісімдерінің абзацына әкелетін әрекеттерді қамтиды. Осы процестің соңында Қауіпсіздік қызмет деңгейінің келісімі бөлімі құрылды.
	Шарттарды жасаңыз	Бұл процесте келісімшарттардың негізделуіне әкелетін әрекеттер бар. Бұл келісімшарттар қауіпсіздікке арналған.
	Операциялық деңгейдегі келісімдер жасаңыз	SLA-дағы жалпы тұжырымдалған мақсаттар жедел деңгейдегі келісімдерде көрсетілген. Бұл келісімдерді ұйымның белгілі бір бөлімшелері үшін қауіпсіздік жоспарлары ретінде қарастыруға болады.
	Есеп беру	Бұл үдерісте жоспар құру процесі белгілі бір жолмен құжатталады. Бұл процесс есептермен аяқталады.

Жоспар реттелмеген және тапсырыс берілген (кіші) іс-әрекеттердің жиынтығынан тұрады. Ішкі процесс үш күрделі әрекетті қамтиды, олар жабық және бір стандартты әрекет болып табылады.

Кесте 2.2.2: Тұжырымдама және анықтама Ішкі процестің қауіпсіздігін басқару жоспары

Тұжырымдама	Сипаттама
Жоспар	Қауіпсіздік келісімдерінің тұжырымдалған схемалары.
Қауіпсіздік деңгейіндегі келісімдердің қауіпсіздік бөлімі	Қызмет көрсетуші мен тұтынушы (лар) арасындағы жазбаша келісімдердегі қауіпсіздік келісімдерінің параграфы қызметке келісілген қызмет деңгейлерін құжаттайды.
Шарттардың негізі	АТ ұйымына қызмет көрсету кезінде қолдау көрсететін қызметтерді жеткізуді қамтитын сыртқы жеткізушімен келісімшарт.
Операциялық деңгейдегі келісімдер	АТ ұйымына қызмет көрсетуге қолдау көрсететін қызметтерді көрсетуді қамтитын ішкі келісім.

Бақылаудың ішкі процесі сияқты, Жоспардың ішкі процесі де метамодельдеу әдісін қолдана отырып модельденеді. 2.2.1-суреттің сол жағы Жоспардың ішкі процесінің метамәліметтер моделі болып табылады.

Жоспар тіктөртбұрышы екі тұйық (күрделі) ұғымдармен және бір стандартты ұғымдармен байланыстың жиынтық типіне ие ашық (күрделі) ұғым. Екі тұйық тұжырымдама осы контексте кеңейтілмеген.

Келесі сурет (2.2.1-сурет) деректер-диаграмма Жоспардың ішкі процесі. Бұл суретте екі модельдің интеграциясы көрсетілген. Нүктелі көрсеткілер Жоспардың ішкі процесінде қандай тұжырымдамалар жасалатынын немесе түзетілгенін көрсетеді.

2.2.1-сурет: Процесс-деректер моделі Жоспардың ішкі процесі

Іске асыру

Іске асырудың ішкі процесі жоспарларда көрсетілген барлық шаралардың дұрыс орындалуын қамтамасыз етеді. Іске асыру ішкі процесі кезінде ешқандай шаралар анықталмайды және өзгертілмейді. Іс-шараларды анықтау немесе өзгерту Жоспардың ішкі процесінде өзгерістерді басқару процесімен бірге жүзеге асырылады.

2.3.1-кесте: (кіші) іс-шаралар және сипаттамалар ITIL қауіпсіздігін басқару ішкі процесін енгізу

Қызметі	Қосалқы қызмет	Сипаттамалар
Іске асыру	АТ қосымшаларын жіктеу және басқару	Ресми түрде топтастыру процесі конфигурация элементтері мысалы, бағдарламалық жасақтама, аппараттық құрал, құжаттама, қоршаған орта және қолданба бойынша. Өзгерістерді тип бойынша формальды анықтау процесі, мысалы, жоба ауқымын өзгерту сұранысы, валидацияны өзгерту сұранысы, бұл процесс инфрақұрылымды өзгерту сұранысы активтерді жіктеу және бақылау құжаттары.
	Персонал қауіпсіздігін жүзеге асыру	Персоналдың қауіпсіздігі мен сенімділігі және қылмыстың / алаяқтықтың алдын алу шаралары бойынша шаралар қабылданады. Процесс аяқталады кадрлық қауіпсіздік.
	Қауіпсіздікті басқаруды жүзеге асыру	Қауіпсіздіктің нақты талаптары және / немесе орындалуы керек қауіпсіздік ережелері баяндалған және құжатталған. Процесс аяқталады қауіпсіздік саясаты.
	Қатынауды басқаруды жүзеге асырыңыз	Орындалуы тиіс кіру қауіпсіздігінің нақты талаптары және / немесе қол жетімділік қауіпсіздігі ережелері көрсетілген және құжатталған. Процесс аяқталады қатынасты басқару.
	Есеп беру	Барлығы жоспарланған процесті жүзеге асыру белгілі бір жолмен құжатталған. Бұл процесс аяқталады есептер.

2.3.1-суреттің сол жағы - іске асыру кезеңінің мета-процестің моделі. Қара көлеңкесі бар төрт затбелгі бұл әрекеттердің жабық ұғымдар екендігін білдіреді және олар осы аяда кеңейтілмейді. Бұл төрт әрекетті ешқандай көрсеткілер байланыстырмайды, яғни бұл әрекеттер ретсіз және есеп беру барлық төрт іс-шара аяқталғаннан кейін жүзеге асырылады.

Іске асыру кезеңінде тұжырымдамалар құрылады және / немесе түзетіледі.

Кесте 2.3.2: Тұжырымдама және анықтама Іске асырудың ішкі процесі Қауіпсіздікті басқару

Тұжырымдама	Сипаттама
Іске асыру	Қауіпсіздікті басқару жоспарына сәйкес қауіпсіздікті басқару аяқталды.
Активтердің жіктелуі және бақылау құжаттары	Қауіпсіздікті тиімді қорғауды қамтамасыз ету үшін жауапкершілік жүктелген активтердің толық тізімдемесі.
Персонал қауіпсіздігі	Қауіпсіздік рөлдері мен міндеттері көрсетілген барлық қызметкерлерге арналған жұмыс сипаттамалары жақсы анықталған.
Қауіпсіздік саясаты	Қауіпсіздіктің нақты талаптарын немесе қауіпсіздік ережелерін сипаттайтын құжаттар.
Қатынасты басқару	Тек тиісті жауапкершілікке ие адамдардың желілердегі ақпаратқа және қолдаушы инфрақұрылымның қорғалуына қол жеткізуді қамтамасыз ететін желіні басқару.

Жасалған және / немесе түзетілген тұжырымдамалар метамодельдеу әдісі арқылы модельденеді. 2.3.1-суреттің оң жағы - іске асырудың ішкі процесінің метамәліметтер моделі.

Іске асыру құжаттары ашық тұжырымдама болып табылады және осы аяда кеңейтіледі. Ол кеңейтілген емес төрт тұйық тұжырымдамадан тұрады, өйткені олар осы контексте маңызды емес.

Екі модель арасындағы қатынасты түсінікті ету үшін екі модельдің интеграциясы 2.3.1 суретте көрсетілген. Әрекеттерден тұжырымдамаларға дейінгі нүктелік көрсеткілер сәйкес әрекеттерде қандай ұғымдар жасалған / реттелгенін көрсетеді.

2.3.1-сурет: Процесс-деректер моделі Іске асырудың ішкі процесі

Бағалау

Бағалау іске асыру мен қауіпсіздік жоспарларының жетістігін өлшеу үшін қажет. Бағалау клиенттер (және мүмкін үшінші тұлғалар) үшін маңызды. Бағалаудың ішкі процесінің нәтижелері келісілген шараларды және іске асыруды қолдау үшін қолданылады. Бағалау нәтижелері жаңа талаптарға және сәйкесінше әкелуі мүмкін Өзгерту туралы өтініш. Содан кейін өзгерту туралы сұраныс анықталып, оны өзгерту менеджментіне жіберіледі.

Бағалаудың үш түрі - өзін-өзі бағалау, ішкі аудит және сыртқы аудит.

Өзін-өзі бағалау негізінен процестерді ұйымдастыруда жүзеге асырылады. Ішкі аудитті ішкі IT-аудиторлар жүзеге асырады. Сыртқы аудитті сыртқы, тәуелсіз IT-аудиторлар жүзеге асырады. Жоғарыда айтылғандардан басқа, қауіпсіздіктің коммуникациялық оқиғалары негізінде бағалау жүреді. Бұл бағалаудың маңызды шаралары - бұл АТ жүйелерінің қауіпсіздігін бақылау; қауіпсіздік заңнамасы мен қауіпсіздік жоспарының орындалуын тексеру; ІТ-материалдарды қажетсіз пайдалануды қадағалау және реакция жасау.

Кесте 2.4.1: (Қосымша) іс-әрекеттер және сипаттамалар Бағалау ішкі процесін бағалау ITIL Security Management

Қызметі	Қосалқы қызмет	Сипаттамалар
Бағалаңыз	Өзін-өзі бағалау	Орындалған қауіпсіздік келісімдерін тексеріңіз. Бұл процестің нәтижесі өзін-өзі бағалау құжаттары.
	Ішкі аудит	Ішкі EDP аудиторының қауіпсіздік келісімдерін тексеріңіз. Бұл процестің нәтижесі ішкі аудит.
	Сыртқы аудит	Сыртқы EDP аудиторының қауіпсіздік келісімдерін тексеріңіз. Бұл процестің нәтижесі сыртқы аудит.
	Қауіпсіздік оқиғаларына негізделген бағалау	Қызметтің стандартты жұмысына кірмейтін және осы қызметтің сапасына кедергі келтіретін немесе төмендететін себеп болатын немесе тудыруы мүмкін қауіпсіздік оқиғаларына негізделген іске асырылған қауіпсіздік келісімдерін тексеріңіз. Бұл процестің нәтижесі қауіпсіздік оқиғалары.
	Есеп беру	Іске асыру үдерісін нақты түрде құжаттаңыз. Бұл процесс аяқталады есептер.

2.4.1-сурет: Процесс-деректер моделі Бағалаудың ішкі процесі

2.4.1 суретте көрсетілген технологиялық деректер схемасы мета-процесс моделінен және мета-деректер моделінен тұрады. Бағалаудың ішкі процесі метамодельдеу техникасының көмегімен модельденді, мета-процестің диаграммасынан (сол жақта) метамәліметтер диаграммасына (оң жақта) бағытталған нүктелік көрсеткілер сәйкес әрекеттерде қандай тұжырымдамалар жасалатынын / реттелетінін көрсетеді. Бағалау кезеңіндегі барлық іс-шаралар стандартты іс-шаралар болып табылады. Бағалау кезеңінің тұжырымдамаларының қысқаша сипаттамасы үшін 2.4.2-кестені қараңыз, мұнда тұжырымдамалар келтірілген және анықталған.

Тұжырымдама	Сипаттама
БАҒАЛАУ	Бағаланған / орындалған тексерілген.
НӘТИЖЕ	Бағаланған іске асырудың нәтижесі.
ӨЗІН-ӨЗІ БАҒАЛАУ ҚҰЖАТТАРЫ	Қауіпсіздікті басқару процесін өзі ұйымдастырған сараптама нәтижесі.
ІШКІ АУДИТ	Ішкі ЭДП аудиторының қауіпсіздікті басқару сараптамасының нәтижесі.
СЫРТҚЫ АУДИТ	Сыртқы ЭДП аудиторының қауіпсіздікті басқару сараптамасының нәтижесі.
ҚАУІПСІЗДІК ОҚИҒАЛАРЫ ҚҰЖАТТАРЫ	Қызметтің стандартты жұмысына кірмейтін және осы қызметтің сапасына кедергі келтіретін немесе төмендететін себептер тудыратын немесе тудыруы мүмкін қауіпсіздік оқиғаларын бағалау нәтижелері.

Кесте 2.4.2: Қауіпсіздікті басқарудың ішкі процесін бағалау және түсініктеме

Техникалық қызмет көрсету

Ұйымдастырушылық және ақпараттық-инфрақұрылымдық өзгерістерге байланысты қауіпсіздік тәуекелдері уақыт өте келе өзгеріп отырады, бұл қызмет деңгейіндегі келісімдер мен қауіпсіздік жоспарларының қауіпсіздік бөлімін қайта қарауды талап етеді.

Техникалық қызмет Бағалаудың ішкі процесінің нәтижелеріне және өзгеріп отырған тәуекелдерді түсінуге негізделген. Бұл іс-шаралар ұсыныстарды тудырады. Ұсыныстар жоспардың ішкі процесі және цикл бойынша жүру үшін қызмет етеді немесе қызмет деңгейіндегі келісімдерді қолдау шеңберінде қабылдануы мүмкін. Екі жағдайда да ұсыныстар іс-шаралар жоспарындағы іс-шараларға әкелуі мүмкін. Өзгерістерді басқару процесі өзгертеді.

Кесте 2.5.1: (Қосымша) іс-әрекеттер және сипаттамалар ITIL қауіпсіздігін басқару бойынша ішкі процесті қолдау

Қызметі	Қосалқы қызмет	Сипаттамалар
Сақтау	Қызмет деңгейіндегі келісімдерге қызмет көрсету	Бұл қызмет деңгейіндегі келісімдерді тиісті жағдайда сақтайды. Процесс аяқталады қызмет деңгейіндегі келісімдер сақталды.
	Операциялық деңгей келісімдерін қолдау	Бұл операциялық деңгейдегі келісімдерді тиісті жағдайда ұстайды. Процесс аяқталады операциялық деңгейдегі келісімдер жүргізілді.
	SLA және / немесе OLA өзгерту туралы сұраныс	SLA және / немесе OLA-ға өзгеріс енгізу туралы өтініш тұжырымдалған. Бұл процесс а өзгерту туралы өтініш.
	Есеп беру	Жүзеге асырылған қауіпсіздік саясатының процесі белгілі бір жолмен құжатталған. Бұл процесс аяқталады есептер.

2.5.1-сурет - бұл іске асырудың ішкі процесінің деректер-диаграммасы. Бұл суретте мета-процесс моделі (сол жақта) мен мета-деректер моделінің (оң жақта) интеграциясы көрсетілген. Нүктелі көрсеткілер іске асыру кезеңінде қандай тұжырымдамалар жасалатынын немесе түзетілгенін көрсетеді.

2.5.1-сурет: Процесс-деректер моделі Техникалық қызмет көрсетудің ішкі процесі

Техникалық қызмет көрсетудің ішкі процесі қызмет деңгейінің келісімдерін сақтаудан және операциялық деңгей келісімдерін сақтаудан басталады. Осы іс-шаралар жүзеге асырылғаннан кейін (белгілі бір тәртіппен) және өзгерту туралы өтініш болғаннан кейін, өзгертулерді енгізу туралы сұраныс пайда болады және өзгерту туралы өтініш аяқталғаннан кейін есеп беру қызметі басталады. Егер өзгерту туралы сұраныс болмаса, онда есеп беру қызметі алғашқы екі әрекеттен кейін тікелей басталады. Мета-деректер моделіндегі тұжырымдамалар техникалық қызмет көрсету кезеңінде жасалады / реттеледі. Түсініктер тізімі және олардың анықтамасы үшін 2.5.2 кестені қараңыз.

Кесте 2.5.2: Тұжырымдама және анықтама Қосымша процестің қауіпсіздігін басқару

Тұжырымдама	Сипаттама
ТЕХНИКАЛЫҚ ҚҰЖАТТАР	Келісімдер тиісті жағдайда сақталады.
ҚЫЗМЕТ КӨРСЕТУ ДЕҢГЕЙІНІҢ КЕЛІСІМДЕРІ	Қызмет деңгейі туралы келісімдер (қауіпсіздік параграфы) тиісті жағдайда сақталады.
САҚТАЛҒАН ОПЕРАЦИЯЛЫҚ ДЕҢГЕЙЛІ КЕЛІСІМДЕР	Операциялық деңгей туралы келісімдер тиісті жағдайда сақталады.
ӨЗГЕРТУ ҮШІН СҰРАУ	SLA / OLA өзгерту туралы сұраныстың мәліметтерін жазу үшін қолданылатын форма немесе экран.

Кесте 2.5.2: Тұжырымдама және анықтама Ішкі процестің қауіпсіздігін басқару

Деректердің толық моделі

2.6.1-сурет: Қауіпсіздікті басқару процесінің толық деректер моделі

ITIL-дің басқа процестерімен байланыс

Қауіпсіздікті басқару процесі, кіріспеде айтылғандай, барлық басқа ITIL процестерімен байланыста. Бұл процестер:

• Клиенттермен қарым-қатынасты басқару
• Қызмет деңгейін басқару
• Қол жетімділікті басқару
• Қуаттылықты басқару
• ІТ-қызметтің үздіксіздігін басқару
• Конфигурацияны басқару
• Шығарылымды басқару
• Оқиғаларды басқару және қызмет көрсету бөлімі
• Мәселелерді басқару
• Өзгерістерді басқару (ITSM)

Осы процестер шеңберінде қауіпсіздікке қатысты шаралар қажет. Процесске қатысты және оның процесінің менеджері осы іс-шараларға жауапты. Қауіпсіздік менеджменті бұл әрекеттерді қалай құрылымдау керектігі туралы нұсқаулар береді.

Мысалы: ішкі электрондық пошта ережелері

Ішкі электрондық пошта тиісті қауіпсіздік жоспары мен ережелерін талап ететін бірнеше қауіпсіздік қаупіне ұшырайды. Бұл мысалда ITIL қауіпсіздігін басқару тәсілі электрондық пошта саясатын жүзеге асыру үшін қолданылады.

Қауіпсіздікті басқару тобы құрылады және технологиялық нұсқаулықтар құрастырылады және барлық қызметкерлер мен провайдерлерге жеткізіледі. Бұл әрекеттер Бақылау кезеңінде жүзеге асырылады.

Жоспарлаудың келесі кезеңінде саясат тұжырымдалады. Электрондық пошта қауіпсіздігіне қатысты саясат тұжырымдалады және қызмет деңгейіндегі келісімдерге қосылады. Осы кезеңнің соңында барлық жоспар орындалуға дайын.

Іске асыру жоспарға сәйкес жүзеге асырылады.

Жүзеге асырылғаннан кейін саясат өзін-өзі бағалау ретінде немесе ішкі немесе сыртқы аудиторлар арқылы бағаланады.

Техникалық қызмет көрсету кезеңінде электронды саясат бағалау негізінде түзетіледі. Қажетті өзгерістер «Сұранымдар» арқылы өңделеді.

Сондай-ақ қараңыз

• Инфрақұрылымды басқару қызметтері
• ITIL v3
• Microsoft операциялық жүйесі
• Ақпараттық қауіпсіздікті басқару жүйесі
• COBIT
• Қабілеттің жетілу моделі
• ISPL

Сондай-ақ қараңыз

• Ақпараттық қауіпсіздік

Әдебиеттер тізімі

Дереккөздер

• Бон ван, Дж. (2004). IT-сервис менеджменті: ITIL негіздерін енгізу. Ван Харен баспасы
• Каземье, Жак А .; Overbeek, Paul L.; Питерс, Лук М. (2000). Қауіпсіздікті басқару, Кеңсе кеңсесі.
• Қауіпсіздікті басқару. (1 ақпан, 2005). Microsoft
• Tse, D. (2005). Заманауи бизнестегі қауіпсіздік: ақпараттық қауіпсіздіктің тәжірибесі үшін қауіпсіздікті бағалау моделі. Гонконг: Гонконг университеті.

Сыртқы сілтемелер

• Ашық қауіпсіздік архитектурасы
• Microsoft Operations жақтауының басты беті
• ISO / IEC 17799 веб-сайты
• ITIL ресми сайты
• IT қызметтерін басқару форумы
• ITIL форумы
• ITIL вики
• Ақпараттық қауіпсіздікті басқарудың жетілу моделі