आईटीआईएल - सूचना सुरक्षा प्रबंधन
Information Security Management (ISM)संगठन डेटा और आईटी सेवाओं की गोपनीयता, प्रामाणिकता, गैर-प्रतिदान, अखंडता और उपलब्धता सुनिश्चित करता है। यह संगठन के सूचना संसाधनों का उचित उपयोग और सूचना सुरक्षा जोखिमों के उचित प्रबंधन को भी सुनिश्चित करता है।
Information Security Manager is the process owner of this process.
सूचना सुरक्षा तब मानी जाती है जब -
सूचना केवल अधिकृत व्यक्तियों पर देखी या प्रकट की जाती है
जानकारी अनधिकृत पहुँच (अखंडता) के विरुद्ध पूर्ण, सटीक और संरक्षित है
आवश्यक होने पर सूचना उपलब्ध और प्रयोग करने योग्य होती है, और सूचना प्रदान करने वाली प्रणालियाँ हमले का प्रतिरोध करती हैं और विफलताओं (उपलब्धता) को रोकती हैं या रोकती हैं।
व्यावसायिक लेनदेन के साथ-साथ उद्यमों के बीच या भागीदारों के साथ सूचना का आदान-प्रदान, विश्वसनीय (प्रामाणिकता और गैर-प्रतिशोध) हो सकता है
ISM सुरक्षा नीति
ISM सुरक्षा नीतियों के लिए यह आवश्यक है कि सुरक्षा के सभी क्षेत्रों को कवर किया जाए, उचित हो, व्यवसाय की आवश्यकताओं को पूरा किया जाए और इसमें निम्नलिखित आरेख में दर्शाई गई नीतियां शामिल हों -
आईएसएम फ्रेमवर्क
ISM प्रक्रिया
निम्नलिखित चित्र सूचना सुरक्षा प्रबंधन (ISM) की पूरी प्रक्रिया को दर्शाता है -
ISM फ्रेमवर्क में प्रमुख तत्व
आईएसएम ढांचे में निम्नलिखित प्रमुख तत्व शामिल हैं -
नियंत्रण
नियंत्रण तत्व का उद्देश्य है -
सूचना सुरक्षा नीति तैयार करने, अनुमोदन करने और लागू करने के लिए एक संगठन संरचना स्थापित करें
जिम्मेदारियों का आवंटन करें
प्रलेखन स्थापित करें और नियंत्रित करें
योजना
इस तत्व का उद्देश्य संगठन की आवश्यकताओं की समझ के आधार पर उचित सुरक्षा उपायों को तैयार करना और उनकी सिफारिश करना है।
लागू
यह मुख्य तत्व यह सुनिश्चित करता है कि सुरक्षा नीति को कम करने के लिए उचित प्रक्रिया, उपकरण और नियंत्रण हैं।
मूल्यांकन
मूल्यांकन तत्व का उद्देश्य है -
आईटी सिस्टम की तकनीकी सुरक्षा के नियमित ऑडिट करें
SLAs और OLAs में सुरक्षा नीति और सुरक्षा आवश्यकताओं का अनुपालन और निरीक्षण करें
बनाए रखें
मुख्य तत्व का उद्देश्य है -
उदाहरण के लिए, SLAs और OLAs के रूप में निर्दिष्ट सुरक्षा समझौतों में सुधार
सुरक्षा उपायों और नियंत्रणों के कार्यान्वयन में सुधार
निवारक
यह मुख्य तत्व सुरक्षा घटनाओं को होने से रोकने के लिए सुनिश्चित करता है। इस निवारक सुरक्षा उपायों को प्रभावी बनाने के लिए पहुँच अधिकार, प्राधिकरण, पहचान और प्रमाणीकरण और अभिगम नियंत्रण जैसे उपायों की आवश्यकता होती है।
आसान
यह किसी भी संभावित नुकसान को कम करने से संबंधित है जो हो सकता है।
जासूसी
किसी भी सुरक्षा घटना का जल्द से जल्द पता लगाना महत्वपूर्ण है।
दमन का
यह उपाय सुरक्षा घटना के किसी भी पुनरावृत्ति का मुकाबला करने के लिए उपयोग किया जाता है।
सुधारात्मक
यह उपाय सुनिश्चित करता है कि क्षति को यथासंभव दूर किया जाए।