ISO20000信息技术服务认证体系信息安全控制措施
根据公司业务及SLA要求,服务部门组织制定信息安全管理策略、目标,并负责
识别、分析信息安全资产,包括:
——提供服务所需要的信息安全资产目录
——根据信息安全资产对服务的重要性以及所要求的保护级别对信息安全资产进
行分类,并指派相应的安全负责人
服务部门对信息安全资产实施安全风险评估,并应考虑以下因素:
——特性(例如软件漏洞、运行错误、通信失败)
——发生的可能性
——潜在的业务影响
——信息安全政策目标,满足客户特定安全需要以及所采用的法规条例
——历史经验
服务部门定期对信息安全进行汇总、分析,拟定《信息安全评估报告》。主要包
含:
——信息安全策略的有效性
——信息安全事件的趋势
——改进服务的计划
——信息、资产和系统的访问控制
