ITIL が情報セキュリティを変える _4
How ITIL Can Improve Information Security
Steven Weil 2004-12-22
From <http://www.securityfocus.com/infocus/1815>
Ten ways ITIL can improve information security
情報セキュリティーに関する組織的な実施と管理を、ITIL を用いて改善するためには、いくつかの重要な手段があります。
- ITIL により、情報セキュリティー・ビジネスと、フォーカスされるサービスを維持。多くの場合において、情報セキュリティーはビジネス機能に対する、コスト・センターもしくは邪魔者として捉えられる。ITIL を用いることで、ビジネス・プロセス・オーナーと IT による、情報セキュリティー・サービスに関する折衝を実現。つまり、サービスとビジネス・ニーズの連携を保証。
- ITIL が組織に対して保証する、ベスト・プラクティスに基づいた、構造的で明快な方式による、情報セキュリティーの作成と実施。情報セキュリティーのスタッフを、消火活動から、構造的で計画的なアプローチへ移行。
- 継続的なレビューという要件を用いることで、情報セキュリティーの基準が、要件/環境/安全に関する変更を効果的に維持していくことの支援を実現。
- ITIL が確立する、監査と検証に対応する、プロセスと標準化(SLA と OLA など)のための文書化。それにより、情報セキュリティー・プログラムにおける効果と、規定要件への適応に対する、組織的な把握を推進。
- ITIL が提供する基盤の上で実現される、情報セキュリティーの構築。そのためには、情報セキュリティーを大幅に改善する、 Change Management、Configuration Management、Incident Management などの、多数のベスト・プラクティスが必要。たとえば、サーバーのコンフィグレーション失敗などの、不適切な変更管理により、情報セキュリティーに関する相当数の問題が生じる。
- ITIL が実現する、情報セキュリティー・スタッフと他グループとの間での、有意義なディスカッション。大半のマネージャが、ファイアウォールや暗号化の詳細を理解することは無いが、問題解決のために定義されたプロセスへと変換された、包括的なセキュリティーといったものであれば、理解を示すと思われる。それにより、サービスが改善され、SLA が維持される。ITIL が実現する、マネージャーによる情報セキュリティへの理解は、組織における成功を支える、重要なパートとなる。
- 組織だった ITIL フレームワークにより、情報セキュリティー基準における不適切な実施が阻止される。ITIL が要求する、一貫性のある設計と構築は、測定可能な情報セキュリティーの基準を、インシデント後の対応ではなく、IT サービスに置き換える。それにより、時間と、費用と、労力が、大幅に低減される。
- ITIL が要求するレポートにより、組織的な情報セキュリティーの効果に関する、適切な情報の伝播が維持される。さらに、このレポートにより、その組織が持っている、リスクに関する議論も活性化する。
- ITIL により、情報セキュリティーに関する役割と責任が定義される。それにより、インシデントが発生したときの責任者と、取るべき処置が明確になる。
- ITIL が確立する共通言語により、情報セキュリティーに関する議論が円滑になる。それにより、情報セキュリティー・スタッフは、他部門との効果的なコミュニケーションを実現する。また、セキュリティー・サービスのアウトソース先など、外部のビジネス・パートナーとのコミュニケーションも円滑になる。
ITIL が情報セキュリティを変える _1
ITIL が情報セキュリティを変える _2
ITIL が情報セキュリティを変える _3
ITIL が情報セキュリティを変える _4
ITIL が情報セキュリティを変える _5 (最終回)
leave a comment