11.5.2流程目标

信息安全管理是在公司治理框架内实施安全管理活动，为安全活动提供策略指引以达成安全管理的目标，推进信息安全风险管理和信息资源管理责任的落实，以确保信息安全涉及的所有方面受到关注、信息安全活动得到有效管理。信息安全管理的目标是保护信息处理和传输过程中避免受到完整性、可用性、保密性的损害或破坏。对于大多数组织而言，信息安全管理的目标可以简单地概括为CIA，即保密性(confidentiality) · 完整性(integrity)和可用性(availability)。

保密性

信息系统仅提供给授权的个人、过程或其他实体进行研究和访问。

完整性

信息的完整和准确受到保护，防止非授权的数据修改。

可用性

信息系统满足业务需求的可用要求，信息系统具备抵御攻击、系统恢复和预防故障的适当能力。

信息的保密性、完整性和可用性应依据业务和业务处理过程的需要进行优先排序，主要是从业务的角度分析，对保护对象和和保护级别的指引源自业务需求。为
了确保安全的有效性，应从业务需求和风险管理出发，对业务处理全过程实施端到端的保护，覆盖物理安全和技术安全。

信息安全管理应确保安全策略的发布、维护和执行覆盖所有的信息系统和服务。
信息安全管理需要考虑信息和业务的安全环境，主要包括以下内容：
(1)商业安全策略和计划；
(2) 当前的业务运行和安全需求；
(3)未来的业务计划和安全需求；
(4)法规政策的要求；
(5)关注SLA协议中指定的安全责任和义务；

11.5.3与其他流程的关系

1.事件管理

事件管理流程中包括安全事件的处理流程，安全事件的分类(包括SLA中定义
的安全服务内容)、处置流程、响应团队在CI项中进行配置，确保安全导致的事件
或问题及时响应处理。如果问题是源于安全事件，在处理过程上有所不同，主要包
括以下几点：

(1)首要考虑的是谁可能涉及安全事件和谁可能知道安全事件，建议在组织的
最小范围内知道信息安全事件或潜在的安全漏洞，以防止影响企业声誉、影响内部
工作和信息泄露而受到恶意进攻。

(2)指定必须参与到信息安全事件中的人，寻求解决安全事件的方法。
(3)测试修复的方法，确保不会产生新的安全问题。

2.可持续性管理

假设发生灾难事故，业务连续性计划确保对客户的影响控制在可接受的范围之
内。随着业务对于IT服务的依赖性的增强，IT服务需要提供满足服务级别协议要
求的连续性服务。当服务不可用的时候，组织无法进行连续、正常的对外业务服务，
因此，对中断业务导致的影响进行评估也是很重要的。
连续性计划的制订对于确保业务的连续性操作是很紧迫而重要的工作，能确保
灾难事件发生时，提供系统成功恢复服务的能力。连续性计划还将对于什么时候、
怎样调用连续性计划提供了清晰的指导。

3.发布管理
在软件版本发布中需要考虑的安全相关因素包括：是否为正常使用过的软件 · 软件经过严格测试、软件经过正常授权、合法软件、软件经过病毒检测没有发现异常、版本号稳定并在配置管理库中有登记、回退方案过程经过测试。

4.服务级别管理

通常服务级别协议与安全相关的内容包括；识别安全需要和客户需求；评估客户安全需求的可行性；进行谈判并记录客户的安全需求；制定和建立安全服务标准；

监控安全标准的实施；对安全服务状况形成服务报告。

5.变更管理

当变更可能影响到信息系统的安全状况时，应该评估变更对整个安全基础架构的脆弱性影响，并制定相应的安全计划(选择安全控制、审计、安全基线等考虑)，安全管理还能够识别非授权的变更。如果变更不会影响到安全状况，就在变更流程中进行处理；如果变更影响到了安全状况，就需要在变更流程中增加安全评估的环节。主要涉及与安全相关的方面包括：身份识别、授权、访问控制、审计和日志、用户管理与权限分配、安全基线。

6.配置管理

对信息资产进行安全分类和CIA赋值，配置管理CI项属性提供安全输入接口，当配置项发生变更时候就可以对其活动进行监控。

7.容量管理

性能管理对吞吐能力和响应时间进行监控，这个活动有利于分析和揭露安全事件，主要包括黑客攻击导致的磁盘消耗、网络处理速度下降、CPU资源内占用。

8.可用性管理

与可用性管理相关的安全方面包括可靠性、可维护性、适用性和可恢复性。可靠性，指服务提供者为服务功能在固定期限内能正常使用而做出的承诺。可维护性指服务比较容易维护，能通过标准的方法或技巧维护。适用性，指与第三方就IT服务组件的可用性方面的协议应与客户要求保持一致。可恢复性，指尽管服务的子系

统可能出现故障，通过适当的操作可以恢复!以确保服务连续性。

9.财务管理

应该提供足够的资金以满足安全方面的需求。
10.供应商管理

如果供应商经过授权允许访问到信息系统和服务，则应在合同条款中加入信息安全的责任或签署保密协议。