आईटीआईएल सुरक्षा प्रबंधन: Difference between revisions

From Vigyanwiki
(Created page with "{{Refimprove | date = August 2016 }} आईटीआईएल सुरक्षा प्रबंधन एक संगठन में सुरक्षा की...")
 
No edit summary
 
(17 intermediate revisions by 3 users not shown)
Line 1: Line 1:
{{Refimprove
'''[[आईटीआईएल]] सुरक्षा प्रबंधन''' संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है।<ref>{{cite web|url=http://www.iso.org/iso/catalogue_detail?csnumber=42103|title=ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems -- Requirements|publisher=}}</ref> आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक संकटों के संदर्भ में प्रलेखित सूचना [[सुरक्षा]] प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, परिचालन, मॉनिटरिंग, ​​​​समीक्षा, मेंटेनेंस और संशोधन के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों अथवा उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो इनफार्मेशन एसेट्स की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं।
| date = August 2016
}}


[[आईटीआईएल]] सुरक्षा प्रबंधन एक संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है।<ref>{{cite web|url=http://www.iso.org/iso/catalogue_detail?csnumber=42103|title=ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems -- Requirements|publisher=}}</ref> आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक जोखिमों के संदर्भ में एक दस्तावेजित सूचना [[सुरक्षा]] प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, संचालन, निगरानी, ​​​​समीक्षा, रखरखाव और सुधार के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों या उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो सूचना संपत्तियों की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं।
सुरक्षा प्रबंधन की मूल अवधारणा [[सूचना सुरक्षा|इनफार्मेशन सिक्योरिटी]] है। इनफार्मेशन सिक्योरिटी का प्राथमिक लक्ष्य सूचना के एक्सेस को नियंत्रित करना है। सूचना का मूल्य वह है जिसे संरक्षित किया जाना चाहिए। इन मूल्यों में [[गोपनीयता|कॉन्फिडेंटिअलिटी]], [[अखंडता|इंटीग्रिटी]] और [[उपलब्धता|अवेलेबिलिटी]] सम्मिलित हैं। अनुमानित स्वरुप गोपनीयता, अनामिता और सत्यापनीयता हैं।


सुरक्षा प्रबंधन की एक मूल अवधारणा [[सूचना सुरक्षा]] है। सूचना सुरक्षा का प्राथमिक लक्ष्य सूचना तक पहुंच को नियंत्रित करना है। जानकारी का मूल्य वह है जिसे संरक्षित किया जाना चाहिए। इन मूल्यों में [[गोपनीयता]], [[अखंडता]] और [[उपलब्धता]] शामिल हैं। अनुमानित पहलू गोपनीयता, गुमनामी और सत्यापनीयता हैं।
सुरक्षा प्रबंधन का लक्ष्य दो भागों के अंतर्गत आता है:


सुरक्षा प्रबंधन का लक्ष्य दो भागों में आता है:
* सर्विस लेवल एग्रीमेंट (एसएलए) और अन्य बाह्य आवश्यकताओं में परिभाषित सुरक्षा आवश्यकताएं जो अनुबंध, नियम और संभावित आंतरिक अथवा बाह्य अधिरोपित नीतियों को रेखांकित करने में निर्दिष्ट हैं।
* मूल सुरक्षा जो प्रबंधन की निरंतरता का आश्वासन देती है। इनफार्मेशन  सिक्योरिटी के लिए सरलीकृत सर्विस लेवल मैनेजमेंट प्राप्त करने के लिए यह आवश्यक है।


* सेवा स्तर समझौतों (एसएलए) और अन्य बाहरी आवश्यकताओं में परिभाषित सुरक्षा आवश्यकताएं जो अनुबंध, कानून और संभावित आंतरिक या बाहरी थोपी गई नीतियों को रेखांकित करने में निर्दिष्ट हैं।
एसएलए नियम (यदि प्रयुक्त हो) और अन्य अनुबंधों के साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है।
* बुनियादी सुरक्षा जो प्रबंधन की निरंतरता की गारंटी देती है। सूचना सुरक्षा के लिए सरलीकृत सेवा-स्तरीय प्रबंधन प्राप्त करने के लिए यह आवश्यक है।


एसएलए कानून (यदि लागू हो) और अन्य अनुबंधों के साथ-साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है।
सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। यद्यपि, इस विशेष खंड में सबसे स्पष्ट संबंध [[सेवा स्तर प्रबंधन|सर्विस लेवल मैनेजमेंट]], इंसिडेंट मैनेजमेंट और [[परिवर्तन प्रबंधन|चेंज मैनेजमेंट]] प्रक्रियाओं से संबंधित हैं।
 
सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। हालाँकि, इस विशेष खंड में सबसे स्पष्ट संबंध [[सेवा स्तर प्रबंधन]], घटना प्रबंधन और [[परिवर्तन प्रबंधन]] प्रक्रियाओं से संबंधित हैं।


== सुरक्षा प्रबंधन ==
== सुरक्षा प्रबंधन ==


सुरक्षा प्रबंधन एक सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (पीडीसीए|प्लान, डू, चेक, एक्ट) से की जा सकती है।
सुरक्षा प्रबंधन सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (प्लान, डू, चेक, एक्ट) से की जा सकती है।


इनपुट ग्राहकों की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों SLA को प्रभावित करते हैं। SLA क्लाइंट और प्रक्रिया दोनों के लिए एक इनपुट है। प्रदाता संगठन के लिए सुरक्षा योजनाएँ विकसित करता है। इन योजनाओं में नीतियां और परिचालन स्तर के समझौते शामिल हैं। सुरक्षा योजनाओं (प्लान) को फिर कार्यान्वित (करें) किया जाता है और फिर कार्यान्वयन का मूल्यांकन (चेक) किया जाता है। मूल्यांकन के बाद योजनाओं और योजना कार्यान्वयन को बनाए रखा जाता है (अधिनियम)
इनपुट क्लाइंट्स की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों एसएलए को प्रभावित करते हैं। एसएलए क्लाइंट और प्रक्रिया दोनों के लिए इनपुट है। प्रदाता संगठन के लिए सुरक्षा योजनाएँ विकसित करता है। इन योजनाओं में नीतियाँ और परिचालन स्तर के अनुबंध सम्मिलित होते हैं। सुरक्षा योजनाओं (प्लान) को पुनः कार्यान्वित (डू) किया जाता है और तब कार्यान्वयन का मूल्यांकन (चेक) किया जाता है। मूल्यांकन के पश्चात् योजनाओं और योजना कार्यान्वयन को बनाए रखा (एक्ट) जाता है।


गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित हैं। बाहरी रिपोर्टें लिखी जाती हैं और ग्राहकों को भेजी जाती हैं। फिर ग्राहक रिपोर्ट के माध्यम से प्राप्त जानकारी के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अलावा, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूरा करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना या कार्यान्वयन को समायोजित कर सकता है।
गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित होती हैं। बाह्य रिपोर्टें लिखी जाती हैं और क्लाइंट्स को भेजी जाती हैं। तब ग्राहक रिपोर्ट के माध्यम से प्राप्त इनफार्मेशन के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अतिरिक्त, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूर्ण करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना अथवा कार्यान्वयन को समायोजित कर सकता है।


===नियंत्रण===
===नियंत्रण===


सुरक्षा प्रबंधन प्रक्रिया में पहली गतिविधि "नियंत्रण" उप-प्रक्रिया है। नियंत्रण उप-प्रक्रिया सुरक्षा प्रबंधन प्रक्रिया को व्यवस्थित और प्रबंधित करती है। नियंत्रण उप-प्रक्रिया प्रक्रियाओं, नीति वक्तव्यों और प्रबंधन ढांचे के लिए जिम्मेदारी के आवंटन को परिभाषित करती है।
सुरक्षा प्रबंधन प्रक्रिया में प्रथम गतिविधि "नियंत्रण" उप-प्रक्रिया है। नियंत्रण उप-प्रक्रिया सुरक्षा प्रबंधन प्रक्रिया को व्यवस्थित और प्रबंधित करती है। नियंत्रण उप-प्रक्रिया प्रक्रियाओं, पॉलिसी स्टेटमेंट्स और प्रबंधन फ्रेमवर्क के लिए उत्तरदायित्व के आवंटन को परिभाषित करती है।


सुरक्षा प्रबंधन ढांचा कार्य योजनाओं में विकास, कार्यान्वयन और मूल्यांकन के लिए उप-प्रक्रियाओं को परिभाषित करता है। इसके अलावा, प्रबंधन ढांचा परिभाषित करता है कि ग्राहकों को परिणाम कैसे सूचित किए जाने चाहिए।
सुरक्षा प्रबंधन फ्रेमवर्क कार्य योजनाओं में विकास, कार्यान्वयन और मूल्यांकन के लिए उप-प्रक्रियाओं को परिभाषित करता है। इसके अतिरिक्त, मैनेजमेंट फ्रेमवर्क परिभाषित करता है कि क्लाइंट्स को परिणाम किस प्रकार सूचित किए जाने चाहिए।


{| class="wikitable"
{| class="wikitable"
|+Table 2.1.2: Concept and definition control sub-process Security management
|+Table 2.1.2: अवधारणा और परिभाषा नियंत्रण उप-प्रक्रिया सिक्योरिटी मैनेजमेंट
|-
|-
! Activities !! Sub-Activities !! Descriptions
! गतिविधियाँ !! उप गतिविधियाँ !! विवरण
|-
|-
| rowspan=3 | Control
| rowspan=3 | कण्ट्रोल
| Implement policies
| इम्प्लीमेंट पॉलिसीस
| This process outlines the specific requirements and rules that have to be met in order to implement security management. The process ends with ''policy statement''.
| यह प्रक्रिया उन विशिष्ट आवश्यकताओं और नियमों की रूपरेखा तैयार करती है जिन्हें सिक्योरिटी मैनेजमेंट को प्रारम्भ करने के लिए पूर्ण करना होता है। प्रक्रिया नीति विवरण के साथ समाप्त होती है।
|-
|-
| Set up the security organization
| सुरक्षा संगठन स्थापित करें
| This process sets up the organizations for [[information security]]. For example, in this process the structure the responsibilities are set up. This process ends with ''security management framework''.
| यह प्रक्रिया [[information security|इनफार्मेशन सिक्योरिटी]] के लिए संगठनों को स्थापित करती है। उदाहरण के लिए, इस प्रक्रिया में स्ट्रक्चर, उत्तरदायित्व निर्धारित किये जाते हैं। यह प्रक्रिया सिक्योरिटी मैनेजमेंट फ्रेमवर्क के साथ समाप्त होती है।
|-
|-
| Reporting
| रिपोर्टिंग
| In this process the whole targeting process is documented in a specific way. This process ends with ''reports''.
| इस प्रक्रिया में संपूर्ण लक्ष्यीकरण प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है।
|}
|}
नियंत्रण उप-प्रक्रिया का मेटा-प्रक्रिया मॉडल एक [[एकीकृत मॉडलिंग भाषा]] [[गतिविधि आरेख]] पर आधारित है और नियंत्रण उप-प्रक्रिया की गतिविधियों का एक सिंहावलोकन देता है। ग्रे आयत नियंत्रण उप-प्रक्रिया का प्रतिनिधित्व करता है और इसके अंदर की छोटी बीम आकृतियाँ इसके अंदर होने वाली गतिविधियों का प्रतिनिधित्व करती हैं।
नियंत्रण उप-प्रक्रिया का मेटा-प्रोसेस मॉडल [[एकीकृत मॉडलिंग भाषा|यूएमएल]] [[गतिविधि आरेख]] पर आधारित है और नियंत्रण उप-प्रक्रिया की गतिविधियों का अवलोकन देता है। ग्रे आयत नियंत्रण उप-प्रक्रिया का प्रतिनिधित्व करता है और इसके भीतर की छोटी बीम आकृतियाँ इसके भीतर होने वाली गतिविधियों का प्रतिनिधित्व करती हैं।


[[Image:Control Process model.jpg]]
[[Image:Control Process model.jpg]]
Line 51: Line 47:
{| class="wikitable"
{| class="wikitable"
|-
|-
! Concept !! Description
! अवधारणा !! विवरण
|-
|-
| Control documents
| कण्ट्रोल डॉक्यूमेंट्स
| Control is a description of how security management is organized and how it is managed.
| कण्ट्रोल इस विचार का विवरण है कि सिक्योरिटी मैनेजमेंट किस प्रकार व्यवस्थित किया जाता है और इसे किस प्रकार प्रबंधित किया जाता है।
|-
|-
| Policy statements
| पॉलिसी स्टेटमेंट्स
| Policy statements outline specific requirements or rules that must be met. In the [[information security]] realm, policies are usually point-specific, covering a single area. For example, "acceptable use" policies cover the rules and regulations for appropriate use of the computing facilities.
| पॉलिसी स्टेटमेंट्स विशिष्ट आवश्यकताओं या नियमों की रूपरेखा प्रस्तुत करते हैं जिन्हें पूर्ण किया जाना चाहिए। [[information security|इनफार्मेशन सिक्योरिटी]] क्षेत्र में नीतियां सामान्यतः बिंदु-विशिष्ट होती हैं, जो एक ही क्षेत्र को कवर करती हैं। उदाहरण के लिए, "स्वीकार्य उपयोग" पॉलिसी कंप्यूटिंग सुविधाओं के उचित उपयोग के लिए नियमों और विनियमों को कवर करती हैं।
|-
|-
| Security management framework
| सिक्योरिटी मैनेजमेंट फ्रेमवर्क
| Security management framework is an established management framework to initiate and control the implementation of information security within an organization and to manage ongoing information security provision.
| सिक्योरिटी मैनेजमेंट फ्रेमवर्क संगठन के भीतर इनफार्मेशन सिक्योरिटी के कार्यान्वयन को प्रारम्भ करने और नियंत्रित करने और चल रहे इनफार्मेशन सिक्योरिटी प्रावधान का मैनेजमेंट करने के लिए स्थापित मैनेजमेंट फ्रेमवर्क है।
|}
|}
नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल [[वर्ग आरेख]] पर आधारित है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल दिखाता है।
नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल [[वर्ग आरेख]] पर आधारित होता है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल दर्शाता है।


[[Image:Control Data model.JPG]]चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया
[[Image:Control Data model.JPG]] चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया


सफ़ेद छाया वाला नियंत्रण आयत एक खुली जटिल अवधारणा है। इसका मतलब यह है कि नियंत्रण आयत में (उप) अवधारणाओं का संग्रह होता है।
श्वेत छाया वाला कण्ट्रोल रेक्टेंगल संवृत समष्टि अवधारणा है। इसका अर्थ यह है कि कण्ट्रोल रेक्टेंगल में (उप) अवधारणाओं का संग्रह होता है।


चित्र 2.1.3 नियंत्रण उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई या समायोजित की जाती हैं।
चित्र 2.1.3 कण्ट्रोल उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई अथवा समायोजित की जाती हैं।


[[Image:Control Process data model.JPG]]चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया
[[Image:Control Process data model.JPG]] चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया


===योजना===
===योजना===


योजना उप-प्रक्रिया में ऐसी गतिविधियाँ शामिल हैं जो [[सेवा स्तर प्रबंधन]] के सहयोग से एसएलए में (सूचना) सुरक्षा अनुभाग तक ले जाती हैं। इसके अलावा, योजना उप-प्रक्रिया में ऐसी गतिविधियाँ शामिल हैं जो अंतर्निहित अनुबंधों से संबंधित हैं जो (सूचना) सुरक्षा के लिए विशिष्ट हैं।
योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो [[सेवा स्तर प्रबंधन|सर्विस लेवल मैनेजमेंट]] के सहयोग से एसएलए में (इनफार्मेशन) सिक्योरिटी अनुभाग तक ले जाती हैं। इसके अतिरिक्त, योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अंतर्निहित अनुबंधों से संबंधित हैं जो (इनफार्मेशन) सिक्योरिटी के लिए विशिष्ट हैं।


योजना उप-प्रक्रिया में एसएलए में तैयार किए गए लक्ष्यों को परिचालन स्तर के समझौतों (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन OLA को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है।
योजना उप-प्रक्रिया में एसएलए में प्रस्तुत किए गए लक्ष्यों को ऑपरेशनल लेवल एग्रीमेंट (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन ओएलए को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है।


एसएलए के इनपुट के अलावा, योजना उप-प्रक्रिया स्वयं सेवा प्रदाता के नीति वक्तव्यों के साथ भी काम करती है। जैसा कि पहले कहा गया है, ये नीति कथन नियंत्रण उप-प्रक्रिया में परिभाषित हैं।
एसएलए के इनपुट के अतिरिक्त, योजना उप-प्रक्रिया स्वयं सेवा प्रदाता के पॉलिसी स्टेटमेंट्स के साथ भी कार्य करती है। जिस प्रकार पूर्व में बताया गया है, ये पॉलिसी स्टेटमेंट्स कण्ट्रोल उप-प्रक्रिया में परिभाषित हैं।


सूचना सुरक्षा के लिए परिचालन स्तर के समझौते आईटीआईएल प्रक्रिया के आधार पर स्थापित और कार्यान्वित किए जाते हैं। इसके लिए अन्य आईटीआईएल प्रक्रियाओं के साथ सहयोग की आवश्यकता है। उदाहरण के लिए, यदि सुरक्षा प्रबंधन सुरक्षा बढ़ाने के लिए आईटी बुनियादी ढांचे को बदलना चाहता है, तो ये परिवर्तन परिवर्तन प्रबंधन प्रक्रिया के माध्यम से किए जाएंगे। सुरक्षा प्रबंधन इस परिवर्तन के लिए इनपुट (परिवर्तन के लिए अनुरोध) वितरित करता है। परिवर्तन प्रबंधक परिवर्तन प्रबंधन प्रक्रिया के लिए जिम्मेदार है।
इनफार्मेशन सिक्योरिटी के लिए ऑपरेशनल लेवल एग्रीमेंट आईटीआईएल प्रक्रिया के आधार पर स्थापित और कार्यान्वित किए जाते हैं। इसके लिए अन्य आईटीआईएल प्रक्रियाओं के साथ सहयोग की आवश्यकता होती है। उदाहरण के लिए, यदि सुरक्षा प्रबंधन सुरक्षा में वृद्धि के लिए आईटी इंफ्रास्ट्रक्चर को परिवर्तित करना है, तो ये परिवर्तन प्रबंधन प्रक्रिया के माध्यम से किए जाएंगे। सुरक्षा प्रबंधन इस परिवर्तन के लिए इनपुट (परिवर्तन के लिए अनुरोध) वितरित करता है। परिवर्तन प्रबंधक परिवर्तन प्रबंधन प्रक्रिया के लिए उत्तरदायी है।


{| class="wikitable"
{| class="wikitable"
|+Table 2.2.1: (Sub) activities and descriptions Plan sub-process ITIL Security Management
|+Table 2.2.1: (उप) गतिविधियाँ और विवरण योजना उप-प्रक्रिया आईटीआईएल सिक्योरिटी मैनेजमेंट
! Activities !! Sub-activities !! Descriptions
! गतिविधियाँ !! उप गतिविधियाँ !! विवरण
|-
|-
| rowspan=4 | Plan
| rowspan=4 | प्लान
| Create Security section for SLA
| एसएलए के लिए सिक्योरिटी अनुभाग बनाएँ
| This process contains activities that lead to the security agreements paragraph in the service level agreements. At the end of this process the ''Security'' section of the service level agreement is created.
| इस प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो सेवा स्तर के एग्रीमेंट में सिक्योरिटी अनुबंध पैराग्राफ तक ले जाती हैं। इस प्रक्रिया के अंत में सेवा स्तर एग्रीमेंट का सिक्योरिटी अनुभाग बनाया जाता है।
|-
|-
| Create underpinning contracts
| आधारभूत अनुबंध बनाएं
| This process contains activities that lead to underpinning contracts. These contracts are specific for security.
| इस प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अनुबंधों को रेखांकित करती हैं। ये अनुबंध सिक्योरिटी के लिए विशिष्ट हैं।
|-
|-
| Create operational level agreements
| परिचालन स्तर के एग्रीमेंट बनाएं
| The general formulated goals in the SLA are specified in operational level agreements. These agreements can be seen as security plans for specific organization units.
| एसएलए में सामान्य रूप से प्रस्तुत किए गए लक्ष्य परिचालन स्तर के एग्रीमेंट में निर्दिष्ट हैं। इन एग्रीमेंट को विशिष्ट संगठन इकाइयों के लिए सिक्योरिटी योजनाओं के रूप में देखा जा सकता है।
|-
|-
| Reporting
| रिपोर्टिंग
| In this process the whole Create plan process is documented in a specific way. This process ends with reports.
| इस प्रक्रिया में संपूर्ण क्रिएट प्लान प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है।
|}
|}
योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन जटिल गतिविधियाँ शामिल हैं जो सभी बंद गतिविधियाँ और एक मानक गतिविधि हैं।
योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन समष्टि गतिविधियाँ सम्मिलित हैं जो सभी विवृत गतिविधियाँ और मानक गतिविधि हैं।


{| class="wikitable"
{| class="wikitable"
|+Table 2.2.2: Concept and definition Plan sub-process security management
|+Table 2.2.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सिक्योरिटी मैनेजमेंट
! Concept !! Description
! अवधारणा !! विवरण
|-
|-
| Plan
| प्लान
| Formulated schemes for the security agreements.
| सिक्योरिटी एग्रीमेंट के लिए योजनाएँ बनाईं।
|-
|-
| Security section of the security level agreements
| सिक्योरिटी स्तर एग्रीमेंट का सिक्योरिटी अनुभाग
| The security agreements paragraph in the written agreements between a service provider and the customer(s) that documents agreed service levels for a service.
| सिक्योरिटी एग्रीमेंट का पैराग्राफ सेवा प्रदाता और कस्टमर के मध्य लिखित एग्रीमेंट में होता है जो किसी सेवा के लिए सहमत सेवा स्तरों का प्रलेखीकरण करता है।
|-
|-
| Underpinning contracts
| अनुबंधों को रेखांकित करना
| A contract with an external supplier covering delivery of services that support the IT organisation in their delivery of services.
| सेवाओं की डिलीवरी को कवर करने वाले बाहरी आपूर्तिकर्ता के साथ अनुबंध जो आईटी संगठन को सेवाओं की डिलीवरी में सहायता करता है।
|-
|-
| Operational level agreements
| परिचालन स्तर के एग्रीमेंट
| An internal agreement covering the delivery of services which support the IT organization in their delivery of services.
| सेवाओं की डिलीवरी को कवर करने वाला आंतरिक एग्रीमेंट जो आईटी संगठन को सेवाओं की डिलीवरी में सहायता करता है।
|}
|}
नियंत्रण उप-प्रक्रिया की तरह ही योजना उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया जाता है। चित्र 2.2.1 का बाईं ओर योजना उप-प्रक्रिया का मेटा-डेटा मॉडल है।
नियंत्रण उप-प्रक्रिया की भाँति ही योजना उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके प्रस्तुत किया जाता है। चित्र 2.2.1 के बाईं ओर योजना उप-प्रक्रिया का मेटा-डेटा मॉडल है।


योजना आयत एक खुली (जटिल) अवधारणा है जिसमें दो बंद (जटिल) अवधारणाओं और एक मानक अवधारणा के साथ एकत्रीकरण प्रकार का संबंध होता है। इस विशेष संदर्भ में दो बंद अवधारणाओं का विस्तार नहीं किया गया है।
योजना आयत संवृत (समष्टि) अवधारणा है जिसमें दो विवृत (समष्टि) अवधारणाओं और मानक अवधारणा के साथ एकत्रीकरण प्रकार का संबंध होता है। इस विशेष संदर्भ में दो विवृत अवधारणाओं का विस्तार नहीं किया गया है।


निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का [[प्रक्रिया-डेटा आरेख]] है। यह चित्र दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर इंगित करते हैं कि योजना उप-प्रक्रिया की संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई या समायोजित की जाती हैं।
निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का [[प्रक्रिया-डेटा आरेख]] है। यह चित्र दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर संकेत करते हैं कि योजना उप-प्रक्रिया की संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई अथवा समायोजित की जाती हैं।


[[Image:Plan process data model.jpg]]चित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया
[[Image:Plan process data model.jpg]] चित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया


===कार्यान्वयन===
===कार्यान्वयन===


कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय ठीक से लागू किए गए हैं। कार्यान्वयन उप-प्रक्रिया के दौरान कोई भी उपाय परिभाषित नहीं किया जाता है और न ही बदला जाता है। उपायों की परिभाषा या परिवर्तन परिवर्तन प्रबंधन प्रक्रिया के सहयोग से योजना उप-प्रक्रिया में होता है।
कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय उचित रूप से कार्यान्वित किये गए हैं। कार्यान्वयन उप-प्रक्रिया के समय कोई भी उपाय परिभाषित नहीं किया जाता है और न ही परिवर्तित किया जाता है। उपायों की परिभाषा परिवर्तन प्रबंधन प्रक्रिया के सहयोग से योजना उप-प्रक्रिया में होती है।


{| class="wikitable"
{| class="wikitable"
|+Table 2.3.1: (Sub) activities and descriptions Implementation sub-process ITIL Security Management
|+Table 2.3.1: (उप) गतिविधियाँ और विवरण कार्यान्वयन उप-प्रक्रिया आईटीआईएल सिक्योरिटी मैनेजमेंट
! Activities
! गतिविधियाँ
! Sub-activities
! उप गतिविधियाँ
! Descriptions
! विवरण
|-
|-
| rowspan=5 |Implement
| rowspan=5 |इम्प्लीमेंट
| Classifying and managing of IT applications
| आईटी ऍप्लिकेशन्स का वर्गीकरण और मैनेजमेंट
| Process of formally grouping ''configuration items'' by type, e.g., software, hardware, documentation, environment and application.
| कॉन्फ़िगरेशन आइटमों को प्रकार के आधार पर औपचारिक रूप से समूहीकृत करने की प्रक्रिया, जैसे सॉफ़्टवेयर, हार्डवेयर, डॉक्यूमेंटेशन, एनवायरनमेंट और एप्लिकेशन।


Process of formally identifying changes by type e.g., project scope change request, validation change request, infrastructure change request this process leads to ''asset classification and control documents''.
प्रकार के आधार पर औपचारिक रूप से परिवर्तनों की पहचान करने की प्रक्रिया, उदाहरण के लिए, प्रोजेक्ट स्कोप परिवर्तन अनुरोध, सत्यापन परिवर्तन अनुरोध, इंफ्रास्ट्रक्चर परिवर्तन अनुरोध, यह प्रक्रिया एसेट वर्गीकरण और कण्ट्रोल डाक्यूमेंट्स की ओर ले जाती है।
|-
|-
| Implement personnel security
| इम्प्लीमेंट पर्सनेल सिक्योरिटी
| Measures are adopted to give personnel safety and confidence and measures to prevent a crime/fraud. The process ends with ''personnel security''.
| पर्सनेल को सुरक्षा और आत्मविश्वास देने के लिए उपाय अपनाए जाते हैं और क्राइम/फ्रॉड को रोकने के लिए उपाय किए जाते हैं। प्रक्रिया पर्सनेल सिक्योरिटी के साथ समाप्त होती है।
|-
|-
| Implement security management
| इम्प्लीमेंट सिक्योरिटी मैनेजमेंट
| Specific security requirements and/or security rules that must be met are outlined and documented. The process ends with ''security policies''.
| विशिष्ट सिक्योरिटी आवश्यकताएँ या सिक्योरिटी नियम जिन्हें पूर्ण किया जाना चाहिए, रेखांकित और प्रलेखित हैं। यह प्रक्रिया सिक्योरिटी पॉलिसीस के साथ समाप्त होती है।
|-
|-
| Implement access control
| इम्प्लीमेंट एक्सेस कण्ट्रोल
| Specific access security requirements and/or access security rules that must be met are outlined and documented. The process ends with ''access control''.
| विशिष्ट एक्सेस सिक्योरिटी आवश्यकताएँ और/या एक्सेस सिक्योरिटी नियम जिन्हें पूर्ण किया जाना चाहिए, रेखांकित और प्रलेखित हैं। प्रक्रिया एक्सेस कण्ट्रोल के साथ समाप्त होती है।
|-
|-
| Reporting
| रिपोर्टिंग
| The whole ''implement as planned process'' is documented in a specific way. This process ends with ''reports''.
| नियोजित प्रक्रिया के रूप में संपूर्ण कार्यान्वयन को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है।
|}
|}
चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का मतलब है कि ये गतिविधियाँ बंद अवधारणाएँ हैं और इस संदर्भ में इनका विस्तार नहीं किया गया है। कोई भी तीर इन चार गतिविधियों को नहीं जोड़ता है, जिसका अर्थ है कि ये गतिविधियाँ अव्यवस्थित हैं और रिपोर्टिंग सभी चार गतिविधियों के पूरा होने के बाद की जाएगी।
चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का अर्थ है कि ये गतिविधियाँ विवृत अवधारणाएँ हैं और इस संदर्भ में इनका विस्तार नहीं किया गया है। कोई भी तीर इन चार गतिविधियों को नहीं जोड़ता है, जिसका अर्थ है कि ये गतिविधियाँ अव्यवस्थित हैं और रिपोर्टिंग सभी चार गतिविधियों के पूर्ण होने के पश्चात की जाएगी।


कार्यान्वयन चरण के दौरान अवधारणाएँ बनाई और/या समायोजित की जाती हैं।
कार्यान्वयन चरण के समय अवधारणाएँ बनाई और/या समायोजित की जाती हैं।


{| class="wikitable"
{| class="wikitable"
|+Table 2.3.2: Concept and definition Implementation sub-process Security management
|+Table 2.3.2: अवधारणा और परिभाषा कार्यान्वयन उप-प्रक्रिया सिक्योरिटी मैनेजमेंट
! Concept !! Description
! अवधारणा !! विवरण
|-
|-
| Implementation
| इम्प्लीमेंटेशन
| Accomplished security management according to the security management plan.
| सिक्योरिटी मैनेजमेंट योजना के अनुसार सिक्योरिटी मैनेजमेंट पूर्ण किया गया।
|-
|-
| Asset classification and control documents
| एसेट वर्गीकरण और कण्ट्रोल डॉक्यूमेंट्स
| A comprehensive inventory of assets with responsibility assigned to ensure that effective security protection is maintained.
| यह सुनिश्चित करने के लिए कि प्रभावी सिक्योरिटी संरक्षण बनाए रखा गया है, उत्तरदायित्व के साथ एसेट्स की व्यापक सारिणी प्रदान की गयी है।
|-
|-
| Personnel security
| पर्सनेल सिक्योरिटी
| Well defined job descriptions for all staff outlining security roles and responsibilities.
| सिक्योरिटी भूमिकाओं और उत्तरदायित्व को रेखांकित करते हुए सभी कर्मचारियों के लिए उत्तम प्रकार से परिभाषित नौकरी विवरण।
|-
|-
| Security policies
| सिक्योरिटी पॉलिसीस
| Documents that outline specific security requirements or security rules that must be met.
| डॉक्यूमेंट जो विशिष्ट सिक्योरिटी आवश्यकताओं या सिक्योरिटी नियमों को रेखांकित करते हैं जिन्हें पूर्ण किया जाना चाहिए।
|-
|-
| Access control
| एक्सेस कण्ट्रोल
| Network management to ensure that only those with the appropriate responsibility have access to information in the networks and the protection of the supporting infrastructure.
| नेटवर्क मैनेजमेंट यह सुनिश्चित करने के लिए कि केवल उचित उत्तरदायित्व वाले लोगों के समीप ही नेटवर्क में इनफार्मेशन और सहायक इंफ्रास्ट्रक्चर की सिक्योरिटी तक पहुंच हो।
|}
|}
बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके मॉडलिंग किया जाता है। चित्र 2.3.1 का दाहिना भाग कार्यान्वयन उप-प्रक्रिया का मेटा-डेटा मॉडल है।
बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके मॉडल किया जाता है। चित्र 2.3.1 का दाहिना भाग कार्यान्वयन उप-प्रक्रिया का मेटा-डेटा मॉडल है।


कार्यान्वयन दस्तावेज़ एक खुली अवधारणा है और इस संदर्भ में इसका विस्तार किया गया है। इसमें चार बंद अवधारणाएँ शामिल हैं जिनका विस्तार नहीं किया गया है क्योंकि वे इस विशेष संदर्भ में अप्रासंगिक हैं।
कार्यान्वयन डाक्यूमेंट्स संवृत अवधारणा है और इस संदर्भ में इसका विस्तार किया गया है। इसमें चार विवृत अवधारणाएँ सम्मिलित हैं जिनका विस्तार नहीं किया गया है क्योंकि वे इस विशेष संदर्भ में अप्रासंगिक हैं।


दोनों मॉडलों के बीच संबंधों को स्पष्ट करने के लिए दोनों मॉडलों के एकीकरण को चित्र 2.3.1 में दर्शाया गया है। गतिविधियों से अवधारणाओं तक चलने वाले बिंदीदार तीर दर्शाते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई/समायोजित की जाती हैं।
दोनों मॉडलों के मध्य संबंधों को स्पष्ट करने के लिए दोनों मॉडलों के एकीकरण को चित्र 2.3.1 में दर्शाया गया है। गतिविधियों से अवधारणाओं तक चलने वाले बिंदीदार तीर दर्शाते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई/समायोजित की जाती हैं।


[[Image:Implementation process data model.jpg]]चित्र 2.3.1: प्रक्रिया-डेटा मॉडल कार्यान्वयन उप-प्रक्रिया
[[Image:Implementation process data model.jpg]] चित्र 2.3.1: प्रक्रिया-डेटा मॉडल कार्यान्वयन उप-प्रक्रिया


===मूल्यांकन===
===मूल्यांकन===


कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक है। मूल्यांकन ग्राहकों (और संभवतः तीसरे पक्ष) के लिए महत्वपूर्ण है। मूल्यांकन उप-प्रक्रिया के परिणामों का उपयोग सहमत उपायों और कार्यान्वयन को बनाए रखने के लिए किया जाता है। मूल्यांकन के परिणाम नई आवश्यकताओं और परिवर्तन के लिए संबंधित अनुरोध को जन्म दे सकते हैं। फिर परिवर्तन के अनुरोध को परिभाषित किया जाता है और परिवर्तन प्रबंधन को भेजा जाता है।
कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक होता है। मूल्यांकन क्लाइंट्स (और संभवतः तृतीय पक्ष) के लिए महत्वपूर्ण है। मूल्यांकन उप-प्रक्रिया के परिणामों का उपयोग सहमत उपायों और कार्यान्वयन को बनाए रखने के लिए किया जाता है। मूल्यांकन के परिणाम नई आवश्यकताओं और परिवर्तन के लिए संबंधित अनुरोध को उत्पन्न कर सकते हैं। तब परिवर्तन के अनुरोध को परिभाषित किया जाता है और परिवर्तन प्रबंधन को सेंड किया जाता है।


मूल्यांकन के तीन प्रकार हैं स्व-मूल्यांकन, आंतरिक लेखापरीक्षा और बाह्य लेखापरीक्षा।
मूल्यांकन के तीन प्रकार होते हैं जिनमें सेल्फ-असेसमेंट, इंटरनल ऑडिट और एक्सटर्नल ऑडिट सम्मिलित हैं।


स्व-मूल्यांकन मुख्य रूप से प्रक्रियाओं के संगठन में किया जाता है। आंतरिक ऑडिट आंतरिक आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। बाहरी ऑडिट बाहरी, स्वतंत्र आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। पहले से उल्लिखित लोगों के अलावा, संचारित सुरक्षा घटनाओं पर आधारित मूल्यांकन होता है। इस मूल्यांकन के लिए सबसे महत्वपूर्ण गतिविधियाँ आईटी-सिस्टम की सुरक्षा निगरानी हैं; सुरक्षा कानून और सुरक्षा योजना कार्यान्वयन को सत्यापित करें; आईटी-आपूर्ति के अवांछनीय उपयोग का पता लगाएं और उस पर प्रतिक्रिया दें।
सेल्फ-असेसमेंट मुख्य रूप से प्रक्रियाओं के संगठन में किया जाता है। इंटरनल ऑडिट, इंटरनल आईटी-ऑडिटर्स द्वारा किए जाते हैं। एक्सटर्नल ऑडिट बाह्य स्वतंत्र आईटी-ऑडिटर्स द्वारा किए जाते हैं। पूर्व उल्लिखित लोगों के अतिरिक्त, संचारित सुरक्षा घटनाओं पर आधारित मूल्यांकन होता है। इस मूल्यांकन के लिए सबसे महत्वपूर्ण गतिविधि आईटी-सिस्टम की सिक्योरिटी मॉनिटरिंग हैं; सुरक्षा नियम और सुरक्षा योजना कार्यान्वयन को सत्यापित करें; आईटी-आपूर्ति के अवांछनीय उपयोग को ट्रेस करें और उस पर प्रतिक्रिया दें।


{| class="wikitable"
{| class="wikitable"
|+Table 2.4.1: (Sub) activities and descriptions Evaluation sub-process ITIL Security Management
|+Table 2.4.1: (उप) गतिविधियाँ और विवरण मूल्यांकन उप-प्रक्रिया आईटीआईएल सिक्योरिटी मैनेजमेंट
! Activities !! Sub-Activities !! Descriptions
! गतिविधियाँ !! उप गतिविधियाँ !! विवरण
|-
|-
| rowspan=5 | Evaluate
| rowspan=5 | इवैलुएट
| Self-assessment
| सेल्फ-असेसमेंट
| Examine implemented security agreements. The result of this process is ''self-assessment documents''.
| कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें। इस प्रक्रिया का परिणाम सेल्फ-असेसमेंट डॉक्यूमेंट्स है।
|-
|-
| Internal Audit
| इंटरनल ऑडिट
| Examine implemented security agreements by an internal EDP auditor. The result of this process is ''internal audit''.
| इंटरनल ईडीपी ऑडिटर द्वारा कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें। इस प्रक्रिया का परिणाम इंटरनल ऑडिट है।
|-
|-
| External audit
| एक्सटर्नल ऑडिट
| Examine implemented security agreements by an external EDP auditor. The result of this process is ''external audit''.
| एक्सटर्नल ईडीपी ऑडिटर द्वारा कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें। इस प्रक्रिया का परिणाम एक्सटर्नल ऑडिट है।
|-
|-
| Evaluation based on security incidents
| इवैल्यूएशन सिक्योरिटी इन्सिडेंट्स पर आधारित है
| Examine implemented security agreements based on security events that are not part of the standard operation of a service and which cause, or may cause, an interruption to, or a reduction in, the quality of that service. The result of this process is ''security incidents''.
| सिक्योरिटी इन्सिडेंट्स के आधार पर कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें जो किसी सेवा के मानक संचालन का भाग नहीं हैं और जो उस सेवा की गुणवत्ता में बाधा या कमी का कारण बन सकते हैं या उत्पन्न कर सकते हैं। इस प्रक्रिया का परिणाम सिक्योरिटी इन्सिडेंट्स हैं।
|-
|-
| Reporting
| रिपोर्टिंग
| Document the Evaluate implementation process in a specific way. This process ends with ''reports''.
| कार्यान्वयन प्रक्रिया को विशिष्ट विधि से इवैलुएट करें। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है।
|}
|}


[[Image:evaluation process data model.jpg]]चित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया
[[Image:evaluation process data model.jpg]] चित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया


चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में एक मेटा-प्रोसेस मॉडल और एक मेटा-डेटा मॉडल शामिल है। मूल्यांकन उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया गया था।
चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में मेटा-प्रोसेस मॉडल और मेटा-डेटा मॉडल सम्मिलित है। मूल्यांकन उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके प्रस्तुत किया गया था।
मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर इंगित करते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएं बनाई/समायोजित की गई हैं। मूल्यांकन चरण की सभी गतिविधियाँ मानक गतिविधियाँ हैं। मूल्यांकन चरण अवधारणाओं के संक्षिप्त विवरण के लिए तालिका 2.4.2 देखें जहां अवधारणाओं को सूचीबद्ध और परिभाषित किया गया है।
 
मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर संकेत करते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएं बनाई/समायोजित की गई हैं। मूल्यांकन चरण की सभी गतिविधियाँ मानक गतिविधियाँ हैं। मूल्यांकन चरण अवधारणाओं के संक्षिप्त विवरण के लिए सारिणी 2.4.2 देखें जहां अवधारणाओं को क्रमबद्ध और परिभाषित किया गया है।


{| class="wikitable"
{| class="wikitable"
! Concept !! Description
! अवधारणा !! विवरण
|-
|-
| EVALUATION
| इवैल्यूएशन
| Evaluated/checked implementation.
| इवैलुएटेड/चेक्ड  इम्प्लीमेंटेशन
|-
|-
| RESULTS
| रिजल्ट्स
| The outcome of the evaluated implementation.
| इवैलुएट किए गए कार्यान्वयन का परिणाम
|-
|-
| SELF ASSESSMENT DOCUMENTS
| सेल्फ असेसमेंट डॉक्यूमेंट्स
| Result of the examination of the security management by the organization of the process itself.
| प्रक्रिया के संगठन द्वारा ही सिक्योरिटी मैनेजमेंट की परीक्षा का परिणाम
|-
|-
| INTERNAL AUDIT
| इंटरनल ऑडिट
| Result of the examination of the security management by the internal EDP auditor.
| इंटरनल ईडीपी ऑडिटर्स द्वारा सिक्योरिटी मैनेजमेंट के परिक्षण का परिणाम
|-
|-
| EXTERNAL AUDIT
| एक्सटर्नल ऑडिट
| Result of the examination of the security management by the external EDP auditor.
| एक्सटर्नल ईडीपी ऑडिटर्स द्वारा सिक्योरिटी मैनेजमेंट के परिक्षण का परिणाम।
|-
|-
| SECURITY INCIDENTS DOCUMENTS
| सिक्योरिटी इन्सिडेंट्स डॉक्यूमेंट्स
| Results of evaluating security events which is not part of the standard operation of a service and which causes, or may cause, an interruption to, or a reduction in, the quality of that service.
| सिक्योरिटी घटनाओं के इवैल्यूएशन के परिणाम जो किसी सेवा के मानक संचालन का भाग नहीं हैं और जो उस सेवा की गुणवत्ता में बाधा उत्पन्न करते हैं, या उत्पन्न कर सकते हैं, या कमी कर सकते हैं।
|}
|}
तालिका 2.4.2: अवधारणा और परिभाषा मूल्यांकन उप-प्रक्रिया सुरक्षा प्रबंधन
तालिका 2.4.2: अवधारणा और परिभाषा मूल्यांकन उप-प्रक्रिया सुरक्षा प्रबंधन


===रखरखाव===
===मेंटेनेंस===


संगठनात्मक और आईटी-बुनियादी ढाँचे में बदलाव के कारण, समय के साथ सुरक्षा जोखिम बदलते हैं, जिससे सेवा स्तर के समझौतों और सुरक्षा योजनाओं के सुरक्षा अनुभाग में संशोधन की आवश्यकता होती है।
संगठनात्मक और आईटी-इंफ्रास्ट्रक्चर में परिवर्तन के कारण, समय के साथ सिक्योरिटी रिस्क्स परिवर्तित होते हैं, जिससे सर्विस लेवल एग्रीमेंट और सुरक्षा योजनाओं के सुरक्षा अनुभाग में संशोधन की आवश्यकता होती है।


रखरखाव मूल्यांकन उप-प्रक्रिया के परिणामों और बदलते जोखिमों में अंतर्दृष्टि पर आधारित है। ये गतिविधियाँ प्रस्ताव तैयार करेंगी। प्रस्ताव या तो योजना उप-प्रक्रिया के लिए इनपुट के रूप में काम करते हैं और चक्र के माध्यम से यात्रा करते हैं या सेवा स्तर के समझौतों को बनाए रखने के हिस्से के रूप में अपनाए जा सकते हैं। दोनों ही मामलों में प्रस्ताव कार्य योजना में गतिविधियों को जन्म दे सकते हैं। वास्तविक परिवर्तन परिवर्तन प्रबंधन प्रक्रिया द्वारा किये जाते हैं।
मेंटेनेंस मूल्यांकन उप-प्रक्रिया के परिणामों और परिवर्तित संकटों में अंतर्दृष्टि पर आधारित है। ये गतिविधियाँ प्रस्ताव प्रस्तुत करेंगी। प्रस्ताव या तो योजना उप-प्रक्रिया के लिए इनपुट के रूप में कार्य करते हैं और चक्र के माध्यम से ट्रेवल करते हैं अथवा सर्विस लेवल एग्रीमेंट को बनाए रखने के अंश के रूप में अपनाए जा सकते हैं। दोनों ही स्थितियों में प्रस्ताव कार्य योजना में गतिविधियों को उत्पन्न कर सकते हैं। वास्तविक परिवर्तन प्रबंधन प्रक्रिया द्वारा किये जाते हैं।


{| class="wikitable"
{| class="wikitable"
|+Table 2.5.1: (Sub) activities and descriptions Maintenance sub-process ITIL Security Management
|+Table 2.5.1: (उप) गतिविधियाँ और विवरण मेंटेनेंस उप-प्रक्रिया आईटीआईएल सिक्योरिटी मैनेजमेंट
! Activities !! Sub-Activities !! Descriptions
! गतिविधियाँ !! उप गतिविधियाँ !! विवरण
|-
|-
| rowspan="4" | Maintain
| rowspan="4" | मेन्टेन
| Maintenance of Service level agreements
| सर्विस लेवल एग्रीमेंट्स का मेंटेनेंस
| This keeps the service level agreements in proper condition. The process ends with ''maintained service level agreements''.
| यह सर्विस लेवल एग्रीमेंट्स को उचित स्थिति में रखता है। प्रक्रिया स्थिर सर्विस लेवल एग्रीमेंट्स के साथ समाप्त होती है।
|-
|-
| Maintenance of operational level agreements
| ऑपरेशनल लेवल एग्रीमेंट्स का मेंटेनेंस
| This keeps the operational level agreements in proper condition. The process ends with ''maintained operational level agreements''.
| यह ऑपरेशनल लेवल एग्रीमेंट्स को उचित स्थिति में रखता है। प्रक्रिया ऑपरेशनल लेवल एग्रीमेंट्स के साथ समाप्त होती है।
|-
|-
| Request for change to SLA and/or OLA
| एसएलए और/या ओएलए में परिवर्तन के लिए अनुरोध
| Request for a change to the SLA and/or OLA is formulated. This process ends with a ''request for change''.
| एसएलए और/या ओएलए में परिवर्तन के लिए अनुरोध प्रस्तुत किया गया है। यह प्रक्रिया परिवर्तन के अनुरोध के साथ समाप्त होती है।
|-
|-
| Reporting
| रिपोर्टिंग
| The implemented security policies process is documented in a specific way. This process ends with ''reports''.
| कार्यान्वित सिक्योरिटी नीतियों की प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है।
|}
|}
चित्र 2.5.1 कार्यान्वयन उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र मेटा-प्रोसेस मॉडल (बाएं) और मेटा-डेटा मॉडल (दाएं) का एकीकरण दिखाता है। बिंदीदार तीर दर्शाते हैं कि कार्यान्वयन चरण की गतिविधियों में कौन सी अवधारणाएँ बनाई या समायोजित की जाती हैं।
चित्र 2.5.1 कार्यान्वयन उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र मेटा-प्रोसेस मॉडल (बाएं) और मेटा-डेटा मॉडल (दाएं) का एकीकरण दर्शाता है। बिंदीदार तीर दर्शाते हैं कि कार्यान्वयन चरण की गतिविधियों में कौन सी अवधारणाएँ बनाई या समायोजित की जाती हैं।


[[Image:Maintenance process data model.jpg]]चित्र 2.5.1: प्रक्रिया-डेटा मॉडल रखरखाव उप-प्रक्रिया
[[Image:Maintenance process data model.jpg]] चित्र 2.5.1: प्रक्रिया-डेटा मॉडल मेंटेनेंस उप-प्रक्रिया


रखरखाव उप-प्रक्रिया सेवा स्तर के समझौतों के रखरखाव और परिचालन स्तर के समझौतों के रखरखाव से शुरू होती है। इन गतिविधियों के होने के बाद (किसी विशेष क्रम में नहीं) और परिवर्तन के लिए अनुरोध होने पर परिवर्तन गतिविधि के लिए अनुरोध होगा और परिवर्तन गतिविधि के लिए अनुरोध समाप्त होने के बाद रिपोर्टिंग गतिविधि शुरू होती है। यदि परिवर्तन के लिए कोई अनुरोध नहीं है तो रिपोर्टिंग गतिविधि पहली दो गतिविधियों के बाद सीधे शुरू हो जाएगी। मेटा-डेटा मॉडल में अवधारणाएँ रखरखाव चरण के दौरान बनाई/समायोजित की जाती हैं। अवधारणाओं की सूची और उनकी परिभाषा के लिए तालिका 2.5.2 पर एक नज़र डालें।
मेंटेनेंस उप-प्रक्रिया सर्विस लेवल एग्रीमेंट के मेंटेनेंस और ऑपरेशनल लेवल एग्रीमेंट के मेंटेनेंस से प्रारम्भ होती है। इन गतिविधियों के होने के पश्चात (किसी विशेष क्रम में नहीं) और परिवर्तन के लिए अनुरोध होने पर परिवर्तन गतिविधि के लिए अनुरोध होगा और परिवर्तन गतिविधि के लिए अनुरोध समाप्त होने के पश्चात रिपोर्टिंग गतिविधि प्रारम्भ होती है। यदि परिवर्तन के लिए कोई अनुरोध नहीं है तो रिपोर्टिंग गतिविधि प्रथम दो गतिविधियों के पश्चात प्रत्यक्ष रूप से प्रारम्भ हो जाएगी। मेटा-डेटा मॉडल में अवधारणाएँ मेंटेनेंस चरण के समय बनाई/समायोजित की जाती हैं। अवधारणाओं की सारिणी और उनकी परिभाषा के लिए तालिका 2.5.2 पर ध्यान केंद्रित करें।


{| class="wikitable"
{| class="wikitable"
|+Table 2.5.2: Concept and definition Plan sub-process Security management
|+Table 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सिक्योरिटी मैनेजमेंट
! Concept !! Description
! अवधारणा !! विवरण
|-
|-
| MAINTENANCE DOCUMENTS
| मेंटेनेंस डॉक्यूमेंट्स
| Agreements kept in proper condition.
| एग्रीमेंट्स उचित स्थिति में रखे गए।
|-
|-
| MAINTAINED SERVICE LEVEL AGREEMENTS
| मेन्टेनड सर्विस लेवल एग्रीमेंट्स
| Service Level Agreements(security paragraph) kept in proper condition.
| सर्विस लेवल एग्रीमेंट (सिक्योरिटी एक्ट) उचित स्थिति में रखे गए।
|-
|-
| MAINTAINED OPERATIONAL LEVEL AGREEMENTS
| मेन्टेनड ऑपरेशनल लेवल एग्रीमेंट्स
| Operational Level Agreements kept in proper condition.
| ऑपरेशनल लेवल एग्रीमेंट्स उचित स्थिति में रखे गए।
|-
|-
| REQUEST FOR CHANGE
| रिक्वेस्ट फॉर चेंज
| Form, or screen, used to record details of a request for a change to the SLA/OLA.
| फॉर्म, या स्क्रीन, का उपयोग एसएलए/ओएलएलए में परिवर्तन के अनुरोध का विवरण रिकॉर्ड करने के लिए किया जाता है
|}
|}
तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन
तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन
Line 290: Line 287:
===संपूर्ण प्रक्रिया-डेटा मॉडल===
===संपूर्ण प्रक्रिया-डेटा मॉडल===
चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया
चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया
[[Image:Process data model security management.jpg|Process data model security management.jpg]]
 
ओएलए [[Image:Process data model security management.jpg|Process data model security management.jpg]]


== अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध ==
== अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध ==


सुरक्षा प्रबंधन प्रक्रिया, जैसा कि परिचय में कहा गया है, का लगभग सभी अन्य आईटीआईएल-प्रक्रियाओं के साथ संबंध है। ये प्रक्रियाएँ हैं:
जिस प्रकार से परिचय में बताया गया है, सुरक्षा प्रबंधन प्रक्रिया का लगभग सभी अन्य आईटीआईएल-प्रक्रियाओं के साथ संबंध है। ये प्रक्रियाएँ निम्नलिखित हैं:


* आईटी ग्राहक संबंध प्रबंधन <!-- I don't believe that this is actually an ITIL process -->
* आईटी कस्टमर रिलेशनशिप मैनेजमेंट
* सेवा स्तर प्रबंधन
* सर्विस लेवल मैनेजमेंट
* उपलब्धता प्रबंधन
* अवेलेबिलिटी मैनेजमेंट
* क्षमता प्रबंधन
* कैपेसिटी मैनेजमेंट
*आईटी सेवा निरंतरता प्रबंधन
*आईटी सर्विस कॉन्टिनुइटी मैनेजमेंट
* विन्यास प्रबंधन
* कॉन्फ़िगरेशन मैनेजमेंट
* [[रिहाई प्रबंधन]]
* [[रिहाई प्रबंधन|रिलीज़ मैनेजमेंट]]
* घटना प्रबंधन एवं सेवा डेस्क
* इंसिडेंट मैनेजमेंट एवं सर्विस डेस्क
* समस्या प्रबंधन
* प्रॉब्लम मैनेजमेंट
* [[परिवर्तन प्रबंधन (आईटीएसएम)]]
* [[परिवर्तन प्रबंधन (आईटीएसएम)|चेंज मैनेजमेंट (आईटीएसएम)]]


इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए जिम्मेदार हैं। हालाँकि, सुरक्षा प्रबंधन संबंधित प्रक्रिया को संकेत देता है कि इन गतिविधियों की संरचना कैसे की जाए।
इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए उत्तरदायी हैं। यद्यपि, सुरक्षा प्रबंधन संबंधित प्रक्रिया को संकेत देता है कि इन गतिविधियों की संरचना किस प्रकार की जाए।


== उदाहरण: आंतरिक ई-मेल नीतियां ==
== उदाहरण: इंटरनल ई-मेल पॉलिसीस ==


आंतरिक ई-मेल कई सुरक्षा जोखिमों के अधीन है, जिसके लिए संबंधित सुरक्षा योजना और नीतियों की आवश्यकता होती है। इस उदाहरण में आईटीआईएल सुरक्षा प्रबंधन दृष्टिकोण का उपयोग ई-मेल नीतियों को लागू करने के लिए किया जाता है।
इंटरनल ई-मेल कई सुरक्षा संकटों के अध्यधीन है, जिसके लिए संबंधित सुरक्षा योजना और नीतियों की आवश्यकता होती है। इस उदाहरण में आईटीआईएल सुरक्षा प्रबंधन दृष्टिकोण का उपयोग ई-मेल पॉलिसीस को कार्यान्वित करने के लिए किया जाता है।


सुरक्षा प्रबंधन टीम का गठन किया जाता है और प्रक्रिया दिशानिर्देश तैयार किए जाते हैं और सभी कर्मचारियों और प्रदाताओं को सूचित किए जाते हैं। ये क्रियाएँ नियंत्रण चरण में की जाती हैं।
सुरक्षा प्रबंधन समूह का गठन किया जाता है और प्रक्रिया दिशानिर्देश प्रस्तुत किए जाते हैं एवं सभी कर्मचारियों तथा प्रदाताओं को सूचित किए जाते हैं। ये क्रियाएँ नियंत्रण चरण में की जाती हैं।


बाद के योजना चरण में, नीतियां तैयार की जाती हैं। ई-मेल सुरक्षा के लिए विशिष्ट नीतियां तैयार की जाती हैं और सेवा स्तर के समझौतों में जोड़ी जाती हैं। इस चरण के अंत में पूरी योजना कार्यान्वयन के लिए तैयार है।
इसके पश्चात् योजना चरण में नीतियां बनाई जाती हैं। ई-मेल सुरक्षा के लिए विशिष्ट नीतियां प्रस्तुत की जाती हैं और सर्विस लेवल एग्रीमेंट में संयोजित की जाती हैं। इस चरण के अंत में पूर्ण योजना कार्यान्वयन के लिए प्रस्तुत है।


योजना के अनुसार क्रियान्वयन किया जाता है।
योजना के अनुसार क्रियान्वयन किया जाता है।


कार्यान्वयन के बाद नीतियों का मूल्यांकन या तो स्व-मूल्यांकन के रूप में, या आंतरिक या बाहरी लेखा परीक्षकों के माध्यम से किया जाता है।
कार्यान्वयन के पश्चात नीतियों का मूल्यांकन या तो स्व-मूल्यांकन के रूप में, अथवा आंतरिक या बाहरी लेखा परीक्षकों के माध्यम से किया जाता है।


रखरखाव चरण में ई-नीतियों को मूल्यांकन के आधार पर समायोजित किया जाता है। आवश्यक परिवर्तनों को परिवर्तन के अनुरोध के माध्यम से संसाधित किया जाता है।
प्रतिपालन चरण में ई-पॉलिसीस को मूल्यांकन के आधार पर समायोजित किया जाता है। आवश्यक परिवर्तनों को परिवर्तन के अनुरोध के माध्यम से संसाधित किया जाता है।
== यह भी देखें ==


<!-- Image has been removed. Reference needs to be removed as well. The following picture gives an overview of the entire process of the Internal e-mail security policies. -->
* [[अवसंरचना प्रबंधन सेवाएँ|इंफ्रास्ट्रक्चर मैनेजमेंट सर्विसेज]]
<!-- Image with unknown copyright status removed: [[Image:Example_email_policy.jpg]] -->== यह भी देखें ==
* [[आईटीआईएल vz|आईटीआईएल वीजेड]]
 
* [[अवसंरचना प्रबंधन सेवाएँ]]
* [[आईटीआईएल vz]]
* [[माइक्रोसॉफ्ट ऑपरेशंस फ्रेमवर्क]]
* [[माइक्रोसॉफ्ट ऑपरेशंस फ्रेमवर्क]]
* [[सूचना सुरक्षा प्रबंधन प्रणाली]]
* [[सूचना सुरक्षा प्रबंधन प्रणाली]]
*[[ सीओबीआईटी ]]
*[[ सीओबीआईटी |सीओबीआईटी]]
* [[क्षमता परिपक्वता मॉडल]]
* [[क्षमता परिपक्वता मॉडल|कैपेबिलिटी मचुरटी मॉडल]]
* [[ वगैरह ]]
* [[ वगैरह |आईएसपीएल]]


== यह भी देखें ==
== यह भी देखें ==
Line 342: Line 338:


==स्रोत==
==स्रोत==
* बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का एक परिचयात्मक संचालन आधार। वैन हरेन प्रकाशन
* बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का परिचयात्मक संचालन आधार। वैन हरेन प्रकाशन
* कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय।
* कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय।
* [http://www.microsoft.com/technet/itsolutions/cits/mo/smf/mofsmsmf.mspx सुरक्षा प्रबंधन]। (फरवरी 1, 2005)। माइक्रोसॉफ्ट
* [http://www.microsoft.com/technet/itsolutions/cits/mo/smf/mofsmsmf.mspx सुरक्षा प्रबंधन]। (फरवरी 1, 2005)। माइक्रोसॉफ्ट
Line 351: Line 347:
श्रेणी:कंप्यूटर सुरक्षा
श्रेणी:कंप्यूटर सुरक्षा


[[Category: Machine Translated Page]]
[[Category:Created On 10/07/2023]]
[[Category:Created On 10/07/2023]]
[[Category:Machine Translated Page]]
[[Category:Pages with broken file links]]
[[Category:Pages with script errors]]
[[Category:Templates Vigyan Ready]]

Latest revision as of 15:38, 28 July 2023

आईटीआईएल सुरक्षा प्रबंधन संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है।[1] आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक संकटों के संदर्भ में प्रलेखित सूचना सुरक्षा प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, परिचालन, मॉनिटरिंग, ​​​​समीक्षा, मेंटेनेंस और संशोधन के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों अथवा उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो इनफार्मेशन एसेट्स की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं।

सुरक्षा प्रबंधन की मूल अवधारणा इनफार्मेशन सिक्योरिटी है। इनफार्मेशन सिक्योरिटी का प्राथमिक लक्ष्य सूचना के एक्सेस को नियंत्रित करना है। सूचना का मूल्य वह है जिसे संरक्षित किया जाना चाहिए। इन मूल्यों में कॉन्फिडेंटिअलिटी, इंटीग्रिटी और अवेलेबिलिटी सम्मिलित हैं। अनुमानित स्वरुप गोपनीयता, अनामिता और सत्यापनीयता हैं।

सुरक्षा प्रबंधन का लक्ष्य दो भागों के अंतर्गत आता है:

  • सर्विस लेवल एग्रीमेंट (एसएलए) और अन्य बाह्य आवश्यकताओं में परिभाषित सुरक्षा आवश्यकताएं जो अनुबंध, नियम और संभावित आंतरिक अथवा बाह्य अधिरोपित नीतियों को रेखांकित करने में निर्दिष्ट हैं।
  • मूल सुरक्षा जो प्रबंधन की निरंतरता का आश्वासन देती है। इनफार्मेशन  सिक्योरिटी के लिए सरलीकृत सर्विस लेवल मैनेजमेंट प्राप्त करने के लिए यह आवश्यक है।

एसएलए नियम (यदि प्रयुक्त हो) और अन्य अनुबंधों के साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है।

सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। यद्यपि, इस विशेष खंड में सबसे स्पष्ट संबंध सर्विस लेवल मैनेजमेंट, इंसिडेंट मैनेजमेंट और चेंज मैनेजमेंट प्रक्रियाओं से संबंधित हैं।

सुरक्षा प्रबंधन

सुरक्षा प्रबंधन सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (प्लान, डू, चेक, एक्ट) से की जा सकती है।

इनपुट क्लाइंट्स की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों एसएलए को प्रभावित करते हैं। एसएलए क्लाइंट और प्रक्रिया दोनों के लिए इनपुट है। प्रदाता संगठन के लिए सुरक्षा योजनाएँ विकसित करता है। इन योजनाओं में नीतियाँ और परिचालन स्तर के अनुबंध सम्मिलित होते हैं। सुरक्षा योजनाओं (प्लान) को पुनः कार्यान्वित (डू) किया जाता है और तब कार्यान्वयन का मूल्यांकन (चेक) किया जाता है। मूल्यांकन के पश्चात् योजनाओं और योजना कार्यान्वयन को बनाए रखा (एक्ट) जाता है।

गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित होती हैं। बाह्य रिपोर्टें लिखी जाती हैं और क्लाइंट्स को भेजी जाती हैं। तब ग्राहक रिपोर्ट के माध्यम से प्राप्त इनफार्मेशन के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अतिरिक्त, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूर्ण करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना अथवा कार्यान्वयन को समायोजित कर सकता है।

नियंत्रण

सुरक्षा प्रबंधन प्रक्रिया में प्रथम गतिविधि "नियंत्रण" उप-प्रक्रिया है। नियंत्रण उप-प्रक्रिया सुरक्षा प्रबंधन प्रक्रिया को व्यवस्थित और प्रबंधित करती है। नियंत्रण उप-प्रक्रिया प्रक्रियाओं, पॉलिसी स्टेटमेंट्स और प्रबंधन फ्रेमवर्क के लिए उत्तरदायित्व के आवंटन को परिभाषित करती है।

सुरक्षा प्रबंधन फ्रेमवर्क कार्य योजनाओं में विकास, कार्यान्वयन और मूल्यांकन के लिए उप-प्रक्रियाओं को परिभाषित करता है। इसके अतिरिक्त, मैनेजमेंट फ्रेमवर्क परिभाषित करता है कि क्लाइंट्स को परिणाम किस प्रकार सूचित किए जाने चाहिए।

Table 2.1.2: अवधारणा और परिभाषा नियंत्रण उप-प्रक्रिया सिक्योरिटी मैनेजमेंट
गतिविधियाँ उप गतिविधियाँ विवरण
कण्ट्रोल इम्प्लीमेंट पॉलिसीस यह प्रक्रिया उन विशिष्ट आवश्यकताओं और नियमों की रूपरेखा तैयार करती है जिन्हें सिक्योरिटी मैनेजमेंट को प्रारम्भ करने के लिए पूर्ण करना होता है। प्रक्रिया नीति विवरण के साथ समाप्त होती है।
सुरक्षा संगठन स्थापित करें यह प्रक्रिया इनफार्मेशन सिक्योरिटी के लिए संगठनों को स्थापित करती है। उदाहरण के लिए, इस प्रक्रिया में स्ट्रक्चर, उत्तरदायित्व निर्धारित किये जाते हैं। यह प्रक्रिया सिक्योरिटी मैनेजमेंट फ्रेमवर्क के साथ समाप्त होती है।
रिपोर्टिंग इस प्रक्रिया में संपूर्ण लक्ष्यीकरण प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है।

नियंत्रण उप-प्रक्रिया का मेटा-प्रोसेस मॉडल यूएमएल गतिविधि आरेख पर आधारित है और नियंत्रण उप-प्रक्रिया की गतिविधियों का अवलोकन देता है। ग्रे आयत नियंत्रण उप-प्रक्रिया का प्रतिनिधित्व करता है और इसके भीतर की छोटी बीम आकृतियाँ इसके भीतर होने वाली गतिविधियों का प्रतिनिधित्व करती हैं।

File:Control Process model.jpg

अवधारणा विवरण
कण्ट्रोल डॉक्यूमेंट्स कण्ट्रोल इस विचार का विवरण है कि सिक्योरिटी मैनेजमेंट किस प्रकार व्यवस्थित किया जाता है और इसे किस प्रकार प्रबंधित किया जाता है।
पॉलिसी स्टेटमेंट्स पॉलिसी स्टेटमेंट्स विशिष्ट आवश्यकताओं या नियमों की रूपरेखा प्रस्तुत करते हैं जिन्हें पूर्ण किया जाना चाहिए। इनफार्मेशन सिक्योरिटी क्षेत्र में नीतियां सामान्यतः बिंदु-विशिष्ट होती हैं, जो एक ही क्षेत्र को कवर करती हैं। उदाहरण के लिए, "स्वीकार्य उपयोग" पॉलिसी कंप्यूटिंग सुविधाओं के उचित उपयोग के लिए नियमों और विनियमों को कवर करती हैं।
सिक्योरिटी मैनेजमेंट फ्रेमवर्क सिक्योरिटी मैनेजमेंट फ्रेमवर्क संगठन के भीतर इनफार्मेशन सिक्योरिटी के कार्यान्वयन को प्रारम्भ करने और नियंत्रित करने और चल रहे इनफार्मेशन सिक्योरिटी प्रावधान का मैनेजमेंट करने के लिए स्थापित मैनेजमेंट फ्रेमवर्क है।

नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल वर्ग आरेख पर आधारित होता है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल दर्शाता है।

File:Control Data model.JPG चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया

श्वेत छाया वाला कण्ट्रोल रेक्टेंगल संवृत समष्टि अवधारणा है। इसका अर्थ यह है कि कण्ट्रोल रेक्टेंगल में (उप) अवधारणाओं का संग्रह होता है।

चित्र 2.1.3 कण्ट्रोल उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई अथवा समायोजित की जाती हैं।

File:Control Process data model.JPG चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया

योजना

योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो सर्विस लेवल मैनेजमेंट के सहयोग से एसएलए में (इनफार्मेशन) सिक्योरिटी अनुभाग तक ले जाती हैं। इसके अतिरिक्त, योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अंतर्निहित अनुबंधों से संबंधित हैं जो (इनफार्मेशन) सिक्योरिटी के लिए विशिष्ट हैं।

योजना उप-प्रक्रिया में एसएलए में प्रस्तुत किए गए लक्ष्यों को ऑपरेशनल लेवल एग्रीमेंट (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन ओएलए को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है।

एसएलए के इनपुट के अतिरिक्त, योजना उप-प्रक्रिया स्वयं सेवा प्रदाता के पॉलिसी स्टेटमेंट्स के साथ भी कार्य करती है। जिस प्रकार पूर्व में बताया गया है, ये पॉलिसी स्टेटमेंट्स कण्ट्रोल उप-प्रक्रिया में परिभाषित हैं।

इनफार्मेशन सिक्योरिटी के लिए ऑपरेशनल लेवल एग्रीमेंट आईटीआईएल प्रक्रिया के आधार पर स्थापित और कार्यान्वित किए जाते हैं। इसके लिए अन्य आईटीआईएल प्रक्रियाओं के साथ सहयोग की आवश्यकता होती है। उदाहरण के लिए, यदि सुरक्षा प्रबंधन सुरक्षा में वृद्धि के लिए आईटी इंफ्रास्ट्रक्चर को परिवर्तित करना है, तो ये परिवर्तन प्रबंधन प्रक्रिया के माध्यम से किए जाएंगे। सुरक्षा प्रबंधन इस परिवर्तन के लिए इनपुट (परिवर्तन के लिए अनुरोध) वितरित करता है। परिवर्तन प्रबंधक परिवर्तन प्रबंधन प्रक्रिया के लिए उत्तरदायी है।

Table 2.2.1: (उप) गतिविधियाँ और विवरण योजना उप-प्रक्रिया आईटीआईएल सिक्योरिटी मैनेजमेंट
गतिविधियाँ उप गतिविधियाँ विवरण
प्लान एसएलए के लिए सिक्योरिटी अनुभाग बनाएँ इस प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो सेवा स्तर के एग्रीमेंट में सिक्योरिटी अनुबंध पैराग्राफ तक ले जाती हैं। इस प्रक्रिया के अंत में सेवा स्तर एग्रीमेंट का सिक्योरिटी अनुभाग बनाया जाता है।
आधारभूत अनुबंध बनाएं इस प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अनुबंधों को रेखांकित करती हैं। ये अनुबंध सिक्योरिटी के लिए विशिष्ट हैं।
परिचालन स्तर के एग्रीमेंट बनाएं एसएलए में सामान्य रूप से प्रस्तुत किए गए लक्ष्य परिचालन स्तर के एग्रीमेंट में निर्दिष्ट हैं। इन एग्रीमेंट को विशिष्ट संगठन इकाइयों के लिए सिक्योरिटी योजनाओं के रूप में देखा जा सकता है।
रिपोर्टिंग इस प्रक्रिया में संपूर्ण क्रिएट प्लान प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है।

योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन समष्टि गतिविधियाँ सम्मिलित हैं जो सभी विवृत गतिविधियाँ और मानक गतिविधि हैं।

Table 2.2.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सिक्योरिटी मैनेजमेंट
अवधारणा विवरण
प्लान सिक्योरिटी एग्रीमेंट के लिए योजनाएँ बनाईं।
सिक्योरिटी स्तर एग्रीमेंट का सिक्योरिटी अनुभाग सिक्योरिटी एग्रीमेंट का पैराग्राफ सेवा प्रदाता और कस्टमर के मध्य लिखित एग्रीमेंट में होता है जो किसी सेवा के लिए सहमत सेवा स्तरों का प्रलेखीकरण करता है।
अनुबंधों को रेखांकित करना सेवाओं की डिलीवरी को कवर करने वाले बाहरी आपूर्तिकर्ता के साथ अनुबंध जो आईटी संगठन को सेवाओं की डिलीवरी में सहायता करता है।
परिचालन स्तर के एग्रीमेंट सेवाओं की डिलीवरी को कवर करने वाला आंतरिक एग्रीमेंट जो आईटी संगठन को सेवाओं की डिलीवरी में सहायता करता है।

नियंत्रण उप-प्रक्रिया की भाँति ही योजना उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके प्रस्तुत किया जाता है। चित्र 2.2.1 के बाईं ओर योजना उप-प्रक्रिया का मेटा-डेटा मॉडल है।

योजना आयत संवृत (समष्टि) अवधारणा है जिसमें दो विवृत (समष्टि) अवधारणाओं और मानक अवधारणा के साथ एकत्रीकरण प्रकार का संबंध होता है। इस विशेष संदर्भ में दो विवृत अवधारणाओं का विस्तार नहीं किया गया है।

निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर संकेत करते हैं कि योजना उप-प्रक्रिया की संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई अथवा समायोजित की जाती हैं।

File:Plan process data model.jpg चित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया

कार्यान्वयन

कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय उचित रूप से कार्यान्वित किये गए हैं। कार्यान्वयन उप-प्रक्रिया के समय कोई भी उपाय परिभाषित नहीं किया जाता है और न ही परिवर्तित किया जाता है। उपायों की परिभाषा परिवर्तन प्रबंधन प्रक्रिया के सहयोग से योजना उप-प्रक्रिया में होती है।

Table 2.3.1: (उप) गतिविधियाँ और विवरण कार्यान्वयन उप-प्रक्रिया आईटीआईएल सिक्योरिटी मैनेजमेंट
गतिविधियाँ उप गतिविधियाँ विवरण
इम्प्लीमेंट आईटी ऍप्लिकेशन्स का वर्गीकरण और मैनेजमेंट कॉन्फ़िगरेशन आइटमों को प्रकार के आधार पर औपचारिक रूप से समूहीकृत करने की प्रक्रिया, जैसे सॉफ़्टवेयर, हार्डवेयर, डॉक्यूमेंटेशन, एनवायरनमेंट और एप्लिकेशन।

प्रकार के आधार पर औपचारिक रूप से परिवर्तनों की पहचान करने की प्रक्रिया, उदाहरण के लिए, प्रोजेक्ट स्कोप परिवर्तन अनुरोध, सत्यापन परिवर्तन अनुरोध, इंफ्रास्ट्रक्चर परिवर्तन अनुरोध, यह प्रक्रिया एसेट वर्गीकरण और कण्ट्रोल डाक्यूमेंट्स की ओर ले जाती है।

इम्प्लीमेंट पर्सनेल सिक्योरिटी पर्सनेल को सुरक्षा और आत्मविश्वास देने के लिए उपाय अपनाए जाते हैं और क्राइम/फ्रॉड को रोकने के लिए उपाय किए जाते हैं। प्रक्रिया पर्सनेल सिक्योरिटी के साथ समाप्त होती है।
इम्प्लीमेंट सिक्योरिटी मैनेजमेंट विशिष्ट सिक्योरिटी आवश्यकताएँ या सिक्योरिटी नियम जिन्हें पूर्ण किया जाना चाहिए, रेखांकित और प्रलेखित हैं। यह प्रक्रिया सिक्योरिटी पॉलिसीस के साथ समाप्त होती है।
इम्प्लीमेंट एक्सेस कण्ट्रोल विशिष्ट एक्सेस सिक्योरिटी आवश्यकताएँ और/या एक्सेस सिक्योरिटी नियम जिन्हें पूर्ण किया जाना चाहिए, रेखांकित और प्रलेखित हैं। प्रक्रिया एक्सेस कण्ट्रोल के साथ समाप्त होती है।
रिपोर्टिंग नियोजित प्रक्रिया के रूप में संपूर्ण कार्यान्वयन को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है।

चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का अर्थ है कि ये गतिविधियाँ विवृत अवधारणाएँ हैं और इस संदर्भ में इनका विस्तार नहीं किया गया है। कोई भी तीर इन चार गतिविधियों को नहीं जोड़ता है, जिसका अर्थ है कि ये गतिविधियाँ अव्यवस्थित हैं और रिपोर्टिंग सभी चार गतिविधियों के पूर्ण होने के पश्चात की जाएगी।

कार्यान्वयन चरण के समय अवधारणाएँ बनाई और/या समायोजित की जाती हैं।

Table 2.3.2: अवधारणा और परिभाषा कार्यान्वयन उप-प्रक्रिया सिक्योरिटी मैनेजमेंट
अवधारणा विवरण
इम्प्लीमेंटेशन सिक्योरिटी मैनेजमेंट योजना के अनुसार सिक्योरिटी मैनेजमेंट पूर्ण किया गया।
एसेट वर्गीकरण और कण्ट्रोल डॉक्यूमेंट्स यह सुनिश्चित करने के लिए कि प्रभावी सिक्योरिटी संरक्षण बनाए रखा गया है, उत्तरदायित्व के साथ एसेट्स की व्यापक सारिणी प्रदान की गयी है।
पर्सनेल सिक्योरिटी सिक्योरिटी भूमिकाओं और उत्तरदायित्व को रेखांकित करते हुए सभी कर्मचारियों के लिए उत्तम प्रकार से परिभाषित नौकरी विवरण।
सिक्योरिटी पॉलिसीस डॉक्यूमेंट जो विशिष्ट सिक्योरिटी आवश्यकताओं या सिक्योरिटी नियमों को रेखांकित करते हैं जिन्हें पूर्ण किया जाना चाहिए।
एक्सेस कण्ट्रोल नेटवर्क मैनेजमेंट यह सुनिश्चित करने के लिए कि केवल उचित उत्तरदायित्व वाले लोगों के समीप ही नेटवर्क में इनफार्मेशन और सहायक इंफ्रास्ट्रक्चर की सिक्योरिटी तक पहुंच हो।

बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके मॉडल किया जाता है। चित्र 2.3.1 का दाहिना भाग कार्यान्वयन उप-प्रक्रिया का मेटा-डेटा मॉडल है।

कार्यान्वयन डाक्यूमेंट्स संवृत अवधारणा है और इस संदर्भ में इसका विस्तार किया गया है। इसमें चार विवृत अवधारणाएँ सम्मिलित हैं जिनका विस्तार नहीं किया गया है क्योंकि वे इस विशेष संदर्भ में अप्रासंगिक हैं।

दोनों मॉडलों के मध्य संबंधों को स्पष्ट करने के लिए दोनों मॉडलों के एकीकरण को चित्र 2.3.1 में दर्शाया गया है। गतिविधियों से अवधारणाओं तक चलने वाले बिंदीदार तीर दर्शाते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई/समायोजित की जाती हैं।

File:Implementation process data model.jpg चित्र 2.3.1: प्रक्रिया-डेटा मॉडल कार्यान्वयन उप-प्रक्रिया

मूल्यांकन

कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक होता है। मूल्यांकन क्लाइंट्स (और संभवतः तृतीय पक्ष) के लिए महत्वपूर्ण है। मूल्यांकन उप-प्रक्रिया के परिणामों का उपयोग सहमत उपायों और कार्यान्वयन को बनाए रखने के लिए किया जाता है। मूल्यांकन के परिणाम नई आवश्यकताओं और परिवर्तन के लिए संबंधित अनुरोध को उत्पन्न कर सकते हैं। तब परिवर्तन के अनुरोध को परिभाषित किया जाता है और परिवर्तन प्रबंधन को सेंड किया जाता है।

मूल्यांकन के तीन प्रकार होते हैं जिनमें सेल्फ-असेसमेंट, इंटरनल ऑडिट और एक्सटर्नल ऑडिट सम्मिलित हैं।

सेल्फ-असेसमेंट मुख्य रूप से प्रक्रियाओं के संगठन में किया जाता है। इंटरनल ऑडिट, इंटरनल आईटी-ऑडिटर्स द्वारा किए जाते हैं। एक्सटर्नल ऑडिट बाह्य स्वतंत्र आईटी-ऑडिटर्स द्वारा किए जाते हैं। पूर्व उल्लिखित लोगों के अतिरिक्त, संचारित सुरक्षा घटनाओं पर आधारित मूल्यांकन होता है। इस मूल्यांकन के लिए सबसे महत्वपूर्ण गतिविधि आईटी-सिस्टम की सिक्योरिटी मॉनिटरिंग हैं; सुरक्षा नियम और सुरक्षा योजना कार्यान्वयन को सत्यापित करें; आईटी-आपूर्ति के अवांछनीय उपयोग को ट्रेस करें और उस पर प्रतिक्रिया दें।

Table 2.4.1: (उप) गतिविधियाँ और विवरण मूल्यांकन उप-प्रक्रिया आईटीआईएल सिक्योरिटी मैनेजमेंट
गतिविधियाँ उप गतिविधियाँ विवरण
इवैलुएट सेल्फ-असेसमेंट कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें। इस प्रक्रिया का परिणाम सेल्फ-असेसमेंट डॉक्यूमेंट्स है।
इंटरनल ऑडिट इंटरनल ईडीपी ऑडिटर द्वारा कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें। इस प्रक्रिया का परिणाम इंटरनल ऑडिट है।
एक्सटर्नल ऑडिट एक्सटर्नल ईडीपी ऑडिटर द्वारा कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें। इस प्रक्रिया का परिणाम एक्सटर्नल ऑडिट है।
इवैल्यूएशन सिक्योरिटी इन्सिडेंट्स पर आधारित है सिक्योरिटी इन्सिडेंट्स के आधार पर कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें जो किसी सेवा के मानक संचालन का भाग नहीं हैं और जो उस सेवा की गुणवत्ता में बाधा या कमी का कारण बन सकते हैं या उत्पन्न कर सकते हैं। इस प्रक्रिया का परिणाम सिक्योरिटी इन्सिडेंट्स हैं।
रिपोर्टिंग कार्यान्वयन प्रक्रिया को विशिष्ट विधि से इवैलुएट करें। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है।

File:Evaluation process data model.jpg चित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया

चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में मेटा-प्रोसेस मॉडल और मेटा-डेटा मॉडल सम्मिलित है। मूल्यांकन उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके प्रस्तुत किया गया था।

मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर संकेत करते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएं बनाई/समायोजित की गई हैं। मूल्यांकन चरण की सभी गतिविधियाँ मानक गतिविधियाँ हैं। मूल्यांकन चरण अवधारणाओं के संक्षिप्त विवरण के लिए सारिणी 2.4.2 देखें जहां अवधारणाओं को क्रमबद्ध और परिभाषित किया गया है।

अवधारणा विवरण
इवैल्यूएशन इवैलुएटेड/चेक्ड  इम्प्लीमेंटेशन
रिजल्ट्स इवैलुएट किए गए कार्यान्वयन का परिणाम
सेल्फ असेसमेंट डॉक्यूमेंट्स प्रक्रिया के संगठन द्वारा ही सिक्योरिटी मैनेजमेंट की परीक्षा का परिणाम
इंटरनल ऑडिट इंटरनल ईडीपी ऑडिटर्स द्वारा सिक्योरिटी मैनेजमेंट के परिक्षण का परिणाम
एक्सटर्नल ऑडिट एक्सटर्नल ईडीपी ऑडिटर्स द्वारा सिक्योरिटी मैनेजमेंट के परिक्षण का परिणाम।
सिक्योरिटी इन्सिडेंट्स डॉक्यूमेंट्स सिक्योरिटी घटनाओं के इवैल्यूएशन के परिणाम जो किसी सेवा के मानक संचालन का भाग नहीं हैं और जो उस सेवा की गुणवत्ता में बाधा उत्पन्न करते हैं, या उत्पन्न कर सकते हैं, या कमी कर सकते हैं।

तालिका 2.4.2: अवधारणा और परिभाषा मूल्यांकन उप-प्रक्रिया सुरक्षा प्रबंधन

मेंटेनेंस

संगठनात्मक और आईटी-इंफ्रास्ट्रक्चर में परिवर्तन के कारण, समय के साथ सिक्योरिटी रिस्क्स परिवर्तित होते हैं, जिससे सर्विस लेवल एग्रीमेंट और सुरक्षा योजनाओं के सुरक्षा अनुभाग में संशोधन की आवश्यकता होती है।

मेंटेनेंस मूल्यांकन उप-प्रक्रिया के परिणामों और परिवर्तित संकटों में अंतर्दृष्टि पर आधारित है। ये गतिविधियाँ प्रस्ताव प्रस्तुत करेंगी। प्रस्ताव या तो योजना उप-प्रक्रिया के लिए इनपुट के रूप में कार्य करते हैं और चक्र के माध्यम से ट्रेवल करते हैं अथवा सर्विस लेवल एग्रीमेंट को बनाए रखने के अंश के रूप में अपनाए जा सकते हैं। दोनों ही स्थितियों में प्रस्ताव कार्य योजना में गतिविधियों को उत्पन्न कर सकते हैं। वास्तविक परिवर्तन प्रबंधन प्रक्रिया द्वारा किये जाते हैं।

Table 2.5.1: (उप) गतिविधियाँ और विवरण मेंटेनेंस उप-प्रक्रिया आईटीआईएल सिक्योरिटी मैनेजमेंट
गतिविधियाँ उप गतिविधियाँ विवरण
मेन्टेन सर्विस लेवल एग्रीमेंट्स का मेंटेनेंस यह सर्विस लेवल एग्रीमेंट्स को उचित स्थिति में रखता है। प्रक्रिया स्थिर सर्विस लेवल एग्रीमेंट्स के साथ समाप्त होती है।
ऑपरेशनल लेवल एग्रीमेंट्स का मेंटेनेंस यह ऑपरेशनल लेवल एग्रीमेंट्स को उचित स्थिति में रखता है। प्रक्रिया ऑपरेशनल लेवल एग्रीमेंट्स के साथ समाप्त होती है।
एसएलए और/या ओएलए में परिवर्तन के लिए अनुरोध एसएलए और/या ओएलए में परिवर्तन के लिए अनुरोध प्रस्तुत किया गया है। यह प्रक्रिया परिवर्तन के अनुरोध के साथ समाप्त होती है।
रिपोर्टिंग कार्यान्वित सिक्योरिटी नीतियों की प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है।

चित्र 2.5.1 कार्यान्वयन उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र मेटा-प्रोसेस मॉडल (बाएं) और मेटा-डेटा मॉडल (दाएं) का एकीकरण दर्शाता है। बिंदीदार तीर दर्शाते हैं कि कार्यान्वयन चरण की गतिविधियों में कौन सी अवधारणाएँ बनाई या समायोजित की जाती हैं।

File:Maintenance process data model.jpg चित्र 2.5.1: प्रक्रिया-डेटा मॉडल मेंटेनेंस उप-प्रक्रिया

मेंटेनेंस उप-प्रक्रिया सर्विस लेवल एग्रीमेंट के मेंटेनेंस और ऑपरेशनल लेवल एग्रीमेंट के मेंटेनेंस से प्रारम्भ होती है। इन गतिविधियों के होने के पश्चात (किसी विशेष क्रम में नहीं) और परिवर्तन के लिए अनुरोध होने पर परिवर्तन गतिविधि के लिए अनुरोध होगा और परिवर्तन गतिविधि के लिए अनुरोध समाप्त होने के पश्चात रिपोर्टिंग गतिविधि प्रारम्भ होती है। यदि परिवर्तन के लिए कोई अनुरोध नहीं है तो रिपोर्टिंग गतिविधि प्रथम दो गतिविधियों के पश्चात प्रत्यक्ष रूप से प्रारम्भ हो जाएगी। मेटा-डेटा मॉडल में अवधारणाएँ मेंटेनेंस चरण के समय बनाई/समायोजित की जाती हैं। अवधारणाओं की सारिणी और उनकी परिभाषा के लिए तालिका 2.5.2 पर ध्यान केंद्रित करें।

Table 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सिक्योरिटी मैनेजमेंट
अवधारणा विवरण
मेंटेनेंस डॉक्यूमेंट्स एग्रीमेंट्स उचित स्थिति में रखे गए।
मेन्टेनड सर्विस लेवल एग्रीमेंट्स सर्विस लेवल एग्रीमेंट (सिक्योरिटी एक्ट) उचित स्थिति में रखे गए।
मेन्टेनड ऑपरेशनल लेवल एग्रीमेंट्स ऑपरेशनल लेवल एग्रीमेंट्स उचित स्थिति में रखे गए।
रिक्वेस्ट फॉर चेंज फॉर्म, या स्क्रीन, का उपयोग एसएलए/ओएलएलए में परिवर्तन के अनुरोध का विवरण रिकॉर्ड करने के लिए किया जाता है

तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन

संपूर्ण प्रक्रिया-डेटा मॉडल

चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया

ओएलए Process data model security management.jpg

अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध

जिस प्रकार से परिचय में बताया गया है, सुरक्षा प्रबंधन प्रक्रिया का लगभग सभी अन्य आईटीआईएल-प्रक्रियाओं के साथ संबंध है। ये प्रक्रियाएँ निम्नलिखित हैं:

  • आईटी कस्टमर रिलेशनशिप मैनेजमेंट
  • सर्विस लेवल मैनेजमेंट
  • अवेलेबिलिटी मैनेजमेंट
  • कैपेसिटी मैनेजमेंट
  • आईटी सर्विस कॉन्टिनुइटी मैनेजमेंट
  • कॉन्फ़िगरेशन मैनेजमेंट
  • रिलीज़ मैनेजमेंट
  • इंसिडेंट मैनेजमेंट एवं सर्विस डेस्क
  • प्रॉब्लम मैनेजमेंट
  • चेंज मैनेजमेंट (आईटीएसएम)

इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए उत्तरदायी हैं। यद्यपि, सुरक्षा प्रबंधन संबंधित प्रक्रिया को संकेत देता है कि इन गतिविधियों की संरचना किस प्रकार की जाए।

उदाहरण: इंटरनल ई-मेल पॉलिसीस

इंटरनल ई-मेल कई सुरक्षा संकटों के अध्यधीन है, जिसके लिए संबंधित सुरक्षा योजना और नीतियों की आवश्यकता होती है। इस उदाहरण में आईटीआईएल सुरक्षा प्रबंधन दृष्टिकोण का उपयोग ई-मेल पॉलिसीस को कार्यान्वित करने के लिए किया जाता है।

सुरक्षा प्रबंधन समूह का गठन किया जाता है और प्रक्रिया दिशानिर्देश प्रस्तुत किए जाते हैं एवं सभी कर्मचारियों तथा प्रदाताओं को सूचित किए जाते हैं। ये क्रियाएँ नियंत्रण चरण में की जाती हैं।

इसके पश्चात् योजना चरण में नीतियां बनाई जाती हैं। ई-मेल सुरक्षा के लिए विशिष्ट नीतियां प्रस्तुत की जाती हैं और सर्विस लेवल एग्रीमेंट में संयोजित की जाती हैं। इस चरण के अंत में पूर्ण योजना कार्यान्वयन के लिए प्रस्तुत है।

योजना के अनुसार क्रियान्वयन किया जाता है।

कार्यान्वयन के पश्चात नीतियों का मूल्यांकन या तो स्व-मूल्यांकन के रूप में, अथवा आंतरिक या बाहरी लेखा परीक्षकों के माध्यम से किया जाता है।

प्रतिपालन चरण में ई-पॉलिसीस को मूल्यांकन के आधार पर समायोजित किया जाता है। आवश्यक परिवर्तनों को परिवर्तन के अनुरोध के माध्यम से संसाधित किया जाता है।

यह भी देखें

यह भी देखें

  • सूचना सुरक्षा

संदर्भ

  1. "ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems -- Requirements".


स्रोत

  • बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का परिचयात्मक संचालन आधार। वैन हरेन प्रकाशन
  • कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय।
  • सुरक्षा प्रबंधन। (फरवरी 1, 2005)। माइक्रोसॉफ्ट
  • त्से, डी. (2005)। आधुनिक व्यवसाय में सुरक्षा: सूचना सुरक्षा प्रथाओं के लिए सुरक्षा मूल्यांकन मॉडल। हांगकांग: हांगकांग विश्वविद्यालय।


श्रेणी:आईटीआईएल श्रेणी:कंप्यूटर सुरक्षा

Retrieved from ‘https://www.vigyanwiki.in/index.php?title=आईटीआईएल_सुरक्षा_प्रबंधन&oldid=229419