תהליך ניהול אבטחת המידע (Information Security management) הוא התהליך שנועד:
“להגדיר את המדיניות להגנה על שלמות, סודיות וזמינות המידע”
Security Policy: הגדרת מדיניות לשמירה על האינטרסים של לקוחות ה-IT אשר סומכים על מערכות המידע מבחינת שלמות המידע, סודיות ויכולת לגשת למידע זמין.
סוגי הבקרות לשמירה על אבטחת המידע:
1. מניעה (Prevention) – לאפשר גישה רק למורשים, לחסום את מי שאינו מורשה,
2. הפחתה (Reduction) – שימוש בכלים להקטנת הנזק, למנוע פעילות של בעלי זדון,
3. איתור (Detection) – גילוי האירוע ברגע ההתרחשות, התראה ונקיטת פעולות מיידיות,
4. דיכוי (Repression) – חסימת כתובות חשודות ומסוכנות, מניעת האפשרות להרחבת הנזק,
5.תיקון (Correction) – הסרת המפגע והחזרת המצב לקדמותו,
6.שחזור (Recovery) – שיחזור השירותים אחרי שנוצר נזק למצב שהיה לפני התקיפה.
ההמלצה היא לתכנן תהליכי עבודה שיכללו את הצעדים הללו, ולמסד את כתוב במספר נהלים: נוהל גישה והרשאות, נהלי אנטי-וירוס והגנות מיילים, נוהל חסימת כתובות אינטרנט, נוהל גישה מרחוק, נוהלי גישה לקבלני-משנה, נוהל הסרת ציוד מיושן
לפרטים נוספים – מתודת ITIL מפנה את מנהלי אבטחת המידע לאמץ את תקן ISO 27001.
הערך של תהליך ניהול אבטחת המידע (Information Security management) הוא:
@ ארגון מגדיר לעצמו מדיניות אבטחת מידע כדי לוודא שגישה למידע ארגוני תתאפשר רק למי שמוסמך לגשת אליו, ובכך להבטיח את שלמות המידע. הערך שמביא תהליך ניהול אבטחת מידע הוא ההבטחה שמדיניות זו תיאכף ותישמר בעזרת כלי ותהליכי בקרה.
@ ניהול אבטחת מידע מבטיח שנוכל לבצע את התהליכים עסקיים של הארגון ללא סיכונים, ותוך עמידה בדרישות והנחיות הרגולציה והחוק.
Information Security management is:The process responsible for ensuring that the confidentiality, integrity and availability of an organization’s assets, information, data and IT services match the agreed needs of the business. Information security management supports business security and has a wider scope than that of the IT service provider, and includes handling of paper, building access, phone calls etc. for the entire organization. (Source: the ITIL 2011 Glossary, © AXELOS Limited) |
תהליך ניהול אבטחת המידע הוא:התהליך אחראי להבטיח כי הסודיות, השלמות והזמינות של נכסי המחשוב של ארגון, המידע, הנתונים ושירותי ה-IT יתאימו לצרכים המוסכמים של הארגון העסקי. ניהול אבטחת מידע תומך באבטחת המידע העסקית גם מעבר לאבטחת המידע של ספק שירותי מערכות-המידע, וזה כולל טיפול באבטחת המידע של ניירת, טיפול באבטחת הגישה למבנים, שיחות טלפון וכו’ עבור הארגון כולו. (מקור: מתוך התרגום של חברת איי-טיל יועצים למילון המונחים של ITIL 2011) |
כן… עוד נותרה לנו עבודה… הדף עדיין בבנייה.
דף זה מתוכנן לעלות לאוויר במלואו במהלך 2016. אבל… אם אתם רוצים לזרז את הכנת הדף – תנו לנו איזו תגובה על מה שקראתם עד כה. תעודדו אותנו!
ואלו הפרקים שעוד יתווספו לדף זה:
לכאן ייכנסו הסברים על תהליך ניהול אבטחת המידע (Information Security management) וכיצד מיישמים אותו.
טיפ מס. 1: עם מה להתחיל?
לכאן ייכנסו טיפים מועילים שמבוססים על הניסיון של חברת I-til Consulting מהפרוייקטים לניהול אבטחת מידע שיועציה עשו בארץ.
ניווט מהיר לכל תהליכי ITIL:
לפני שאתם בורחים….
מעניין אותנו לדעת מה אתם חושבים על דף המידע הזה. נשמח אם תכתבו משהו. תזרקו איזו מילה, תגידו לנו מה דעתכם. הנה, כאן:
ו… בקשה אחרונה.
תגובות