信息安全管理与IT运维实务.pptVIP

信息安全管理与IT运维实务 --变更管理 --风险管理 --业务持续性管理 --灾难恢复管理 --应急响应 主要内容 信息化建设的发展趋势 变更管理实务 信息风险管理实务 业务持续性管理实务 灾难恢复管理实务 应急响应实务 有关标准的利用问题 有关工具的选择问题 一 信息化建设的发展趋势 作用 信息化建设的发展特点 信息安全与软件开发的关系 信息安全与IT运维的关系 信息安全管理与IT价值管理的关系 一 信息化建设的发展趋势 作用： 了解信息化建设的发展趋势，是掌握四项专项管理在信息化建设中作用的前提； 信息化建设的发展变化特点，影响到IT系统策划、软件开发、IT运维、IT系统退出的各个环节和各个方面，包括信息安全管理和信息安全技术方案和实现、台账和配置管理、风险管理、业务持续性和灾难恢复管理、应急响应的规划和落实等等。 一 信息化建设的发展趋势 信息化建设的发展特点 价值越来越重要：业务的辅助手段--业务的重要手段--业务的主要手段--IT系统就是业务本身 有价值资产对象越来越多：数据重要--系统重要--服务重要 技术交互越来越复杂：1对n的2或3层--m对n的多层--到业务系统要跨越多个应用系统 技术与IT系统业务价值的相对独立性整个在逐步增强，这对于“IT系统就是业务本身”而言，这种技术进步具备很大的实用价值(云计算和“纯面向对象的技术”的出现) IT系统对于业务的价值增大，使得信息安全的重要性进一步加强，在IT系统策划、开发获取和IT运维等方面的结合也越来越紧密 一 信息化建设的发展趋势 信息安全与软件开发的关系 信息安全中的应用安全的内容得到了极大地丰富和发展 这种丰富发展就是使“应用安全的核心问题就是责任的落实于确认”变得十分重要 使用传统的技术实现手段来保证，本身就是风险的来源之一，有些做法本身甚至就是错误的，这主要体现在业务应用系统中的实体/用户的标识、认证、授权和审计各个方面，这些需要在软件开发中解决 业务应用安全需要在业务应用系统的策划和需求阶段就要给予考虑，不能采取传统的事后补丁的方法，要同时提出需求、同时设计、同时实施和同时上线 一 信息化建设的发展趋势 信息安全与IT运维的的关系 信息安全中的物理环境安全、网络安全、系统安全(主机、操作系统、数据库、中间件和常见的应用服务程序、存储系统)、数据安全日益和IT系统的运维日益结合在一起。 信息安全管理和IT价值的管理日益结合在一起 目前信息安全管理和IT服务管理结合比较好。IT服务管理中专门有个过程域叫做信息安全管理。但是二者不是从属关系，而是交叉关系； 信息安全管理和IT价值管理的核心就是从业务角度就信息系统所面临的风险进行评估，就期望避免的损失和成本进行平衡，从业务角度来评价和估计信息安全管理的绩效； 信息安全管理从业务价值而言属于业务风险管理范畴，所以信息安全都属于“不得不花的钱” 二 变更管理实务 变更管理的基础 变更管理的目的 变更管理流程的活动 变更管理流程和其他ITSM管理流程间的关系 变更管理的难点以及处置 变更管理的绩效考核 二 变更管理实务 变更管理的基础 变更管理的基础是做好台帐管理和配置管理； 台帐管理和配置管理是IT管理中的最基础的管理。配置管理是容易做但是难以做好的基础管理工作； 台帐管理是配置管理的基础管理工作； 要使变更管理受控，作为其基础的配置管理需要做到以下几个关键点： 根据业务的需要建立合理的配置项粒度划分的准则，并按照这个准则识别出各个层级的配置项。其中最低配置项的识别以及各层配置项的构成关系也要反应出来； 把IT运维和软件开发的配置管理分开，并建立其间的接口； 需要建立对生产系统中已有配置建立监控系统和监管系统，增强认证、授权和审计功能，避免非授权的变更 二 变更管理实务 变更管理的目的 确保使用标准的方法和流程 迅速地，平衡地，负责任地处理变更，将变更对服务产生的影响降到最低 使变更可以跟踪 即要能够准确准确回答“什么变更了”这个问题 二 变更管理实务 变更管理流程的活动 二 变更管理实务 变更管理流程和其他ITSM管理流程间的关系 二 变更管理实务 变更管理的难点以及处置 变更管理的难点有四： 如果配置管理不细致、不严格，则变更管理很难真正控制住。没有根据业务特点来识别配置项是最常见的失误； 如果没有对生产系统的现有配置给处于自动监控系统和自动监管系统的监视之下，则很难根除未经批准的变更；会出现情况有： 变更后其他方不知道，从而留下隐患； 出料事故后，不能找到行为证据，给归因分析原因造成人为的困难； 紧急变更需要根据实际情况做一定的隔离，否则有些变化频繁的业务就是随时有经常性质的变更，为此不仅需要在在管理上分别管理，还需要一定的投资； IT系统开发时没有考虑运维的要求，