आईटीआईएल सुरक्षा प्रबंधन: Difference between revisions
No edit summary |
No edit summary |
||
| Line 1: | Line 1: | ||
'''[[आईटीआईएल]] सुरक्षा प्रबंधन''' संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है।<ref>{{cite web|url=http://www.iso.org/iso/catalogue_detail?csnumber=42103|title=ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems -- Requirements|publisher=}}</ref> आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक संकटों के संदर्भ में प्रलेखित सूचना [[सुरक्षा]] प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, संचालन, मॉनिटरिंग, समीक्षा, निरीक्षण और संशोधन के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों अथवा उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो इनफार्मेशन एसेट्स की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं। | '''[[आईटीआईएल]] सुरक्षा प्रबंधन''' संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है।<ref>{{cite web|url=http://www.iso.org/iso/catalogue_detail?csnumber=42103|title=ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems -- Requirements|publisher=}}</ref> आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक संकटों के संदर्भ में प्रलेखित सूचना [[सुरक्षा]] प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, संचालन, मॉनिटरिंग, समीक्षा, निरीक्षण और संशोधन के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों अथवा उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो इनफार्मेशन एसेट्स की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं। | ||
सुरक्षा प्रबंधन की मूल अवधारणा [[सूचना सुरक्षा]] है। | सुरक्षा प्रबंधन की मूल अवधारणा [[सूचना सुरक्षा|इनफार्मेशन सिक्योरिटी]] है। इनफार्मेशन सिक्योरिटी का प्राथमिक लक्ष्य सूचना के एक्सेस को नियंत्रित करना है। सूचना का मूल्य वह है जिसे संरक्षित किया जाना चाहिए। इन मूल्यों में [[गोपनीयता]], [[अखंडता]] और [[उपलब्धता]] सम्मिलित हैं। अनुमानित स्वरुप गोपनीयता, अनामिता और सत्यापनीयता हैं। | ||
सुरक्षा प्रबंधन का लक्ष्य दो भागों के अंतर्गत आता है: | सुरक्षा प्रबंधन का लक्ष्य दो भागों के अंतर्गत आता है: | ||
* | * सर्विस लेवल एग्रीमेंट (एसएलए) और अन्य बाह्य आवश्यकताओं में परिभाषित सुरक्षा आवश्यकताएं जो अनुबंध, नियम और संभावित आंतरिक अथवा बाह्य अधिरोपित नीतियों को रेखांकित करने में निर्दिष्ट हैं। | ||
* मूल सुरक्षा जो प्रबंधन की निरंतरता का आश्वासन देती है। | * मूल सुरक्षा जो प्रबंधन की निरंतरता का आश्वासन देती है। इनफार्मेशन सिक्योरिटी के लिए सरलीकृत सर्विस लेवल मैनेजमेंट प्राप्त करने के लिए यह आवश्यक है। | ||
एसएलए नियम (यदि प्रयुक्त हो) और अन्य अनुबंधों के साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है। | एसएलए नियम (यदि प्रयुक्त हो) और अन्य अनुबंधों के साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है। | ||
सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। यद्यपि, इस विशेष खंड में सबसे स्पष्ट संबंध [[सेवा स्तर प्रबंधन]], | सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। यद्यपि, इस विशेष खंड में सबसे स्पष्ट संबंध [[सेवा स्तर प्रबंधन|सर्विस लेवल मैनेजमेंट]], इंसिडेंट मैनेजमेंट और [[परिवर्तन प्रबंधन|चेंज मैनेजमेंट]] प्रक्रियाओं से संबंधित हैं। | ||
== सुरक्षा प्रबंधन == | == सुरक्षा प्रबंधन == | ||
| Line 16: | Line 16: | ||
सुरक्षा प्रबंधन सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (प्लान, डू, चेक, एक्ट) से की जा सकती है। | सुरक्षा प्रबंधन सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (प्लान, डू, चेक, एक्ट) से की जा सकती है। | ||
इनपुट | इनपुट क्लाइंट्स की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों एसएलए को प्रभावित करते हैं। एसएलए क्लाइंट और प्रक्रिया दोनों के लिए इनपुट है। प्रदाता संगठन के लिए सुरक्षा योजनाएँ विकसित करता है। इन योजनाओं में नीतियाँ और परिचालन स्तर के अनुबंध सम्मिलित होते हैं। सुरक्षा योजनाओं (प्लान) को पुनः कार्यान्वित (डू) किया जाता है और तब कार्यान्वयन का मूल्यांकन (चेक) किया जाता है। मूल्यांकन के पश्चात् योजनाओं और योजना कार्यान्वयन को बनाए रखा (एक्ट) जाता है। | ||
गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित होती हैं। बाह्य रिपोर्टें लिखी जाती हैं और | गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित होती हैं। बाह्य रिपोर्टें लिखी जाती हैं और क्लाइंट्स को भेजी जाती हैं। तब ग्राहक रिपोर्ट के माध्यम से प्राप्त इनफार्मेशन के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अतिरिक्त, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूर्ण करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना अथवा कार्यान्वयन को समायोजित कर सकता है। | ||
=== | ===नियंत्रण=== | ||
सुरक्षा प्रबंधन प्रक्रिया में प्रथम गतिविधि "नियंत्रण" उप-प्रक्रिया है। नियंत्रण उप-प्रक्रिया सुरक्षा प्रबंधन प्रक्रिया को व्यवस्थित और प्रबंधित करती है। नियंत्रण उप-प्रक्रिया प्रक्रियाओं, पॉलिसी स्टेटमेंट्स और प्रबंधन फ्रेमवर्क के लिए उत्तरदायित्व के आवंटन को परिभाषित करती है। | सुरक्षा प्रबंधन प्रक्रिया में प्रथम गतिविधि "नियंत्रण" उप-प्रक्रिया है। नियंत्रण उप-प्रक्रिया सुरक्षा प्रबंधन प्रक्रिया को व्यवस्थित और प्रबंधित करती है। नियंत्रण उप-प्रक्रिया प्रक्रियाओं, पॉलिसी स्टेटमेंट्स और प्रबंधन फ्रेमवर्क के लिए उत्तरदायित्व के आवंटन को परिभाषित करती है। | ||
सुरक्षा प्रबंधन फ्रेमवर्क कार्य योजनाओं में विकास, कार्यान्वयन और मूल्यांकन के लिए उप-प्रक्रियाओं को परिभाषित करता है। इसके अतिरिक्त, | सुरक्षा प्रबंधन फ्रेमवर्क कार्य योजनाओं में विकास, कार्यान्वयन और मूल्यांकन के लिए उप-प्रक्रियाओं को परिभाषित करता है। इसके अतिरिक्त, मैनेजमेंट फ्रेमवर्क परिभाषित करता है कि क्लाइंट्स को परिणाम किस प्रकार सूचित किए जाने चाहिए। | ||
{| class="wikitable" | {| class="wikitable" | ||
| Line 41: | Line 41: | ||
| इस प्रक्रिया में संपूर्ण लक्ष्यीकरण प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। | | इस प्रक्रिया में संपूर्ण लक्ष्यीकरण प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। | ||
|} | |} | ||
नियंत्रण उप-प्रक्रिया का मेटा- | नियंत्रण उप-प्रक्रिया का मेटा-प्रोसेस मॉडल [[एकीकृत मॉडलिंग भाषा|यूएमएल]] [[गतिविधि आरेख]] पर आधारित है और नियंत्रण उप-प्रक्रिया की गतिविधियों का अवलोकन देता है। ग्रे आयत नियंत्रण उप-प्रक्रिया का प्रतिनिधित्व करता है और इसके भीतर की छोटी बीम आकृतियाँ इसके भीतर होने वाली गतिविधियों का प्रतिनिधित्व करती हैं। | ||
[[Image:Control Process model.jpg]] | [[Image:Control Process model.jpg]] | ||
| Line 58: | Line 58: | ||
| सिक्योरिटी मैनेजमेंट फ्रेमवर्क संगठन के भीतर इनफार्मेशन सिक्योरिटी के कार्यान्वयन को प्रारम्भ करने और नियंत्रित करने और चल रहे इनफार्मेशन सिक्योरिटी प्रावधान का मैनेजमेंट करने के लिए स्थापित मैनेजमेंट फ्रेमवर्क है। | | सिक्योरिटी मैनेजमेंट फ्रेमवर्क संगठन के भीतर इनफार्मेशन सिक्योरिटी के कार्यान्वयन को प्रारम्भ करने और नियंत्रित करने और चल रहे इनफार्मेशन सिक्योरिटी प्रावधान का मैनेजमेंट करने के लिए स्थापित मैनेजमेंट फ्रेमवर्क है। | ||
|} | |} | ||
नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल [[वर्ग आरेख]] पर आधारित है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल | नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल [[वर्ग आरेख]] पर आधारित होता है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल दर्शाता है। | ||
[[Image:Control Data model.JPG]]चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया | [[Image:Control Data model.JPG]] चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया | ||
श्वेत छाया वाला कण्ट्रोल रेक्टेंगल संवृत समष्टि अवधारणा है। इसका अर्थ यह है कि कण्ट्रोल रेक्टेंगल में (उप) अवधारणाओं का संग्रह होता है। | |||
चित्र 2.1.3 | चित्र 2.1.3 कण्ट्रोल उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई अथवा समायोजित की जाती हैं। | ||
[[Image:Control Process data model.JPG]]चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया | [[Image:Control Process data model.JPG]] चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया | ||
===योजना=== | ===योजना=== | ||
योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो [[सेवा स्तर प्रबंधन]] के सहयोग से एसएलए में ( | योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो [[सेवा स्तर प्रबंधन|सर्विस लेवल मैनेजमेंट]] के सहयोग से एसएलए में (इनफार्मेशन) सिक्योरिटी अनुभाग तक ले जाती हैं। इसके अतिरिक्त, योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अंतर्निहित अनुबंधों से संबंधित हैं जो (इनफार्मेशन) सिक्योरिटी के लिए विशिष्ट हैं। | ||
योजना उप-प्रक्रिया में एसएलए में | योजना उप-प्रक्रिया में एसएलए में प्रस्तुत किए गए लक्ष्यों को ऑपरेशनल लेवल एग्रीमेंट (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन ओएलए को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है। | ||
एसएलए के इनपुट के अतिरिक्त, योजना उप-प्रक्रिया स्वयं सेवा प्रदाता के पॉलिसी स्टेटमेंट्स के साथ भी | एसएलए के इनपुट के अतिरिक्त, योजना उप-प्रक्रिया स्वयं सेवा प्रदाता के पॉलिसी स्टेटमेंट्स के साथ भी कार्य करती है। जिस प्रकार पूर्व में बताया गया है, ये पॉलिसी स्टेटमेंट्स कण्ट्रोल उप-प्रक्रिया में परिभाषित हैं। | ||
इनफार्मेशन सिक्योरिटी के लिए ऑपरेशनल लेवल एग्रीमेंट आईटीआईएल प्रक्रिया के आधार पर स्थापित और कार्यान्वित किए जाते हैं। इसके लिए अन्य आईटीआईएल प्रक्रियाओं के साथ सहयोग की आवश्यकता होती है। उदाहरण के लिए, यदि सुरक्षा प्रबंधन सुरक्षा में वृद्धि के लिए आईटी इंफ्रास्ट्रक्चर को परिवर्तित करना है, तो ये परिवर्तन प्रबंधन प्रक्रिया के माध्यम से किए जाएंगे। सुरक्षा प्रबंधन इस परिवर्तन के लिए इनपुट (परिवर्तन के लिए अनुरोध) वितरित करता है। परिवर्तन प्रबंधक परिवर्तन प्रबंधन प्रक्रिया के लिए उत्तरदायी है। | |||
{| class="wikitable" | {| class="wikitable" | ||
| Line 149: | Line 149: | ||
| The whole ''implement as planned process'' is documented in a specific way. This process ends with ''reports''. | | The whole ''implement as planned process'' is documented in a specific way. This process ends with ''reports''. | ||
|} | |} | ||
चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का | चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का अर्थ है कि ये गतिविधियाँ बंद अवधारणाएँ हैं और इस संदर्भ में इनका विस्तार नहीं किया गया है। कोई भी तीर इन चार गतिविधियों को नहीं जोड़ता है, जिसका अर्थ है कि ये गतिविधियाँ अव्यवस्थित हैं और रिपोर्टिंग सभी चार गतिविधियों के पूरा होने के बाद की जाएगी। | ||
कार्यान्वयन चरण के दौरान अवधारणाएँ बनाई और/या समायोजित की जाती हैं। | कार्यान्वयन चरण के दौरान अवधारणाएँ बनाई और/या समायोजित की जाती हैं। | ||
| Line 182: | Line 182: | ||
===मूल्यांकन=== | ===मूल्यांकन=== | ||
कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक है। मूल्यांकन | कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक है। मूल्यांकन क्लाइंट्स (और संभवतः तीसरे पक्ष) के लिए महत्वपूर्ण है। मूल्यांकन उप-प्रक्रिया के परिणामों का उपयोग सहमत उपायों और कार्यान्वयन को बनाए रखने के लिए किया जाता है। मूल्यांकन के परिणाम नई आवश्यकताओं और परिवर्तन के लिए संबंधित अनुरोध को जन्म दे सकते हैं। फिर परिवर्तन के अनुरोध को परिभाषित किया जाता है और परिवर्तन प्रबंधन को भेजा जाता है। | ||
मूल्यांकन के तीन प्रकार हैं स्व-मूल्यांकन, आंतरिक लेखापरीक्षा और बाह्य लेखापरीक्षा। | मूल्यांकन के तीन प्रकार हैं स्व-मूल्यांकन, आंतरिक लेखापरीक्षा और बाह्य लेखापरीक्षा। | ||
| Line 254: | Line 254: | ||
| This keeps the operational level agreements in proper condition. The process ends with ''maintained operational level agreements''. | | This keeps the operational level agreements in proper condition. The process ends with ''maintained operational level agreements''. | ||
|- | |- | ||
| Request for change to | | Request for change to एसएलए and/or ओएलए | ||
| Request for a change to the | | Request for a change to the एसएलए and/or ओएलए is formulated. This process ends with a ''request for change''. | ||
|- | |- | ||
| Reporting | | Reporting | ||
| Line 280: | Line 280: | ||
|- | |- | ||
| REQUEST FOR CHANGE | | REQUEST FOR CHANGE | ||
| Form, or screen, used to record details of a request for a change to the | | Form, or screen, used to record details of a request for a change to the एसएलए/ओएलए. | ||
|} | |} | ||
तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन | तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन | ||
| Line 286: | Line 286: | ||
===संपूर्ण प्रक्रिया-डेटा मॉडल=== | ===संपूर्ण प्रक्रिया-डेटा मॉडल=== | ||
चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया | चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया | ||
[[Image:Process data model security management.jpg|Process data model security management.jpg]] | |||
ओएलए[[Image:Process data model security management.jpg|Process data model security management.jpg]] | |||
== अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध == | == अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध == | ||
| Line 293: | Line 294: | ||
* आईटी ग्राहक संबंध प्रबंधन | * आईटी ग्राहक संबंध प्रबंधन | ||
* | * सर्विस लेवल मैनेजमेंट | ||
* उपलब्धता प्रबंधन | * उपलब्धता प्रबंधन | ||
* क्षमता प्रबंधन | * क्षमता प्रबंधन | ||
| Line 311: | Line 312: | ||
सुरक्षा प्रबंधन समूह का गठन किया जाता है और प्रक्रिया दिशानिर्देश प्रस्तुत किए जाते हैं एवं सभी कर्मचारियों तथा प्रदाताओं को सूचित किए जाते हैं। ये क्रियाएँ नियंत्रण चरण में की जाती हैं। | सुरक्षा प्रबंधन समूह का गठन किया जाता है और प्रक्रिया दिशानिर्देश प्रस्तुत किए जाते हैं एवं सभी कर्मचारियों तथा प्रदाताओं को सूचित किए जाते हैं। ये क्रियाएँ नियंत्रण चरण में की जाती हैं। | ||
इसके पश्चात् योजना चरण में नीतियां बनाई जाती हैं। ई-मेल सुरक्षा के लिए विशिष्ट नीतियां प्रस्तुत की जाती हैं और | इसके पश्चात् योजना चरण में नीतियां बनाई जाती हैं। ई-मेल सुरक्षा के लिए विशिष्ट नीतियां प्रस्तुत की जाती हैं और सर्विस लेवल एग्रीमेंट में संयोजित की जाती हैं। इस चरण के अंत में पूर्ण योजना कार्यान्वयन के लिए प्रस्तुत है। | ||
योजना के अनुसार क्रियान्वयन किया जाता है। | योजना के अनुसार क्रियान्वयन किया जाता है। | ||
Revision as of 11:00, 21 July 2023
आईटीआईएल सुरक्षा प्रबंधन संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है।[1] आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक संकटों के संदर्भ में प्रलेखित सूचना सुरक्षा प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, संचालन, मॉनिटरिंग, समीक्षा, निरीक्षण और संशोधन के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों अथवा उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो इनफार्मेशन एसेट्स की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं।
सुरक्षा प्रबंधन की मूल अवधारणा इनफार्मेशन सिक्योरिटी है। इनफार्मेशन सिक्योरिटी का प्राथमिक लक्ष्य सूचना के एक्सेस को नियंत्रित करना है। सूचना का मूल्य वह है जिसे संरक्षित किया जाना चाहिए। इन मूल्यों में गोपनीयता, अखंडता और उपलब्धता सम्मिलित हैं। अनुमानित स्वरुप गोपनीयता, अनामिता और सत्यापनीयता हैं।
सुरक्षा प्रबंधन का लक्ष्य दो भागों के अंतर्गत आता है:
- सर्विस लेवल एग्रीमेंट (एसएलए) और अन्य बाह्य आवश्यकताओं में परिभाषित सुरक्षा आवश्यकताएं जो अनुबंध, नियम और संभावित आंतरिक अथवा बाह्य अधिरोपित नीतियों को रेखांकित करने में निर्दिष्ट हैं।
- मूल सुरक्षा जो प्रबंधन की निरंतरता का आश्वासन देती है। इनफार्मेशन सिक्योरिटी के लिए सरलीकृत सर्विस लेवल मैनेजमेंट प्राप्त करने के लिए यह आवश्यक है।
एसएलए नियम (यदि प्रयुक्त हो) और अन्य अनुबंधों के साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है।
सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। यद्यपि, इस विशेष खंड में सबसे स्पष्ट संबंध सर्विस लेवल मैनेजमेंट, इंसिडेंट मैनेजमेंट और चेंज मैनेजमेंट प्रक्रियाओं से संबंधित हैं।
सुरक्षा प्रबंधन
सुरक्षा प्रबंधन सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (प्लान, डू, चेक, एक्ट) से की जा सकती है।
इनपुट क्लाइंट्स की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों एसएलए को प्रभावित करते हैं। एसएलए क्लाइंट और प्रक्रिया दोनों के लिए इनपुट है। प्रदाता संगठन के लिए सुरक्षा योजनाएँ विकसित करता है। इन योजनाओं में नीतियाँ और परिचालन स्तर के अनुबंध सम्मिलित होते हैं। सुरक्षा योजनाओं (प्लान) को पुनः कार्यान्वित (डू) किया जाता है और तब कार्यान्वयन का मूल्यांकन (चेक) किया जाता है। मूल्यांकन के पश्चात् योजनाओं और योजना कार्यान्वयन को बनाए रखा (एक्ट) जाता है।
गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित होती हैं। बाह्य रिपोर्टें लिखी जाती हैं और क्लाइंट्स को भेजी जाती हैं। तब ग्राहक रिपोर्ट के माध्यम से प्राप्त इनफार्मेशन के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अतिरिक्त, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूर्ण करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना अथवा कार्यान्वयन को समायोजित कर सकता है।
नियंत्रण
सुरक्षा प्रबंधन प्रक्रिया में प्रथम गतिविधि "नियंत्रण" उप-प्रक्रिया है। नियंत्रण उप-प्रक्रिया सुरक्षा प्रबंधन प्रक्रिया को व्यवस्थित और प्रबंधित करती है। नियंत्रण उप-प्रक्रिया प्रक्रियाओं, पॉलिसी स्टेटमेंट्स और प्रबंधन फ्रेमवर्क के लिए उत्तरदायित्व के आवंटन को परिभाषित करती है।
सुरक्षा प्रबंधन फ्रेमवर्क कार्य योजनाओं में विकास, कार्यान्वयन और मूल्यांकन के लिए उप-प्रक्रियाओं को परिभाषित करता है। इसके अतिरिक्त, मैनेजमेंट फ्रेमवर्क परिभाषित करता है कि क्लाइंट्स को परिणाम किस प्रकार सूचित किए जाने चाहिए।
| गतिविधियाँ | उप गतिविधियाँ | विवरण |
|---|---|---|
| कण्ट्रोल | इम्प्लीमेंट पॉलिसीस | यह प्रक्रिया उन विशिष्ट आवश्यकताओं और नियमों की रूपरेखा तैयार करती है जिन्हें सिक्योरिटी मैनेजमेंट को प्रारम्भ करने के लिए पूर्ण करना होता है। प्रक्रिया नीति विवरण के साथ समाप्त होती है। |
| सुरक्षा संगठन स्थापित करें | यह प्रक्रिया इनफार्मेशन सिक्योरिटी के लिए संगठनों को स्थापित करती है। उदाहरण के लिए, इस प्रक्रिया में स्ट्रक्चर, उत्तरदायित्व निर्धारित किये जाते हैं। यह प्रक्रिया सिक्योरिटी मैनेजमेंट फ्रेमवर्क के साथ समाप्त होती है। | |
| रिपोर्टिंग | इस प्रक्रिया में संपूर्ण लक्ष्यीकरण प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। |
नियंत्रण उप-प्रक्रिया का मेटा-प्रोसेस मॉडल यूएमएल गतिविधि आरेख पर आधारित है और नियंत्रण उप-प्रक्रिया की गतिविधियों का अवलोकन देता है। ग्रे आयत नियंत्रण उप-प्रक्रिया का प्रतिनिधित्व करता है और इसके भीतर की छोटी बीम आकृतियाँ इसके भीतर होने वाली गतिविधियों का प्रतिनिधित्व करती हैं।
File:Control Process model.jpg
| अवधारणा | विवरण |
|---|---|
| कण्ट्रोल डॉक्यूमेंट्स | कण्ट्रोल इस विचार का विवरण है कि सिक्योरिटी मैनेजमेंट किस प्रकार व्यवस्थित किया जाता है और इसे किस प्रकार प्रबंधित किया जाता है। |
| पॉलिसी स्टेटमेंट्स | पॉलिसी स्टेटमेंट्स विशिष्ट आवश्यकताओं या नियमों की रूपरेखा प्रस्तुत करते हैं जिन्हें पूर्ण किया जाना चाहिए। इनफार्मेशन सिक्योरिटी क्षेत्र में नीतियां सामान्यतः बिंदु-विशिष्ट होती हैं, जो एक ही क्षेत्र को कवर करती हैं। उदाहरण के लिए, "स्वीकार्य उपयोग" पॉलिसी कंप्यूटिंग सुविधाओं के उचित उपयोग के लिए नियमों और विनियमों को कवर करती हैं। |
| सिक्योरिटी मैनेजमेंट फ्रेमवर्क | सिक्योरिटी मैनेजमेंट फ्रेमवर्क संगठन के भीतर इनफार्मेशन सिक्योरिटी के कार्यान्वयन को प्रारम्भ करने और नियंत्रित करने और चल रहे इनफार्मेशन सिक्योरिटी प्रावधान का मैनेजमेंट करने के लिए स्थापित मैनेजमेंट फ्रेमवर्क है। |
नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल वर्ग आरेख पर आधारित होता है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल दर्शाता है।
File:Control Data model.JPG चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया
श्वेत छाया वाला कण्ट्रोल रेक्टेंगल संवृत समष्टि अवधारणा है। इसका अर्थ यह है कि कण्ट्रोल रेक्टेंगल में (उप) अवधारणाओं का संग्रह होता है।
चित्र 2.1.3 कण्ट्रोल उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई अथवा समायोजित की जाती हैं।
File:Control Process data model.JPG चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया
योजना
योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो सर्विस लेवल मैनेजमेंट के सहयोग से एसएलए में (इनफार्मेशन) सिक्योरिटी अनुभाग तक ले जाती हैं। इसके अतिरिक्त, योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अंतर्निहित अनुबंधों से संबंधित हैं जो (इनफार्मेशन) सिक्योरिटी के लिए विशिष्ट हैं।
योजना उप-प्रक्रिया में एसएलए में प्रस्तुत किए गए लक्ष्यों को ऑपरेशनल लेवल एग्रीमेंट (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन ओएलए को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है।
एसएलए के इनपुट के अतिरिक्त, योजना उप-प्रक्रिया स्वयं सेवा प्रदाता के पॉलिसी स्टेटमेंट्स के साथ भी कार्य करती है। जिस प्रकार पूर्व में बताया गया है, ये पॉलिसी स्टेटमेंट्स कण्ट्रोल उप-प्रक्रिया में परिभाषित हैं।
इनफार्मेशन सिक्योरिटी के लिए ऑपरेशनल लेवल एग्रीमेंट आईटीआईएल प्रक्रिया के आधार पर स्थापित और कार्यान्वित किए जाते हैं। इसके लिए अन्य आईटीआईएल प्रक्रियाओं के साथ सहयोग की आवश्यकता होती है। उदाहरण के लिए, यदि सुरक्षा प्रबंधन सुरक्षा में वृद्धि के लिए आईटी इंफ्रास्ट्रक्चर को परिवर्तित करना है, तो ये परिवर्तन प्रबंधन प्रक्रिया के माध्यम से किए जाएंगे। सुरक्षा प्रबंधन इस परिवर्तन के लिए इनपुट (परिवर्तन के लिए अनुरोध) वितरित करता है। परिवर्तन प्रबंधक परिवर्तन प्रबंधन प्रक्रिया के लिए उत्तरदायी है।
| गतिविधियाँ | उप गतिविधियाँ | विवरण |
|---|---|---|
| प्लान | एसएलए के लिए सिक्योरिटी अनुभाग बनाएँ | इस प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो सेवा स्तर के एग्रीमेंट में सिक्योरिटी अनुबंध पैराग्राफ तक ले जाती हैं। इस प्रक्रिया के अंत में सेवा स्तर एग्रीमेंट का सिक्योरिटी अनुभाग बनाया जाता है। |
| आधारभूत अनुबंध बनाएं | इस प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अनुबंधों को रेखांकित करती हैं। ये अनुबंध सिक्योरिटी के लिए विशिष्ट हैं। | |
| परिचालन स्तर के एग्रीमेंट बनाएं | एसएलए में सामान्य रूप से प्रस्तुत किए गए लक्ष्य परिचालन स्तर के एग्रीमेंट में निर्दिष्ट हैं। इन एग्रीमेंट को विशिष्ट संगठन इकाइयों के लिए सिक्योरिटी योजनाओं के रूप में देखा जा सकता है। | |
| रिपोर्टिंग | इस प्रक्रिया में संपूर्ण क्रिएट प्लान प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। |
योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन समष्टि गतिविधियाँ सम्मिलित हैं जो सभी विवृत गतिविधियाँ और मानक गतिविधि हैं।
| अवधारणा | विवरण |
|---|---|
| प्लान | सिक्योरिटी एग्रीमेंट के लिए योजनाएँ बनाईं। |
| सिक्योरिटी स्तर एग्रीमेंट का सिक्योरिटी अनुभाग | सिक्योरिटी एग्रीमेंट का पैराग्राफ सेवा प्रदाता और कस्टमर के मध्य लिखित एग्रीमेंट में होता है जो किसी सेवा के लिए सहमत सेवा स्तरों का प्रलेखीकरण करता है। |
| अनुबंधों को रेखांकित करना | सेवाओं की डिलीवरी को कवर करने वाले बाहरी आपूर्तिकर्ता के साथ अनुबंध जो आईटी संगठन को सेवाओं की डिलीवरी में सहायता करता है। |
| परिचालन स्तर के एग्रीमेंट | सेवाओं की डिलीवरी को कवर करने वाला आंतरिक एग्रीमेंट जो आईटी संगठन को सेवाओं की डिलीवरी में सहायता करता है। |
नियंत्रण उप-प्रक्रिया की तरह ही योजना उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया जाता है। चित्र 2.2.1 का बाईं ओर योजना उप-प्रक्रिया का मेटा-डेटा मॉडल है।
योजना आयत खुली (जटिल) अवधारणा है जिसमें दो बंद (जटिल) अवधारणाओं और मानक अवधारणा के साथ त्रीकरण प्रकार का संबंध होता है। इस विशेष संदर्भ में दो बंद अवधारणाओं का विस्तार नहीं किया गया है।
निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र दो मॉडलों के ीकरण को दर्शाता है। बिंदीदार तीर इंगित करते हैं कि योजना उप-प्रक्रिया की संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई अथवा समायोजित की जाती हैं।
File:Plan process data model.jpgचित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया
कार्यान्वयन
कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय ठीक से लागू किए गए हैं। कार्यान्वयन उप-प्रक्रिया के दौरान कोई भी उपाय परिभाषित नहीं किया जाता है और न ही बदला जाता है। उपायों की परिभाषा अथवा परिवर्तन परिवर्तन प्रबंधन प्रक्रिया के सहयोग से योजना उप-प्रक्रिया में होता है।
| गतिविधियाँ | उप गतिविधियाँ | विवरण |
|---|---|---|
| Implement | Classifying and managing of IT applications | Process of formally grouping configuration items by type, e.g., software, hardware, documentation, environment and application.
Process of formally identifying changes by type e.g., project scope change request, validation change request, infrastructure change request this process leads to asset classification and control documents. |
| Implement personnel security | Measures are adopted to give personnel safety and confidence and measures to prevent a crime/fraud. The process ends with personnel security. | |
| Implement security management | Specific security requirements and/or security rules that must be met are outlined and documented. The process ends with security policies. | |
| Implement access control | Specific access security requirements and/or access security rules that must be met are outlined and documented. The process ends with access control. | |
| Reporting | The whole implement as planned process is documented in a specific way. This process ends with reports. |
चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का अर्थ है कि ये गतिविधियाँ बंद अवधारणाएँ हैं और इस संदर्भ में इनका विस्तार नहीं किया गया है। कोई भी तीर इन चार गतिविधियों को नहीं जोड़ता है, जिसका अर्थ है कि ये गतिविधियाँ अव्यवस्थित हैं और रिपोर्टिंग सभी चार गतिविधियों के पूरा होने के बाद की जाएगी।
कार्यान्वयन चरण के दौरान अवधारणाएँ बनाई और/या समायोजित की जाती हैं।
| अवधारणा | विवरण |
|---|---|
| Implementation | Accomplished security management according to the security management plan. |
| Asset classification and control documents | A comprehensive inventory of assets with responsibility assigned to ensure that effective security protection is maintained. |
| Personnel security | Well defined job विवरण for all staff outlining security roles and responsibilities. |
| Security policies | Documents that outline specific security requirements or security rules that must be met. |
| Access control | Network management to ensure that only those with the appropriate responsibility have access to information in the networks and the protection of the supporting infrastructure. |
बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके मॉडलिंग किया जाता है। चित्र 2.3.1 का दाहिना भाग कार्यान्वयन उप-प्रक्रिया का मेटा-डेटा मॉडल है।
कार्यान्वयन दस्तावेज़ खुली अवधारणा है और इस संदर्भ में इसका विस्तार किया गया है। इसमें चार बंद अवधारणाएँ सम्मिलित हैं जिनका विस्तार नहीं किया गया है क्योंकि वे इस विशेष संदर्भ में अप्रासंगिक हैं।
दोनों मॉडलों के बीच संबंधों को स्पष्ट करने के लिए दोनों मॉडलों के ीकरण को चित्र 2.3.1 में दर्शाया गया है। गतिविधियों से अवधारणाओं तक चलने वाले बिंदीदार तीर दर्शाते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई/समायोजित की जाती हैं।
File:Implementation process data model.jpgचित्र 2.3.1: प्रक्रिया-डेटा मॉडल कार्यान्वयन उप-प्रक्रिया
मूल्यांकन
कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक है। मूल्यांकन क्लाइंट्स (और संभवतः तीसरे पक्ष) के लिए महत्वपूर्ण है। मूल्यांकन उप-प्रक्रिया के परिणामों का उपयोग सहमत उपायों और कार्यान्वयन को बनाए रखने के लिए किया जाता है। मूल्यांकन के परिणाम नई आवश्यकताओं और परिवर्तन के लिए संबंधित अनुरोध को जन्म दे सकते हैं। फिर परिवर्तन के अनुरोध को परिभाषित किया जाता है और परिवर्तन प्रबंधन को भेजा जाता है।
मूल्यांकन के तीन प्रकार हैं स्व-मूल्यांकन, आंतरिक लेखापरीक्षा और बाह्य लेखापरीक्षा।
स्व-मूल्यांकन मुख्य रूप से प्रक्रियाओं के संगठन में किया जाता है। आंतरिक ऑडिट आंतरिक आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। बाहरी ऑडिट बाहरी, स्वतंत्र आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। पहले से उल्लिखित लोगों के अतिरिक्त, संचारित सुरक्षा घटनाओं पर आधारित मूल्यांकन होता है। इस मूल्यांकन के लिए सबसे महत्वपूर्ण गतिविधियाँ आईटी-सिस्टम की सुरक्षा निगरानी हैं; सुरक्षा नियम और सुरक्षा योजना कार्यान्वयन को सत्यापित करें; आईटी-आपूर्ति के अवांछनीय उपयोग का पता लगाएं और उस पर प्रतिक्रिया दें।
| गतिविधियाँ | उप गतिविधियाँ | विवरण |
|---|---|---|
| Evaluate | Self-assessment | Examine implemented security agreements. The result of this process is self-assessment documents. |
| Internal Audit | Examine implemented security agreements by an internal EDP auditor. The result of this process is internal audit. | |
| External audit | Examine implemented security agreements by an external EDP auditor. The result of this process is external audit. | |
| Evaluation based on security incidents | Examine implemented security agreements based on security events that are not part of the standard operation of a service and which cause, or may cause, an interruption to, or a reduction in, the quality of that service. The result of this process is security incidents. | |
| Reporting | Document the Evaluate implementation process in a specific way. This process ends with reports. |
File:Evaluation process data model.jpgचित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया
चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में मेटा-प्रोसेस मॉडल और मेटा-डेटा मॉडल सम्मिलित है। मूल्यांकन उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया गया था। मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर इंगित करते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएं बनाई/समायोजित की गई हैं। मूल्यांकन चरण की सभी गतिविधियाँ मानक गतिविधियाँ हैं। मूल्यांकन चरण अवधारणाओं के संक्षिप्त विवरण के लिए तालिका 2.4.2 देखें जहां अवधारणाओं को सूचीबद्ध और परिभाषित किया गया है।
| अवधारणा | विवरण |
|---|---|
| EVALUATION | Evaluated/checked implementation. |
| RESULTS | The outcome of the evaluated implementation. |
| SELF ASSESSMENT DOCUMENTS | Result of the examination of the security management by the organization of the process itself. |
| INTERNAL AUDIT | Result of the examination of the security management by the internal EDP auditor. |
| EXTERNAL AUDIT | Result of the examination of the security management by the external EDP auditor. |
| SECURITY INCIDENTS DOCUMENTS | Results of evaluating security events which is not part of the standard operation of a service and which causes, or may cause, an interruption to, or a reduction in, the quality of that service. |
तालिका 2.4.2: अवधारणा और परिभाषा मूल्यांकन उप-प्रक्रिया सुरक्षा प्रबंधन
रखरखाव
संगठनात्मक और आईटी-बुनियादी ढाँचे में बदलाव के कारण, समय के साथ सुरक्षा जोखिम बदलते हैं, जिससे सेवा स्तर के समझौतों और सुरक्षा योजनाओं के सुरक्षा अनुभाग में संशोधन की आवश्यकता होती है।
रखरखाव मूल्यांकन उप-प्रक्रिया के परिणामों और बदलते जोखिमों में अंतर्दृष्टि पर आधारित है। ये गतिविधियाँ प्रस्ताव तैयार करेंगी। प्रस्ताव या तो योजना उप-प्रक्रिया के लिए इनपुट के रूप में काम करते हैं और चक्र के माध्यम से यात्रा करते हैं अथवा सेवा स्तर के समझौतों को बनाए रखने के हिस्से के रूप में अपनाए जा सकते हैं। दोनों ही मामलों में प्रस्ताव कार्य योजना में गतिविधियों को जन्म दे सकते हैं। वास्तविक परिवर्तन परिवर्तन प्रबंधन प्रक्रिया द्वारा किये जाते हैं।
| गतिविधियाँ | उप गतिविधियाँ | विवरण |
|---|---|---|
| Maintain | Maintenance of Service level agreements | This keeps the service level agreements in proper condition. The process ends with maintained service level agreements. |
| Maintenance of operational level agreements | This keeps the operational level agreements in proper condition. The process ends with maintained operational level agreements. | |
| Request for change to एसएलए and/or ओएलए | Request for a change to the एसएलए and/or ओएलए is formulated. This process ends with a request for change. | |
| Reporting | The implemented security policies process is documented in a specific way. This process ends with reports. |
चित्र 2.5.1 कार्यान्वयन उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र मेटा-प्रोसेस मॉडल (बाएं) और मेटा-डेटा मॉडल (दाएं) का ीकरण दिखाता है। बिंदीदार तीर दर्शाते हैं कि कार्यान्वयन चरण की गतिविधियों में कौन सी अवधारणाएँ बनाई या समायोजित की जाती हैं।
File:Maintenance process data model.jpgचित्र 2.5.1: प्रक्रिया-डेटा मॉडल रखरखाव उप-प्रक्रिया
रखरखाव उप-प्रक्रिया सेवा स्तर के समझौतों के रखरखाव और परिचालन स्तर के समझौतों के रखरखाव से शुरू होती है। इन गतिविधियों के होने के बाद (किसी विशेष क्रम में नहीं) और परिवर्तन के लिए अनुरोध होने पर परिवर्तन गतिविधि के लिए अनुरोध होगा और परिवर्तन गतिविधि के लिए अनुरोध समाप्त होने के बाद रिपोर्टिंग गतिविधि शुरू होती है। यदि परिवर्तन के लिए कोई अनुरोध नहीं है तो रिपोर्टिंग गतिविधि पहली दो गतिविधियों के बाद सीधे शुरू हो जाएगी। मेटा-डेटा मॉडल में अवधारणाएँ रखरखाव चरण के दौरान बनाई/समायोजित की जाती हैं। अवधारणाओं की सूची और उनकी परिभाषा के लिए तालिका 2.5.2 पर नज़र डालें।
| अवधारणा | विवरण |
|---|---|
| MAINTENANCE DOCUMENTS | Agreements kept in proper condition. |
| MAINTAINED SERVICE LEVEL AGREEMENTS | Service Level Agreements(security paragraph) kept in proper condition. |
| MAINTAINED OPERATIONAL LEVEL AGREEMENTS | Operational Level Agreements kept in proper condition. |
| REQUEST FOR CHANGE | Form, or screen, used to record details of a request for a change to the एसएलए/ओएलए. |
तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन
संपूर्ण प्रक्रिया-डेटा मॉडल
चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया
ओएलएProcess data model security management.jpg
अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध
जिस प्रकार से परिचय में बताया गया है, सुरक्षा प्रबंधन प्रक्रिया का लगभग सभी अन्य आईटीआईएल-प्रक्रियाओं के साथ संबंध है। ये प्रक्रियाएँ निम्नलिखित हैं:
- आईटी ग्राहक संबंध प्रबंधन
- सर्विस लेवल मैनेजमेंट
- उपलब्धता प्रबंधन
- क्षमता प्रबंधन
- आईटी सेवा निरंतरता प्रबंधन
- विन्यास प्रबंधन
- प्रस्तावित प्रबंधन
- घटना प्रबंधन एवं सेवा डेस्क
- समस्या प्रबंधन
- परिवर्तन प्रबंधन (आईटीएसएम)
इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए उत्तरदायी हैं। यद्यपि, सुरक्षा प्रबंधन संबंधित प्रक्रिया को संकेत देता है कि इन गतिविधियों की संरचना किस प्रकार की जाए।
उदाहरण: आंतरिक ई-मेल नीतियां
आंतरिक ई-मेल कई सुरक्षा संकटों के अध्यधीन है, जिसके लिए संबंधित सुरक्षा योजना और नीतियों की आवश्यकता होती है। इस उदाहरण में आईटीआईएल सुरक्षा प्रबंधन दृष्टिकोण का उपयोग ई-मेल नीतियों को कार्यान्वित करने के लिए किया जाता है।
सुरक्षा प्रबंधन समूह का गठन किया जाता है और प्रक्रिया दिशानिर्देश प्रस्तुत किए जाते हैं एवं सभी कर्मचारियों तथा प्रदाताओं को सूचित किए जाते हैं। ये क्रियाएँ नियंत्रण चरण में की जाती हैं।
इसके पश्चात् योजना चरण में नीतियां बनाई जाती हैं। ई-मेल सुरक्षा के लिए विशिष्ट नीतियां प्रस्तुत की जाती हैं और सर्विस लेवल एग्रीमेंट में संयोजित की जाती हैं। इस चरण के अंत में पूर्ण योजना कार्यान्वयन के लिए प्रस्तुत है।
योजना के अनुसार क्रियान्वयन किया जाता है।
कार्यान्वयन के पश्चात नीतियों का मूल्यांकन या तो स्व-मूल्यांकन के रूप में, अथवा आंतरिक या बाहरी लेखा परीक्षकों के माध्यम से किया जाता है।
प्रतिपालन चरण में ई-नीतियों को मूल्यांकन के आधार पर समायोजित किया जाता है। आवश्यक परिवर्तनों को परिवर्तन के अनुरोध के माध्यम से संसाधित किया जाता है।
यह भी देखें
- अवसंरचना प्रबंधन सेवाएँ
- आईटीआईएल वीजेड
- माइक्रोसॉफ्ट ऑपरेशंस फ्रेमवर्क
- सूचना सुरक्षा प्रबंधन प्रणाली
- सीओबीआईटी
- कैपेबिलिटी मचुरटी मॉडल
- आईएसपीएल
यह भी देखें
- सूचना सुरक्षा
संदर्भ
स्रोत
- बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का परिचयात्मक संचालन आधार। वैन हरेन प्रकाशन
- कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय।
- सुरक्षा प्रबंधन। (फरवरी 1, 2005)। माइक्रोसॉफ्ट
- त्से, डी. (2005)। आधुनिक व्यवसाय में सुरक्षा: सूचना सुरक्षा प्रथाओं के लिए सुरक्षा मूल्यांकन मॉडल। हांगकांग: हांगकांग विश्वविद्यालय।
श्रेणी:आईटीआईएल
श्रेणी:कंप्यूटर सुरक्षा
