4、ITIL和BS15000 ITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫(Information Technology Infrastructure Library)。ITIL針對一些重要的IT實踐,詳細(xì)描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等。 IT服務(wù)管理中最主要的內(nèi)容就是服務(wù)交付(Service Delivery)和服務(wù)支持(Service Support) 服務(wù)交付(Service Delivery): Service Level Management Financial Management for IT Service Capacity Management IT Service Continuity Management Availability Management 服務(wù)支持(Service Support): Service Desk Incident Management Problem Management Configuration Management Change Management Release Management 有關(guān)ITIL,我之前也有一篇文章進(jìn)行過簡單介紹。 2001年,英國標(biāo)準(zhǔn)協(xié)會在國際IT 服務(wù)管理論壇(itSMF)上正式發(fā)布了以ITIL為核心的英國國家標(biāo)準(zhǔn)BS15000。這成為IT 服務(wù)管理領(lǐng)域具有歷史意義的重大事件。 BS15000 有兩個部分,目前都已經(jīng)轉(zhuǎn)化成國際標(biāo)準(zhǔn)了。 ISO/IEC 20000-1:2005 信息技術(shù)服務(wù)管理-服務(wù)管理規(guī)范(Information technology service management. Specification for Service Management) ISO/IEC 20000-2:2005 信息技術(shù)服務(wù)管理- 服務(wù)管理最佳實踐( Information technology service management. Code of Practice for Service Management) 與BS7799 相比,ITIL 關(guān)注面更為廣泛(信息技術(shù)),而且更側(cè)重于具體的實施流程。ISMS實施者可以將BS7799 作為ITIL 在信息安全方面的補(bǔ)充,同時引入ITIL 流程的方法,以此加強(qiáng)信息安全管理的實施能力。
5、CoBIT CoBIT的全稱是信息和相關(guān)技術(shù)的控制目標(biāo)(Control Objectives for Information and related Technology),是ITGI提出的IT治理模型(IT Governance),是一個IT控制和IT治理的框架(Framework)。CobiT是一個在更高的層面上指導(dǎo)管理層進(jìn)行技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)管理的IT治理模型。 CoBIT的八個控制過程: 計劃和組織(Planning & Organisation) 采購和實施(Acquisition & Implementation) 交付和支持(Delivery & Support) 監(jiān)視和評估(Monitoring & Evaluation) CoBIT的七個控制目標(biāo): 機(jī)密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 有效性(Effectiveness) 高效性(Efficiency) 可靠性(Reliability) 符合性(Compliance) 目前基本上存在著兩類控制模型,一類是類似COSO這樣的商業(yè)控制模式(business control model),另一類則是像BS7799這樣的更關(guān)注IT的控制模型(more focused on IT control model),而CoBIT的目標(biāo)是在兩者之間架起一座橋梁。
6、NIST SP800系列 美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會(National Institute of Standards and Technology,NIST)發(fā)布的Special Publication 800 文檔是一系列針對信息安全技術(shù)和管理領(lǐng)域的實踐參考指南,其中有多篇是有關(guān)信息安全管理的,包括: SP 800-12:計算機(jī)安全介紹(An Introduction to Computer Security: The NIST Handbook) SP 800-30 : IT 系統(tǒng)風(fēng)險管理指南(Risk Management Guide for Information Technology Systems) SP 800-34:IT 系統(tǒng)應(yīng)急計劃指南(Contingency Planning Guide for Information Technology Systems) SP 800-26 : IT 系統(tǒng)安全自我評估指南( Security Self-Assessment Guide for Information Technology Systems) 這些文件可以作為實施ISMS 過程中一些關(guān)鍵任務(wù)的指導(dǎo)和參照(例如風(fēng)險評估、應(yīng)急計劃等),是對BS7799 標(biāo)準(zhǔn)很好的補(bǔ)充和細(xì)化。
7、BS7799系列(ISO/IEC 27000系列) BS7799 Part 1: BSBS7799 Part 1的全稱是Code of Practice for Information Security,也即為信息安全的實施細(xì)則。2000年被采納為ISO/IEC 17799,目前其最新版本為2005版,也就是ISO 17799: 2005。 ISO/IEC 17799:2005 通過層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全等11個安全管理要素,還有39個主要執(zhí)行目標(biāo)和133個具體控制措施(最佳實踐),供負(fù)責(zé)信息安全系統(tǒng)應(yīng)用和開發(fā)的人員作為參考使用,以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容。 ISO/IEC 17799:2005的內(nèi)容如下圖:(見附件) BS7799 Part 2: BS7799 Part 2的全稱是Information Security Management Specification,也即為信息安全管理體系規(guī)范,其最新修訂版在05年10月正式成為ISO/IEC 27001:2005,ISO/IEC 27001是建立信息安全管理體系(ISMS)的一套規(guī)范,其中詳細(xì)說明了建立、實施和維護(hù)信息安全管理體系的要求,可用來指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC 17799,其最終目的,在于建立適合企業(yè)需要的信息安全管理體系(ISMS)。