基于生命周期的信息安全服务管理研究

摘要

信息安全服务管理是企业信息安全建设过程中不可缺少的一部分。信息安全服务管理通过对服务提供商所实施的信息安全服务生命周期过程进行计划、控制和评价，使企业的信息安全服务实施满足企业的合规性需求和内在业务安全需求。然而，目前国内并没有相关的文献针对信息安全服务实施过程的管理作出明确地定义和阐述，企业在实施安全服务过程中，缺乏一套与实际安全服务过程相匹配的、可供参考的方法论对信息安全服务的实施过程和结果进行管理。
　　 本研究针对上述问题，引入了安全服务生命周期思想，把信息安全服务管理按照信息安全体系建设生命周期进行划分，明确各阶段的任务和活动，使企业能够较轻松地掌握和应用以指导其规划、实施、持续改进及评价信息安全服务实施过程。
　　 本文首先对信息安全及IT服务管理的相关标准进行研究，分析国内信息安全服务的现状，把信息安全服务管理按照信息安全体系建设生命周期划分为四个阶段，对预实施的信息安全服务进行论证与规划，明确安全需求、可行性方案及服务目标；然后，根据论证规划的结果选择服务提供商和实施安全服务过程管理；并对实施的信息安全服务进行持续的运营、改进及评价；一旦本次信息安全服务项目实施完成或不再满足企业既定的目标和需求，就必须退出本次安全服务生命周期，从而可能进入到下一次的安全服务生命周期循环过程中。
　　 最后本人结合了某大学的信息安全服务管理实施的实例，论述了基于生命周期的信息安全服务管理的具体应用。