400-828-7308
1. ITIL 給出了信息安全所關(guān)注的業(yè)務(wù)和服務(wù)。信息安全經(jīng)常為誤認(rèn)為是信息系統(tǒng)實現(xiàn)業(yè)務(wù) 功能過程中“成本中心”或者“負(fù)擔(dān)”。采用ITIL,業(yè)務(wù)過程擁有者和IT 來協(xié)商信息安全服務(wù),這就保證了服務(wù)和業(yè)務(wù)需求相一致。
2. ITIL 使得組織可以在最佳實踐的基礎(chǔ)上以一種機(jī)構(gòu)化的清晰的方法來規(guī)劃和實現(xiàn)信息 安全。信息安全職員可以從“消防員”的工作方式轉(zhuǎn)變成更加結(jié)構(gòu)化和有計劃的工作方 式。
3. ITIL 通過要求連續(xù)檢查來保證在需求、環(huán)境和威脅變化的情況下,信息安全措施始終保 持有效。
4. ITIL 把過程和標(biāo)準(zhǔn)(如SLA 和OLA)文檔化,使得其可以審計和監(jiān)控。有利于組織理 解信息安全規(guī)劃的有效性和檢查與政策法規(guī)(如HIPAA 或者薩班斯法案)的符合性。
5. ITIL 給出了信息安全得以建立的基礎(chǔ)(如變更管理、配置管理和事故管理),明顯的促 進(jìn)信息安全。例如,不正確的變更管理(服務(wù)器錯誤配置)會導(dǎo)致許多的信息安全問題。
6. ITIL 使得信息安全人員用其他組織可以理解的標(biāo)準(zhǔn)術(shù)語來討論信息安全。許多經(jīng)理不能 理解相對底層的詳細(xì)加密和防火墻規(guī)則,但是他們完全可以理解ITIL 的概念,例如把 信息安全放到定義好的過程中來處理問題,改進(jìn)服務(wù)和維護(hù)SLA。ITIL 可以幫助經(jīng)理 理解信息安全是一個成功的運(yùn)行良好的組織中一個重要的部分。
7. 有組織的ITIL 框架可以防止盲目的無組織的實施信息安全措施。ITIL 需要在IT 服務(wù)中 設(shè)計和建立連續(xù)的、可測量的信息安全措施,最終節(jié)省了時間、金錢和努力。
8. ITIL 中要求的報告過程,保證組織管理層有效的得到組織信息安全措施的信息。報告使 得管理層能夠決策組織所面臨的風(fēng)險。
9. ITIL 定義信息安全角色和職責(zé),在安全事故中明確責(zé)任和義務(wù)。
10.ITIL 建立了討論信息安全的通用語言。信息安全職員可以有效的和內(nèi)部和外部的業(yè)務(wù)伙 伴進(jìn)行溝通,例如組織外包安全服務(wù)。
