技術人員除了追求最新科技與技術時,企業往往每每所需要的還不止這些。
當企業對IT人員的要求不再只是「IT技術」,而是將可利用的資源進行流程應用的最佳化;ITIL(Information Technology Infrastructure Library)便是一套用於規範IT服務管理的架構,進而提昇IT服務水準,破除IT人員單以技術面向思考,還要與企業營運目的相互結合,進而證明IT組織存在於企業的價值。
今天我們就來漫談一下 ITIL……
ITIL 將資訊服務生命週期分為五大項目,這五大項目是持續循環以獲取卓越的服務(Service Excellence)為企業流程與可用性資源整合。
  • 服務策略(Service Strategy) : 主要是定義服務內容與衡量IT價值及發展重點。
  • 服務設計(Service Design): 確認後將其服務設計成為重要服務元件及所需之目標與監控管理機制。
  • 服務轉移(Service Transition): 將管理服務轉移服務運作。
  • 服務維運(Service Operation): 服務異常處理與問題診斷保持維運的整體正常運作系統。
  • 持續改善(Continual Service Improvement): 藉由服務報告與KPI監控持續改善來洞悉可以再被修正與躍進的依據。
資訊安全管理在ITIL內屬於服務設計(Service Design)的範疇,旨在讓資訊安全與業務安全保持一致,確保在所有服務與服務管理活動中有效地管理資訊安全。
對多數的企業組織而言,實現安全的目標條件有:
可用性: 在需要資訊時即能獲得,提供訊息的系統能夠防禦攻擊,並從故障的狀況中復原。
機密性: 只給予擁有資訊權限人員,才能取得賦予的資料訊息。
完整性: 資訊安全、正確、並能夠防止未經授權的修改。
真實和不可否認性: 企業間或與合作夥伴的商業交易以及訊息交換可以信賴。
為了有效的資訊安全管理,管理階層必須建立與維護資訊安全管理,以支持營運目標的資訊安全管理開發,應考量如下:
資訊安全政策及輔助安全政策的制定、維護、發佈與實行。
了解議定當前和未來業務安全要求,以及現有的業務安全政策與計畫。
實施一套安全控制符合資訊安全政策,管理使用服務、資訊和系統有關的風險。
管理所有需安全控制的文件與檔案。
就所使用的系統和風險,做好供應商及合約管理。
管理與所有系統及服務相關的安全事件和故障。
主動改進安全控制、安全風險管理以降低風險產生。
所有的IT服務管理流程都需將安全問題納入考量。
在進行資訊安全管理可利用PDCA(計畫-執行-檢查-行動)的框架來實現其目標 ( 請參閱附圖:表PDCA ),擬訂需要控管的項目或目標,如客戶要求或業務需求,依照需求的來源如業務如服務風險、服務層級協議(Service Level Agreement ; SLA)、操作層級協議 (Operational Level Agreement ; OLA) 等擬訂計畫,實行後評估是否符合SLA、OLA的安全政策及要求,並對IT技術安全進行定期審查,依照檢查的差異問題,進行安全控制及措施的改善,以符合SLA及OLA的規定。
表: PDCA