چگونه ITIL می تواند امنیت اطلاعات را بهبود بخشد

این مورد را ارزیابی کنید
(3 رای‌ها)

 

(ITIL (Information Technology Infrastructure Library- کتابخانه زیرساخت فناوری اطلاعات - مجموعه‌ای از بهترین شیوه‌ها و دستورالعمل‌هاست که رویکردی یکپارچه و مبتنی بر فرآیند را برای مدیریت سرویس‌های فناوری اطلاعات تعریف می‌کند.  ITILمی‌تواند تقریباً در هر نوع محیط IT اعمال شود.

علاقه و پذیرش ITIL در سراسر جهان به طور پیوسته در حال افزایش است؛ سازمان‌‌‌های دولتی و خصوصی متعددی  ITILرا برگزیده‌اند که از این میان می‌توان به سازمان‌های Proctor&Gamble، Washington Mutual، Southwest Airlines، Hershey Foods و Internal Revenue Service اشاره کرد. علاوه بر مزایایی که اغلب راجع به ITIL تبلیغ می‌شود (همترازی IT با نیازهای تجاری، بهبود کیفیت سرویس‌ها، کاهش هزینه‌های ارائه و پشتیبانی سرویس‌های IT) چارچوب ITIL می‌تواند به امنیت اطلاعات به طور مستقیم (با وجود یک فرآیند خاص مدیریت امنیت) و غیر مستقیم کمک کند.

این مقاله مروری کلی بر ITIL خواهد داشت و راجع به عملکرد ITIL در بهبود روش اجرا و مدیریت امنیت اطلاعات داخل سازمان‌ها به بحث می‌پردازد.

برای مطالعه سایر مقالات مرتبط با ITIL به وب سایت شرکت دانا پرداز www.danapardaz.net مراجعه کنید.

مروری بر ITIL

ITIL در دهه 1980 توسط دولت بریتانیا با هدف توسعه رویکردی برای استفاده موثر و مقرون به صرفه از منابع IT متعدد خود پا به عرصه وجود گذاشت. یک سازمان دولتی بریتانیا با استفاده از تجارب و تخصص افراد موفق در زمینه IT توسعه یافت و مجموعه‌ای از کتاب‌های تخصصی را منتشر کرد که هر کدام روی فرآیند متفاوتی از IT تمرکز داشتند. از آن زمان ITIL به صنعت کلی سازمان‌ها، ابزارها، خدمات مشاوره، چارچوب‌های مربوطه و نشریات تبدیل شده است. در حال حاضر یک مجموعه 44 جلدی از دستورالعمل‌های ITIL در 8 بسته اصلی در دسترس عموم قرار گرفته و همچنان در حال تحول است.

اکثر مردم هنگام بحث در موردITIL ، به کتاب‌های پشتیبانی و ارائه سرویس ITIL اشاره می‌کنند. این کتاب‌ها شامل مجموعه‌ای از بهترین شیوه‌های ساخت یافته و روش‌های استاندارد برای فرآیندهای عملیاتی IT نظیر مدیریت تغییر، انتشار و پیکربندی و همچنین مدیریت رویداد، مشکل، ظرفیت و دسترس پذیری است.

ITIL بر کیفیت سرویس تاکید دارد و بر اینکه چگونه سرویس‌های IT می‌توانند به طور موثر و مقرون به صرفه ارائه و پشتیبانی شوند، تمرکز می‌کند. در چارچوب ITIL، واحدهای تجاری داخل یک سازمان (مانند منابع انسانی، حسابداری) که کارمزد و پولی را بابت سرویس‌های IT می‌پردازند، به عنوان "مشتریان" سرویس‌های IT در نظر گرفته می‌شوند و سازمان IT نيز "تامین کننده سرویس" برای مشتریان تلقی می‌شود.

ITIL اهداف، فعالیت‌ها، ورودی‌ها و خروجی‌های بسیاری از فرآیندهای موجود در یک سازمان IT را تعریف می‌کند. این چارچوب در وهله اول روی این امر تمرکز می‌کند که چه فرآیندهایی برای تضمین کیفیت بالای سرویس‌های IT مورد نیاز است؛ اما توصیف خاص و مفصلی در مورد نحوه اجرای فرآیندها ارائه نمی‌دهد چرا که فرآیندهای هر سازمانی متفاوت خواهند بود. به عبارت دیگر، ITIL به یک سازمان می‌گوید چه کاری انجام دهد، اما نحوه انجام آن را نمی‌گوید.

چارچوب ITIL به طور معمول مرحله به مرحله با فرآیندهای افزوده شده به برنامه بهبود مستمر سرویس اجرا می‌شود.

  • سازمان‌‌ها به چند روش‌ مهم می‌توانند از ITIL بهره ببرند:
  • سرویس‌های IT بیشتر مشتری-محور می‌شوند
  • کیفیت و هزینه سرویس‌های IT بهتر مدیریت می‌شوند
  • سازمان IT ساختاری شفاف‌تر را توسعه می‌دهد و کارآمدتر می‌شود
  • مدیریت تغییرات IT آسان‌تر می‌شود
  • چارچوب مرجع یکنواختی برای ارتباطات داخلی IT وجود دارد
  • روال‌های IT استاندارد و یکپارچه هستند
  • اندازه گیری‌های عملکرد با امكان اثبات و ممیزی تعریف می‌شوند

جزئیات  ITIL

ITIL رویکردی مبتنی بر فرآیند را برای مدیریت و ارائه سرویس‌های IT در پیش می‌گیرد؛ فعالیت‌های IT به فرآیندهای مختلف تقسیم می‌شوند که هر کدام دارای سه سطح است:

  • استراتژیک: اهداف سازمان همراه با طرح کلی روش‌های دستیابی به این اهداف تعیین می شوند.
  • تاکتیکی: استراتژی به یک ساختار سازمانی مناسب و برنامه ریزی‌های ویژه تفسیر می‌شود که فرآیندهایی که باید اجرا شوند، دارایی‌هایی که باید توسعه یابند، و بالاخره نتیجه (نتایج) حاصل از فرآیندها را توصیف می‌کند.

عملیاتی: برنامه ریزی‌های تاکتیکی اجرا می‌شوند. اهداف استراتژیک در یک زمان مشخص به دست می‌آيند.

شرح هر یک از فرآیندهای متعدد IT که ITIL آنها را پوشش می‌دهد فراتر از محدوده بحث این مقاله است. اما در یک توصیف کلی و خلاصه می‌توان گفت که فرآیندهای ITIL، همراه با فرآیند مدیریت امنیت، با امنیت اطلاعات ارتباط تنگاتنگی دارند. هر یک از این حوزه‌ها، مجموعه‌ای از بهترین شیوه‌هاست:

    • مدیریت پیکربندی: بهترین شیوه‌ها برای کنترل پیکربندی تولید (به عنوان مثال، استاندارد سازی، نظارت بر وضعیت، شناسایی دارایی). این شیوه‌ها با شناسایی، کنترل، نگهداری و بررسی مواردی که زیرساخت IT سازمان را تشکیل می‌دهند، وجود یک مدل منطقی از زیرساخت را تضمین می‌کنند.
    • مدیریت رویداد: بهترین شیوه‌ها برای حل و فصل رویدادها (هر حادثه‌ای که باعث وقفه یا کاهش کیفیت يك سرویس IT می‌شود) و بازگرداندن سریع سرویس‌های  IT. این شیوه‌ها تضمین می‌كنند که سرویس پس از وقوع یک رویداد با بیشترین سرعت ممکن به حالت عادی باز گردانده می‌شود.

زیر سیستم مدیریت درخواست ها و رویداد های دانا به شما کمک می کند تا شیوه های استاندارد مدیریت رویداد ها را کاملا مبتنی بر فرآیندهای ITIL در سازمان خود پیاده سازی کنید.

    • مدیریت مشکل: بهترین شیوه‌ها برای شناسایی علت (علل) اصلی رویدادهای IT به منظور جلوگیری از وقوع مجدد آنها در آینده. این شیوه‌ها فعالانه از وقوع رویدادها و مشکلات ممانعت می‌کنند.
      • مدیریت تغییر: بهترین شیوه‌ها برای استاندارد سازی و تایید اجرای تحت کنترل تغییرات IT. این شیوه‌ها تضمین می‌کنند که تغییرات با حداقل تاثیر منفی بر سرویس‌های IT اجرا می‌شوند و قابل ردیابی هستند.
      • مدیریت توزیع: بهترین شیوه‌ها برای توزیع سخت افزار و نرم افزار. این شیوه‌ها تضمین می‌کنند که تنها نسخه‌های تست شده و صحیح نرم افزارها و سخت افزارهای مجاز به مشتریان ITارائه می‌شوند.
      • مدیریت دسترس پذیری: بهترین شیوه‌ها برای حفظ دسترس پذیری سرویس‌های تضمین شده IT به مشتریان (به عنوان مثال، بهینه سازی اقدامات نگهداری و طراحی برای به حداقل رساندن تعداد رویدادها). این شیوه‌ها تضمین می‌کنند که زیرساخت IT قابل اطمینان، انعطاف پذیر و قابل بازیابی است.
      • مدیریت مالی: بهترین شیوه‌ها برای درک و مدیریت هزینه‌ ارائه سرویس‌های IT (به عنوان مثال، بودجه بندی، حسابداری IT، شارژ). این شیوه‌ها تضمین می‌کنند که سرویس‌های  IT به طور موثر، اقتصادی و مقرون به صرفه ارائه می‌شوند.
      • مدیریت سطح سرویس: بهترین شیوه‌ها برای تضمين اینکه قراردادهایی بین IT و مشتریان IT تعیین و تکمیل می‌شوند. این شیوه‌ها تضمین می‌کنند که سرویس‌های IT از طریق چرخه توافق، نظارت، گزارش و بررسی سرویس‌های IT حفظ شده و بهبود می‌یابند.

وظیفه بخش خدمات (Service Desk) نیز  وجود دارد که بهترین شیوه‌ها را جهت ایجاد و مدیریت یک نقطه مرکزی برای تماس کاربران سرویس‌های IT  توصيف می‌كند. دو مسئولیت مهم بخش خدمات نظارت بر رویدادها و برقراری ارتباط با کاربران است.

 شکل 1 علاوه بر نمایش فرآیندهای فوق،  نشان می‌دهد که چگونه بخش خدمات به عنوان تنها نقطه تماس برای فرایندهای مختلف مدیریت سرویس انجام وظیفه می‌کند.

 شکل 1. فرآیندهای مدیریت سرویس

 

اطلاعات بیشتر راجع به فرآیندهای فوق و وظیفه بخش خدمات را می‌توانید در لیست منابع ذکر شده در انتهای این مقاله بیابید.

ITIL و امنیت اطلاعات

ITIL در پی کسب اطمینان از این مساله است که آیا اقدامات موثری برای امنیت اطلاعات در سطوح استراتژیک، تاکتیکی، عملیاتی اتخاذ شده است یا خیر. امنیت اطلاعات یک فرایند تکراری است که باید کنترل، برنامه ریزی، اجرا، ارزیابی و حفظ شود.

ITIL امنیت اطلاعات را به سطوح زیر تفكيك می‌کند:

  • سیاست‌ها - اهداف کلی یک سازمان که در تلاش برای رسیدن به آنهاست
  • فرآیندها - آنچه برای رسیدن به اهداف باید به وقوع بپیوندد
  • روال‌ها - برای رسیدن به اهداف چه کسی، چه کاری و در چه زمانی باید انجام دهد
  • دستورالعمل کار - دستورالعمل‌هایی برای انجام اقدامات خاص
  • شکل 2. فرآیند امنیت اطلاعات

همانطور که در شکل 2 مشاهده می‌کنید، ITIL امنیت اطلاعات را به عنوان یک فرآیند گردشی کامل با بررسی و بهبود مستمر تعریف می‌کند.

نظر به اینکه برخی از سازمان‌ها به اجرا و نظارت به عنوان یک مرحله می‌نگرند، فرآیند امنیت اطلاعات ITIL می‌تواند در یک فرایند هفت مرحله‌ای توضیح داده شود:

  1. با استفاده از تحلیل خطر، مشتریان IT نیازهای امنیتی خود را شناسایی می‌کنند.
  2. دپارتمان IT این نیازها را امکان سنجی کرده و آنها را با حداقل خط مبنای امنیت اطلاعات سازمان مقایسه می‌کند.
  3. سازمان IT و مشتری مذاکره کرده و یک توافقنامه سطح خدمات (SLA) تعریف می‌کنند که شامل تعریف نیازهای امنیت اطلاعات با شرايط قابل اندازه گیری است و مشخص می‌کند که این نیازها چگونه به صورت تایید شده قابل دستیابی است.
  4. توافنامه های سطح عملیات (OLAs) که شامل شرح مفصلی از نحوه ارائه سرویس‌های امنیت اطلاعات است، مورد مذاکره قرار می‌گیرد و در سازمان IT تعریف می‌شود.
  5. توافقنامه های SLA و OLA اجرا و نظارت می‌شوند.
  6. مشتریان گزارشات منظم در رابطه با  تاثیر و وضعیت سرویس‌های امنیت اطلاعات ارائه شده را دریافت می‌کنند.
  7. توافقنامه های SLA و OLA در صورت لزوم اصلاح می‌شوند.

توافقنامه سطح خدمات (SLA)

SLA بخش مهمی از فرآیند امنیت اطلاعات ITIL است. این قرارداد رسمی و کتبی است که سطوح سرویس از جمله امنیت اطلاعات را مستند می‌کند و IT مسئول ارائه آن می‌باشد.  SLA باید شامل شاخص‌های مهم عملکرد و معیارهای آن باشد. نمونه‌ای از دستورالعمل‌های امنیت اطلاعات SLA باید شامل موارد ذیل باشد:

  • روش‌های مجاز دسترسی
  • قراردادهایی در مورد ممیزی و ثبت سوابق
  • اقدامات امنیت فیزیکی
  • آموزش امنیت اطلاعات و اطلاع رسانی کاربران
  • روال صدور مجوز برای حقوق دسترسی کاربر
  • موافقت نامه در تهیه گزارش و بررسی رویدادهای امنیتی
  • گزارش‌ها و ممیزی‌های مورد انتظار

علاوه بر قراردادهای SLA و OLA، ITIL نیز 3 نوع سند امنیت اطلاعات دیگر تعریف می‌کند:

سیاست های امنیت اطلاعات: ITIL مقرر می‌كند که سیاست‌های امنیتی باید از مدیر ارشد آغاز شود و شامل موارد زیر باشد:

  1. اهداف و دامنه امنیت اطلاعات برای یک سازمان
  2. اهداف و اصول مدیریت برای تعیین نحوه مدیریت امنیت اطلاعات
  3. تعریف نقش‌ها و مسئولیت‌ها برای امنیت اطلاعات

 

طرح‌های امنیت اطلاعات: این طرح‌ها شرح می‌دهند که چگونه یک سیاست برای یک سیستم اطلاعاتی خاص و /یا واحد تجاری اجرا می‌شود.

کتاب‌های راهنما در زمینه امنیت اطلاعات: اسناد کاربردی برای استفاده روزمره که دستورالعمل‌های خاص و دقیقی را ارائه می‌دهند.

زیر سیستم SLA Management نرم افزار مدیریت خدمات فناوری اطلاعات دانا همه آنچه برای سنجش و مدیریت سطح خدمات نیاز دارید در اختیارتان قرار می دهد.

 

ITIL به 10 روش می‌تواند امنیت اطلاعات را بهبود بخشد

 

روش‌های مهمی وجود دارند که ITIL می‌تواند به کمک آنها نحوه اجرا و مدیریت امنیت اطلاعات در سازمان‌ها را بهبود بخشد. این روش‌ها عبارتند از:

  1. ITIL امنیت اطلاعات تجاری و سرویس‌ها را متمرکز می‌کند. در بسیاری از موارد، امنیت اطلاعات برای عملکردهای تجاری به عنوان یک "مرکز هزینه" و یا "مانع" تلقی می‌شود. با ITIL، صاحبان فرآیند تجاری و IT راجع به سرویس‌های امنیت اطلاعات مذاکره می‌کنند؛ که این امر همترازی سرویس‌ها با نیازهای تجاری را تضمین می‌کند.
  2. ITIL می‌تواند سازمان‌ها را قادر به توسعه و اجرای امنیت اطلاعات به روشی ساخت یافته و شفاف بر اساس بهترین شیوه‌ها می‌کند. به این ترتیب وضعیت پرسنل امنیت اطلاعات نیز می‌تواند از حالت "آتش نشانی" به رویکردی ساخت یافته‌تر و برنامه ریزی شده تغییر کند.
  3. الزام ITIL در بررسی مداوم می‌تواند اثر بخشی اقدامات امنیت اطلاعات را با تغییر نیازها، محیط‌  و تهدیدها تضمین کند.
  4. ITIL فرآیندها و استانداردهای مستندی (مانند SLA‌ها و OLA‌ها) را ایجاد می‌کند که می‌توانند ممیزی و نظارت شوند. این امر به سازمان کمک می‌کند که اثر بخشی برنامه امنیت اطلاعات خود را درک کرده و از الزامات قانونی (به عنوان مثال، HIPAA یا Sarbanes Oxley) پيروی كند
  5. ITIL مبنایی را فراهم می‌کند که بر اساس آن امنیت اطلاعات می‌تواند بنا شود. این مبنا نیاز به تعدادی از بهترین شیوه‌ها - مانند مدیریت تغییر، مدیریت پیکربندی، و مدیریت رویداد - دارد که می‌تواند به طور قابل توجهی امنیت اطلاعات را بهبود بخشد. به عنوان مثال، تعداد قابل توجهی از مسائل مربوط به امنیت اطلاعات با مدیریت نامناسب تغییر (نظیر سرورهایی با پیکربندی اشتباه) ایجاد می‌شوند.
  6. ITIL پرسنل امنیت اطلاعات را قادر می‌سازد که در مورد امنیت اطلاعات بحث کنند به گونه‌ای که سایر گروهها بتوانند آن را درک کرده و قدردان آن باشند. بسیاری از مدیران نمی‌توانند جزئیات سطح پایین در رابطه با رمز گذاری یا قوانین فایروال را "شرح دهند"، اما آنها احتمالاً قادر به درک و قدردانی از مفاهیم ITIL مانند ترکیب امنیت اطلاعات با فرآیندهای تعریف شده برای مدیریت مشکلات، بهبود سرویس‌ها، و حفظ SLA‌ها هستند. ITIL می‌تواند به مدیران در درک این مساله کمک کند که امنیت اطلاعات بخش مهمی از داشتن یک سازمان موفق و خوب است.
  7. چارچوب سازمان یافته ITIL مانع از اجراهای شتابزده و سازماندهی نشده اقدامات مربوط به امنیت اطلاعات می‌شود.  ITILنیاز به طراحی و ایجاد اقدامات منسجم و قابل اندازه‌گیری (به جای اقدامات به-محض-وقوع یا بعد از وقوع رویداد) برای امنیت اطلاعات در سرویس‌های IT دارد. این امر در نهایت موجب صرفه جویی در وقت، هزینه و تلاش سازمان می‌شود
  8. گزارش‌های مورد نیاز ITIL مدیریت سازمان را از اثر بخشی اقدامات امنیت اطلاعات به خوبی مطلع می‌كند. این گزارش‌ها همچنین اجازه می‌دهند تا مدیریت در مورد خطراتی که سازمان را تهدید می‌کنند، تصمیمات آگاهانه بگیرد.
  9. ITIL نقش‌ها و مسئولیت‌ها را برای امنیت اطلاعات تعریف می‌کند. بنابراین طی یک حادثه، روشن است که چه کسی پاسخگوست و چگونه این کار را انجام خواهد داد.
  10. ITIL یک زبان مشترک را برای بحث در مورد امنیت اطلاعات ایجاد می‌کند. این امر اجازه می‌دهد که پرسنل امنیت اطلاعات با شرکای تجاری داخلی و خارجی، از جمله سرویس‌های امنیتی خارج از سازمان ارتباط موثر برقرار کنند.

اجرای  ITIL

ITIL معمولاً کار خود را به جای IT با مدیر ارشد مانند مدیر عامل (CEO) یا مدیر اطلاعات (CIO)  آغاز می‌کند. با این حال شما به عنوان یک متخصص امنیت اطلاعات، می‌توانید با جلب توجه مدیر  ارشد به ITIL، ارزش آن را افزایش دهید. با توجه به پذیرش فزاینده چارچوب ITIL، حتماً تا به حال راجع به آن در سازمان شما  صحبت به میان آمده است؛ اما آگاه کردن مدیریت سازمان به خصوص با مزایای امنیت اطلاعات ITIL می‌تواند به تسریع پذیرش آن کمک کند.

اجرای ITIL به تلاش و صرف زمان نیازمند است. بسته به اندازه و پیچیدگی سازمان، اجرای آن زمان و تلاش قابل توجه و متفاوتی نیاز دارد. برای بسیاری از سازمان‌ها، اجرای موفقیت آمیز ITIL مستلزم تغییر در فرهنگ سازمانی و مشارکت و تعهد تمامی کارکنان است.

عوامل مهم برای اجرای موفق ITIL عبارتند از:

تعهد کامل مدیریت و مشارکت او در اجرای ITIL رویکرد مرحله به مرحله آموزش مداوم و کامل کارکنان و مدیریت نمود پیشرفت‌های ITIL در ارائه سرویس‌ها و کاهش هزینه‌ها به صورت ملموس سرمایه گذاری کافی در ابزارهای پشتیبانی ITIL

 

نتیجه

 اقدامات امنیت اطلاعات به طور پیوسته از لحاظ دامنه، پیچیدگی و اهمیت در حال افزایش است. برای سازمان‌ها مساله خطرناک، گران قیمت و ناکارآمد این است که امنیت اطلاعات خود را وابسته به فرآیندهای سرهم بندی شده داخلی کنند.  ITILمی‌تواند بر اساس بهترین شیوه‌ها این فرآیندها را با فرآیندهایی استاندارد و یکپارچه جایگزین کند. ITIL می‌تواند نحوه اجرا و مدیریت امنیت اطلاعات در سازمان‌ها را بهبود بخشد، اگر چه این کار به زمان و تلاش نیاز دارد.

درباره داناپرداز

شرکت داناپرداز از سال 1385 فعالیت خود را در صنعت انفورماتیک کشور آغاز نموده است و به صورت تخصصی در حوزه تولید نرم افزار های مدیریت فناوری اطلاعات فعالیت می نماید. نرم افزار های تولید شده این شرکت در حال حاضر در بسیاری از مراکز بزرگ کشور از جمله وزارت خانه ها، سازمان های بزرگ دولتی، بانک ها و شرکت های تجاری در حال استفاده می باشد. داناپرداز با نگاهی نو به صنعت انفورماتیک و بهره مندی از نیروهای متخصص، موفق به کسب سهم عمده ای از بازار سیستم های مدیریت فناوری اطلاعات شده است.

درباره سیستم جامع مدیریت خدمات فناوری اطلاعات دانا

نرم افزار دانا یک راهکار جامع برای مدیریت و اتوماسیون فرآیندها و امور جاری واحد فناوری اطلاعات در سازمان ها می باشد. این سیستم مبتنی بر استاندارد ITIL بوده و امکانات مورد نیاز مدیران و کارشناسان IT را جهت ارتقاء کیفیت خدمات و افزایش بهره وری فراهم می سازد. دانا دارای زیر سیستم های متعددی مانند زیر سیستم Help Desk برای پوشش نیاز های ضروری واحد فناوری اطلاعات است. نرم افزاردانا همچنین شامل قابلیت فهرست كردن سرویس، ساخت پایگاه دانش و قابلیت ايجاد پرتال سلف سرویس است و با سیستم جامع مانیتورینگ بینا یکپارچه می‌شود. برای کسب اطلاعات بیشتر درباره نرم افزار مدیریت خدمات فناوری اطلاعات دانا، به صفحه معرفی نرم افزار مدیریت خدمات فناوری اطلاعات دانا مراجعه نمایید.

خواندن 3045 دفعه

ayande.jpgdarya-navardi.jpgeghtesad-novin.jpgfolad-khozestan.jpggoldiran.jpggorgan.jpgirna.jpgmarkazi.jpgmaskan.jpgnosazi.jpgpasargad.jpgpetroshimi.jpgrefah.jpgrightel.jpgsarmayeh.jpgsepah.jpgshoraye-ali.jpgtejarat.jpg
opportunity job