आईटीआईएल सुरक्षा प्रबंधन: Difference between revisions
No edit summary |
No edit summary |
||
(16 intermediate revisions by 3 users not shown) | |||
Line 1: | Line 1: | ||
[[आईटीआईएल]] सुरक्षा प्रबंधन | '''[[आईटीआईएल]] सुरक्षा प्रबंधन''' संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है।<ref>{{cite web|url=http://www.iso.org/iso/catalogue_detail?csnumber=42103|title=ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems -- Requirements|publisher=}}</ref> आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक संकटों के संदर्भ में प्रलेखित सूचना [[सुरक्षा]] प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, परिचालन, मॉनिटरिंग, समीक्षा, मेंटेनेंस और संशोधन के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों अथवा उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो इनफार्मेशन एसेट्स की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं। | ||
सुरक्षा प्रबंधन की | सुरक्षा प्रबंधन की मूल अवधारणा [[सूचना सुरक्षा|इनफार्मेशन सिक्योरिटी]] है। इनफार्मेशन सिक्योरिटी का प्राथमिक लक्ष्य सूचना के एक्सेस को नियंत्रित करना है। सूचना का मूल्य वह है जिसे संरक्षित किया जाना चाहिए। इन मूल्यों में [[गोपनीयता|कॉन्फिडेंटिअलिटी]], [[अखंडता|इंटीग्रिटी]] और [[उपलब्धता|अवेलेबिलिटी]] सम्मिलित हैं। अनुमानित स्वरुप गोपनीयता, अनामिता और सत्यापनीयता हैं। | ||
सुरक्षा प्रबंधन का लक्ष्य दो भागों | सुरक्षा प्रबंधन का लक्ष्य दो भागों के अंतर्गत आता है: | ||
* | * सर्विस लेवल एग्रीमेंट (एसएलए) और अन्य बाह्य आवश्यकताओं में परिभाषित सुरक्षा आवश्यकताएं जो अनुबंध, नियम और संभावित आंतरिक अथवा बाह्य अधिरोपित नीतियों को रेखांकित करने में निर्दिष्ट हैं। | ||
* | * मूल सुरक्षा जो प्रबंधन की निरंतरता का आश्वासन देती है। इनफार्मेशन सिक्योरिटी के लिए सरलीकृत सर्विस लेवल मैनेजमेंट प्राप्त करने के लिए यह आवश्यक है। | ||
एसएलए | एसएलए नियम (यदि प्रयुक्त हो) और अन्य अनुबंधों के साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है। | ||
सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। | सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। यद्यपि, इस विशेष खंड में सबसे स्पष्ट संबंध [[सेवा स्तर प्रबंधन|सर्विस लेवल मैनेजमेंट]], इंसिडेंट मैनेजमेंट और [[परिवर्तन प्रबंधन|चेंज मैनेजमेंट]] प्रक्रियाओं से संबंधित हैं। | ||
== सुरक्षा प्रबंधन == | == सुरक्षा प्रबंधन == | ||
सुरक्षा प्रबंधन | सुरक्षा प्रबंधन सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (प्लान, डू, चेक, एक्ट) से की जा सकती है। | ||
इनपुट | इनपुट क्लाइंट्स की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों एसएलए को प्रभावित करते हैं। एसएलए क्लाइंट और प्रक्रिया दोनों के लिए इनपुट है। प्रदाता संगठन के लिए सुरक्षा योजनाएँ विकसित करता है। इन योजनाओं में नीतियाँ और परिचालन स्तर के अनुबंध सम्मिलित होते हैं। सुरक्षा योजनाओं (प्लान) को पुनः कार्यान्वित (डू) किया जाता है और तब कार्यान्वयन का मूल्यांकन (चेक) किया जाता है। मूल्यांकन के पश्चात् योजनाओं और योजना कार्यान्वयन को बनाए रखा (एक्ट) जाता है। | ||
गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित हैं। | गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित होती हैं। बाह्य रिपोर्टें लिखी जाती हैं और क्लाइंट्स को भेजी जाती हैं। तब ग्राहक रिपोर्ट के माध्यम से प्राप्त इनफार्मेशन के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अतिरिक्त, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूर्ण करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना अथवा कार्यान्वयन को समायोजित कर सकता है। | ||
===नियंत्रण=== | ===नियंत्रण=== | ||
सुरक्षा प्रबंधन प्रक्रिया में | सुरक्षा प्रबंधन प्रक्रिया में प्रथम गतिविधि "नियंत्रण" उप-प्रक्रिया है। नियंत्रण उप-प्रक्रिया सुरक्षा प्रबंधन प्रक्रिया को व्यवस्थित और प्रबंधित करती है। नियंत्रण उप-प्रक्रिया प्रक्रियाओं, पॉलिसी स्टेटमेंट्स और प्रबंधन फ्रेमवर्क के लिए उत्तरदायित्व के आवंटन को परिभाषित करती है। | ||
सुरक्षा प्रबंधन | सुरक्षा प्रबंधन फ्रेमवर्क कार्य योजनाओं में विकास, कार्यान्वयन और मूल्यांकन के लिए उप-प्रक्रियाओं को परिभाषित करता है। इसके अतिरिक्त, मैनेजमेंट फ्रेमवर्क परिभाषित करता है कि क्लाइंट्स को परिणाम किस प्रकार सूचित किए जाने चाहिए। | ||
{| class="wikitable" | {| class="wikitable" | ||
|+Table 2.1.2: | |+Table 2.1.2: अवधारणा और परिभाषा नियंत्रण उप-प्रक्रिया सिक्योरिटी मैनेजमेंट | ||
|- | |- | ||
! | ! गतिविधियाँ !! उप गतिविधियाँ !! विवरण | ||
|- | |- | ||
| rowspan=3 | | | rowspan=3 | कण्ट्रोल | ||
| | | इम्प्लीमेंट पॉलिसीस | ||
| | | यह प्रक्रिया उन विशिष्ट आवश्यकताओं और नियमों की रूपरेखा तैयार करती है जिन्हें सिक्योरिटी मैनेजमेंट को प्रारम्भ करने के लिए पूर्ण करना होता है। प्रक्रिया नीति विवरण के साथ समाप्त होती है। | ||
|- | |- | ||
| | | सुरक्षा संगठन स्थापित करें | ||
| | | यह प्रक्रिया [[information security|इनफार्मेशन सिक्योरिटी]] के लिए संगठनों को स्थापित करती है। उदाहरण के लिए, इस प्रक्रिया में स्ट्रक्चर, उत्तरदायित्व निर्धारित किये जाते हैं। यह प्रक्रिया सिक्योरिटी मैनेजमेंट फ्रेमवर्क के साथ समाप्त होती है। | ||
|- | |- | ||
| | | रिपोर्टिंग | ||
| | | इस प्रक्रिया में संपूर्ण लक्ष्यीकरण प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। | ||
|} | |} | ||
नियंत्रण उप-प्रक्रिया का मेटा- | नियंत्रण उप-प्रक्रिया का मेटा-प्रोसेस मॉडल [[एकीकृत मॉडलिंग भाषा|यूएमएल]] [[गतिविधि आरेख]] पर आधारित है और नियंत्रण उप-प्रक्रिया की गतिविधियों का अवलोकन देता है। ग्रे आयत नियंत्रण उप-प्रक्रिया का प्रतिनिधित्व करता है और इसके भीतर की छोटी बीम आकृतियाँ इसके भीतर होने वाली गतिविधियों का प्रतिनिधित्व करती हैं। | ||
[[Image:Control Process model.jpg]] | [[Image:Control Process model.jpg]] | ||
Line 47: | Line 47: | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! | ! अवधारणा !! विवरण | ||
|- | |- | ||
| | | कण्ट्रोल डॉक्यूमेंट्स | ||
| | | कण्ट्रोल इस विचार का विवरण है कि सिक्योरिटी मैनेजमेंट किस प्रकार व्यवस्थित किया जाता है और इसे किस प्रकार प्रबंधित किया जाता है। | ||
|- | |- | ||
| | | पॉलिसी स्टेटमेंट्स | ||
| | | पॉलिसी स्टेटमेंट्स विशिष्ट आवश्यकताओं या नियमों की रूपरेखा प्रस्तुत करते हैं जिन्हें पूर्ण किया जाना चाहिए। [[information security|इनफार्मेशन सिक्योरिटी]] क्षेत्र में नीतियां सामान्यतः बिंदु-विशिष्ट होती हैं, जो एक ही क्षेत्र को कवर करती हैं। उदाहरण के लिए, "स्वीकार्य उपयोग" पॉलिसी कंप्यूटिंग सुविधाओं के उचित उपयोग के लिए नियमों और विनियमों को कवर करती हैं। | ||
|- | |- | ||
| | | सिक्योरिटी मैनेजमेंट फ्रेमवर्क | ||
| | | सिक्योरिटी मैनेजमेंट फ्रेमवर्क संगठन के भीतर इनफार्मेशन सिक्योरिटी के कार्यान्वयन को प्रारम्भ करने और नियंत्रित करने और चल रहे इनफार्मेशन सिक्योरिटी प्रावधान का मैनेजमेंट करने के लिए स्थापित मैनेजमेंट फ्रेमवर्क है। | ||
|} | |} | ||
नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल [[वर्ग आरेख]] पर आधारित है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल | नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल [[वर्ग आरेख]] पर आधारित होता है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल दर्शाता है। | ||
[[Image:Control Data model.JPG]]चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया | [[Image:Control Data model.JPG]] चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया | ||
श्वेत छाया वाला कण्ट्रोल रेक्टेंगल संवृत समष्टि अवधारणा है। इसका अर्थ यह है कि कण्ट्रोल रेक्टेंगल में (उप) अवधारणाओं का संग्रह होता है। | |||
चित्र 2.1.3 | चित्र 2.1.3 कण्ट्रोल उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई अथवा समायोजित की जाती हैं। | ||
[[Image:Control Process data model.JPG]]चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया | [[Image:Control Process data model.JPG]] चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया | ||
===योजना=== | ===योजना=== | ||
योजना उप-प्रक्रिया में ऐसी गतिविधियाँ | योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो [[सेवा स्तर प्रबंधन|सर्विस लेवल मैनेजमेंट]] के सहयोग से एसएलए में (इनफार्मेशन) सिक्योरिटी अनुभाग तक ले जाती हैं। इसके अतिरिक्त, योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अंतर्निहित अनुबंधों से संबंधित हैं जो (इनफार्मेशन) सिक्योरिटी के लिए विशिष्ट हैं। | ||
योजना उप-प्रक्रिया में एसएलए में | योजना उप-प्रक्रिया में एसएलए में प्रस्तुत किए गए लक्ष्यों को ऑपरेशनल लेवल एग्रीमेंट (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन ओएलए को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है। | ||
एसएलए के इनपुट के | एसएलए के इनपुट के अतिरिक्त, योजना उप-प्रक्रिया स्वयं सेवा प्रदाता के पॉलिसी स्टेटमेंट्स के साथ भी कार्य करती है। जिस प्रकार पूर्व में बताया गया है, ये पॉलिसी स्टेटमेंट्स कण्ट्रोल उप-प्रक्रिया में परिभाषित हैं। | ||
इनफार्मेशन सिक्योरिटी के लिए ऑपरेशनल लेवल एग्रीमेंट आईटीआईएल प्रक्रिया के आधार पर स्थापित और कार्यान्वित किए जाते हैं। इसके लिए अन्य आईटीआईएल प्रक्रियाओं के साथ सहयोग की आवश्यकता होती है। उदाहरण के लिए, यदि सुरक्षा प्रबंधन सुरक्षा में वृद्धि के लिए आईटी इंफ्रास्ट्रक्चर को परिवर्तित करना है, तो ये परिवर्तन प्रबंधन प्रक्रिया के माध्यम से किए जाएंगे। सुरक्षा प्रबंधन इस परिवर्तन के लिए इनपुट (परिवर्तन के लिए अनुरोध) वितरित करता है। परिवर्तन प्रबंधक परिवर्तन प्रबंधन प्रक्रिया के लिए उत्तरदायी है। | |||
{| class="wikitable" | {| class="wikitable" | ||
|+Table 2.2.1: ( | |+Table 2.2.1: (उप) गतिविधियाँ और विवरण योजना उप-प्रक्रिया आईटीआईएल सिक्योरिटी मैनेजमेंट | ||
! | ! गतिविधियाँ !! उप गतिविधियाँ !! विवरण | ||
|- | |- | ||
| rowspan=4 | | | rowspan=4 | प्लान | ||
| | | एसएलए के लिए सिक्योरिटी अनुभाग बनाएँ | ||
| | | इस प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो सेवा स्तर के एग्रीमेंट में सिक्योरिटी अनुबंध पैराग्राफ तक ले जाती हैं। इस प्रक्रिया के अंत में सेवा स्तर एग्रीमेंट का सिक्योरिटी अनुभाग बनाया जाता है। | ||
|- | |- | ||
| | | आधारभूत अनुबंध बनाएं | ||
| | | इस प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अनुबंधों को रेखांकित करती हैं। ये अनुबंध सिक्योरिटी के लिए विशिष्ट हैं। | ||
|- | |- | ||
| | | परिचालन स्तर के एग्रीमेंट बनाएं | ||
| | | एसएलए में सामान्य रूप से प्रस्तुत किए गए लक्ष्य परिचालन स्तर के एग्रीमेंट में निर्दिष्ट हैं। इन एग्रीमेंट को विशिष्ट संगठन इकाइयों के लिए सिक्योरिटी योजनाओं के रूप में देखा जा सकता है। | ||
|- | |- | ||
| | | रिपोर्टिंग | ||
| | | इस प्रक्रिया में संपूर्ण क्रिएट प्लान प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। | ||
|} | |} | ||
योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन | योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन समष्टि गतिविधियाँ सम्मिलित हैं जो सभी विवृत गतिविधियाँ और मानक गतिविधि हैं। | ||
{| class="wikitable" | {| class="wikitable" | ||
|+Table 2.2.2: | |+Table 2.2.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सिक्योरिटी मैनेजमेंट | ||
! | ! अवधारणा !! विवरण | ||
|- | |- | ||
| | | प्लान | ||
| | | सिक्योरिटी एग्रीमेंट के लिए योजनाएँ बनाईं। | ||
|- | |- | ||
| | | सिक्योरिटी स्तर एग्रीमेंट का सिक्योरिटी अनुभाग | ||
| | | सिक्योरिटी एग्रीमेंट का पैराग्राफ सेवा प्रदाता और कस्टमर के मध्य लिखित एग्रीमेंट में होता है जो किसी सेवा के लिए सहमत सेवा स्तरों का प्रलेखीकरण करता है। | ||
|- | |- | ||
| | | अनुबंधों को रेखांकित करना | ||
| | | सेवाओं की डिलीवरी को कवर करने वाले बाहरी आपूर्तिकर्ता के साथ अनुबंध जो आईटी संगठन को सेवाओं की डिलीवरी में सहायता करता है। | ||
|- | |- | ||
| | | परिचालन स्तर के एग्रीमेंट | ||
| | | सेवाओं की डिलीवरी को कवर करने वाला आंतरिक एग्रीमेंट जो आईटी संगठन को सेवाओं की डिलीवरी में सहायता करता है। | ||
|} | |} | ||
नियंत्रण उप-प्रक्रिया की | नियंत्रण उप-प्रक्रिया की भाँति ही योजना उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके प्रस्तुत किया जाता है। चित्र 2.2.1 के बाईं ओर योजना उप-प्रक्रिया का मेटा-डेटा मॉडल है। | ||
योजना आयत | योजना आयत संवृत (समष्टि) अवधारणा है जिसमें दो विवृत (समष्टि) अवधारणाओं और मानक अवधारणा के साथ एकत्रीकरण प्रकार का संबंध होता है। इस विशेष संदर्भ में दो विवृत अवधारणाओं का विस्तार नहीं किया गया है। | ||
निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का [[प्रक्रिया-डेटा आरेख]] है। यह चित्र दो मॉडलों के | निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का [[प्रक्रिया-डेटा आरेख]] है। यह चित्र दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर संकेत करते हैं कि योजना उप-प्रक्रिया की संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई अथवा समायोजित की जाती हैं। | ||
[[Image:Plan process data model.jpg]]चित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया | [[Image:Plan process data model.jpg]] चित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया | ||
===कार्यान्वयन=== | ===कार्यान्वयन=== | ||
कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय | कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय उचित रूप से कार्यान्वित किये गए हैं। कार्यान्वयन उप-प्रक्रिया के समय कोई भी उपाय परिभाषित नहीं किया जाता है और न ही परिवर्तित किया जाता है। उपायों की परिभाषा परिवर्तन प्रबंधन प्रक्रिया के सहयोग से योजना उप-प्रक्रिया में होती है। | ||
{| class="wikitable" | {| class="wikitable" | ||
|+Table 2.3.1: ( | |+Table 2.3.1: (उप) गतिविधियाँ और विवरण कार्यान्वयन उप-प्रक्रिया आईटीआईएल सिक्योरिटी मैनेजमेंट | ||
! | ! गतिविधियाँ | ||
! | ! उप गतिविधियाँ | ||
! | ! विवरण | ||
|- | |- | ||
| rowspan=5 | | | rowspan=5 |इम्प्लीमेंट | ||
| | | आईटी ऍप्लिकेशन्स का वर्गीकरण और मैनेजमेंट | ||
| | | कॉन्फ़िगरेशन आइटमों को प्रकार के आधार पर औपचारिक रूप से समूहीकृत करने की प्रक्रिया, जैसे सॉफ़्टवेयर, हार्डवेयर, डॉक्यूमेंटेशन, एनवायरनमेंट और एप्लिकेशन। | ||
प्रकार के आधार पर औपचारिक रूप से परिवर्तनों की पहचान करने की प्रक्रिया, उदाहरण के लिए, प्रोजेक्ट स्कोप परिवर्तन अनुरोध, सत्यापन परिवर्तन अनुरोध, इंफ्रास्ट्रक्चर परिवर्तन अनुरोध, यह प्रक्रिया एसेट वर्गीकरण और कण्ट्रोल डाक्यूमेंट्स की ओर ले जाती है। | |||
|- | |- | ||
| | | इम्प्लीमेंट पर्सनेल सिक्योरिटी | ||
| | | पर्सनेल को सुरक्षा और आत्मविश्वास देने के लिए उपाय अपनाए जाते हैं और क्राइम/फ्रॉड को रोकने के लिए उपाय किए जाते हैं। प्रक्रिया पर्सनेल सिक्योरिटी के साथ समाप्त होती है। | ||
|- | |- | ||
| | | इम्प्लीमेंट सिक्योरिटी मैनेजमेंट | ||
| | | विशिष्ट सिक्योरिटी आवश्यकताएँ या सिक्योरिटी नियम जिन्हें पूर्ण किया जाना चाहिए, रेखांकित और प्रलेखित हैं। यह प्रक्रिया सिक्योरिटी पॉलिसीस के साथ समाप्त होती है। | ||
|- | |- | ||
| | | इम्प्लीमेंट एक्सेस कण्ट्रोल | ||
| | | विशिष्ट एक्सेस सिक्योरिटी आवश्यकताएँ और/या एक्सेस सिक्योरिटी नियम जिन्हें पूर्ण किया जाना चाहिए, रेखांकित और प्रलेखित हैं। प्रक्रिया एक्सेस कण्ट्रोल के साथ समाप्त होती है। | ||
|- | |- | ||
| | | रिपोर्टिंग | ||
| | | नियोजित प्रक्रिया के रूप में संपूर्ण कार्यान्वयन को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। | ||
|} | |} | ||
चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का | चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का अर्थ है कि ये गतिविधियाँ विवृत अवधारणाएँ हैं और इस संदर्भ में इनका विस्तार नहीं किया गया है। कोई भी तीर इन चार गतिविधियों को नहीं जोड़ता है, जिसका अर्थ है कि ये गतिविधियाँ अव्यवस्थित हैं और रिपोर्टिंग सभी चार गतिविधियों के पूर्ण होने के पश्चात की जाएगी। | ||
कार्यान्वयन चरण के | कार्यान्वयन चरण के समय अवधारणाएँ बनाई और/या समायोजित की जाती हैं। | ||
{| class="wikitable" | {| class="wikitable" | ||
|+Table 2.3.2: | |+Table 2.3.2: अवधारणा और परिभाषा कार्यान्वयन उप-प्रक्रिया सिक्योरिटी मैनेजमेंट | ||
! | ! अवधारणा !! विवरण | ||
|- | |- | ||
| | | इम्प्लीमेंटेशन | ||
| | | सिक्योरिटी मैनेजमेंट योजना के अनुसार सिक्योरिटी मैनेजमेंट पूर्ण किया गया। | ||
|- | |- | ||
| | | एसेट वर्गीकरण और कण्ट्रोल डॉक्यूमेंट्स | ||
| | | यह सुनिश्चित करने के लिए कि प्रभावी सिक्योरिटी संरक्षण बनाए रखा गया है, उत्तरदायित्व के साथ एसेट्स की व्यापक सारिणी प्रदान की गयी है। | ||
|- | |- | ||
| | | पर्सनेल सिक्योरिटी | ||
| | | सिक्योरिटी भूमिकाओं और उत्तरदायित्व को रेखांकित करते हुए सभी कर्मचारियों के लिए उत्तम प्रकार से परिभाषित नौकरी विवरण। | ||
|- | |- | ||
| | | सिक्योरिटी पॉलिसीस | ||
| | | डॉक्यूमेंट जो विशिष्ट सिक्योरिटी आवश्यकताओं या सिक्योरिटी नियमों को रेखांकित करते हैं जिन्हें पूर्ण किया जाना चाहिए। | ||
|- | |- | ||
| | | एक्सेस कण्ट्रोल | ||
| | | नेटवर्क मैनेजमेंट यह सुनिश्चित करने के लिए कि केवल उचित उत्तरदायित्व वाले लोगों के समीप ही नेटवर्क में इनफार्मेशन और सहायक इंफ्रास्ट्रक्चर की सिक्योरिटी तक पहुंच हो। | ||
|} | |} | ||
बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके | बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके मॉडल किया जाता है। चित्र 2.3.1 का दाहिना भाग कार्यान्वयन उप-प्रक्रिया का मेटा-डेटा मॉडल है। | ||
कार्यान्वयन | कार्यान्वयन डाक्यूमेंट्स संवृत अवधारणा है और इस संदर्भ में इसका विस्तार किया गया है। इसमें चार विवृत अवधारणाएँ सम्मिलित हैं जिनका विस्तार नहीं किया गया है क्योंकि वे इस विशेष संदर्भ में अप्रासंगिक हैं। | ||
दोनों मॉडलों के | दोनों मॉडलों के मध्य संबंधों को स्पष्ट करने के लिए दोनों मॉडलों के एकीकरण को चित्र 2.3.1 में दर्शाया गया है। गतिविधियों से अवधारणाओं तक चलने वाले बिंदीदार तीर दर्शाते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई/समायोजित की जाती हैं। | ||
[[Image:Implementation process data model.jpg]]चित्र 2.3.1: प्रक्रिया-डेटा मॉडल कार्यान्वयन उप-प्रक्रिया | [[Image:Implementation process data model.jpg]] चित्र 2.3.1: प्रक्रिया-डेटा मॉडल कार्यान्वयन उप-प्रक्रिया | ||
===मूल्यांकन=== | ===मूल्यांकन=== | ||
कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक है। मूल्यांकन | कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक होता है। मूल्यांकन क्लाइंट्स (और संभवतः तृतीय पक्ष) के लिए महत्वपूर्ण है। मूल्यांकन उप-प्रक्रिया के परिणामों का उपयोग सहमत उपायों और कार्यान्वयन को बनाए रखने के लिए किया जाता है। मूल्यांकन के परिणाम नई आवश्यकताओं और परिवर्तन के लिए संबंधित अनुरोध को उत्पन्न कर सकते हैं। तब परिवर्तन के अनुरोध को परिभाषित किया जाता है और परिवर्तन प्रबंधन को सेंड किया जाता है। | ||
मूल्यांकन के तीन प्रकार हैं | मूल्यांकन के तीन प्रकार होते हैं जिनमें सेल्फ-असेसमेंट, इंटरनल ऑडिट और एक्सटर्नल ऑडिट सम्मिलित हैं। | ||
सेल्फ-असेसमेंट मुख्य रूप से प्रक्रियाओं के संगठन में किया जाता है। इंटरनल ऑडिट, इंटरनल आईटी-ऑडिटर्स द्वारा किए जाते हैं। एक्सटर्नल ऑडिट बाह्य स्वतंत्र आईटी-ऑडिटर्स द्वारा किए जाते हैं। पूर्व उल्लिखित लोगों के अतिरिक्त, संचारित सुरक्षा घटनाओं पर आधारित मूल्यांकन होता है। इस मूल्यांकन के लिए सबसे महत्वपूर्ण गतिविधि आईटी-सिस्टम की सिक्योरिटी मॉनिटरिंग हैं; सुरक्षा नियम और सुरक्षा योजना कार्यान्वयन को सत्यापित करें; आईटी-आपूर्ति के अवांछनीय उपयोग को ट्रेस करें और उस पर प्रतिक्रिया दें। | |||
{| class="wikitable" | {| class="wikitable" | ||
|+Table 2.4.1: ( | |+Table 2.4.1: (उप) गतिविधियाँ और विवरण मूल्यांकन उप-प्रक्रिया आईटीआईएल सिक्योरिटी मैनेजमेंट | ||
! | ! गतिविधियाँ !! उप गतिविधियाँ !! विवरण | ||
|- | |- | ||
| rowspan=5 | | | rowspan=5 | इवैलुएट | ||
| | | सेल्फ-असेसमेंट | ||
| | | कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें। इस प्रक्रिया का परिणाम सेल्फ-असेसमेंट डॉक्यूमेंट्स है। | ||
|- | |- | ||
| | | इंटरनल ऑडिट | ||
| | | इंटरनल ईडीपी ऑडिटर द्वारा कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें। इस प्रक्रिया का परिणाम इंटरनल ऑडिट है। | ||
|- | |- | ||
| | | एक्सटर्नल ऑडिट | ||
| | | एक्सटर्नल ईडीपी ऑडिटर द्वारा कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें। इस प्रक्रिया का परिणाम एक्सटर्नल ऑडिट है। | ||
|- | |- | ||
| | | इवैल्यूएशन सिक्योरिटी इन्सिडेंट्स पर आधारित है | ||
| | | सिक्योरिटी इन्सिडेंट्स के आधार पर कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें जो किसी सेवा के मानक संचालन का भाग नहीं हैं और जो उस सेवा की गुणवत्ता में बाधा या कमी का कारण बन सकते हैं या उत्पन्न कर सकते हैं। इस प्रक्रिया का परिणाम सिक्योरिटी इन्सिडेंट्स हैं। | ||
|- | |- | ||
| | | रिपोर्टिंग | ||
| | | कार्यान्वयन प्रक्रिया को विशिष्ट विधि से इवैलुएट करें। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। | ||
|} | |} | ||
[[Image:evaluation process data model.jpg]]चित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया | [[Image:evaluation process data model.jpg]] चित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया | ||
चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में | चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में मेटा-प्रोसेस मॉडल और मेटा-डेटा मॉडल सम्मिलित है। मूल्यांकन उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके प्रस्तुत किया गया था। | ||
मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर | |||
मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर संकेत करते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएं बनाई/समायोजित की गई हैं। मूल्यांकन चरण की सभी गतिविधियाँ मानक गतिविधियाँ हैं। मूल्यांकन चरण अवधारणाओं के संक्षिप्त विवरण के लिए सारिणी 2.4.2 देखें जहां अवधारणाओं को क्रमबद्ध और परिभाषित किया गया है। | |||
{| class="wikitable" | {| class="wikitable" | ||
! | ! अवधारणा !! विवरण | ||
|- | |- | ||
| | | इवैल्यूएशन | ||
| | | इवैलुएटेड/चेक्ड इम्प्लीमेंटेशन | ||
|- | |- | ||
| | | रिजल्ट्स | ||
| | | इवैलुएट किए गए कार्यान्वयन का परिणाम | ||
|- | |- | ||
| | | सेल्फ असेसमेंट डॉक्यूमेंट्स | ||
| | | प्रक्रिया के संगठन द्वारा ही सिक्योरिटी मैनेजमेंट की परीक्षा का परिणाम | ||
|- | |- | ||
| | | इंटरनल ऑडिट | ||
| | | इंटरनल ईडीपी ऑडिटर्स द्वारा सिक्योरिटी मैनेजमेंट के परिक्षण का परिणाम | ||
|- | |- | ||
| | | एक्सटर्नल ऑडिट | ||
| | | एक्सटर्नल ईडीपी ऑडिटर्स द्वारा सिक्योरिटी मैनेजमेंट के परिक्षण का परिणाम। | ||
|- | |- | ||
| | | सिक्योरिटी इन्सिडेंट्स डॉक्यूमेंट्स | ||
| | | सिक्योरिटी घटनाओं के इवैल्यूएशन के परिणाम जो किसी सेवा के मानक संचालन का भाग नहीं हैं और जो उस सेवा की गुणवत्ता में बाधा उत्पन्न करते हैं, या उत्पन्न कर सकते हैं, या कमी कर सकते हैं। | ||
|} | |} | ||
तालिका 2.4.2: अवधारणा और परिभाषा मूल्यांकन उप-प्रक्रिया सुरक्षा प्रबंधन | तालिका 2.4.2: अवधारणा और परिभाषा मूल्यांकन उप-प्रक्रिया सुरक्षा प्रबंधन | ||
=== | ===मेंटेनेंस=== | ||
संगठनात्मक और आईटी- | संगठनात्मक और आईटी-इंफ्रास्ट्रक्चर में परिवर्तन के कारण, समय के साथ सिक्योरिटी रिस्क्स परिवर्तित होते हैं, जिससे सर्विस लेवल एग्रीमेंट और सुरक्षा योजनाओं के सुरक्षा अनुभाग में संशोधन की आवश्यकता होती है। | ||
मेंटेनेंस मूल्यांकन उप-प्रक्रिया के परिणामों और परिवर्तित संकटों में अंतर्दृष्टि पर आधारित है। ये गतिविधियाँ प्रस्ताव प्रस्तुत करेंगी। प्रस्ताव या तो योजना उप-प्रक्रिया के लिए इनपुट के रूप में कार्य करते हैं और चक्र के माध्यम से ट्रेवल करते हैं अथवा सर्विस लेवल एग्रीमेंट को बनाए रखने के अंश के रूप में अपनाए जा सकते हैं। दोनों ही स्थितियों में प्रस्ताव कार्य योजना में गतिविधियों को उत्पन्न कर सकते हैं। वास्तविक परिवर्तन प्रबंधन प्रक्रिया द्वारा किये जाते हैं। | |||
{| class="wikitable" | {| class="wikitable" | ||
|+Table 2.5.1: ( | |+Table 2.5.1: (उप) गतिविधियाँ और विवरण मेंटेनेंस उप-प्रक्रिया आईटीआईएल सिक्योरिटी मैनेजमेंट | ||
! | ! गतिविधियाँ !! उप गतिविधियाँ !! विवरण | ||
|- | |- | ||
| rowspan="4" | | | rowspan="4" | मेन्टेन | ||
| | | सर्विस लेवल एग्रीमेंट्स का मेंटेनेंस | ||
| | | यह सर्विस लेवल एग्रीमेंट्स को उचित स्थिति में रखता है। प्रक्रिया स्थिर सर्विस लेवल एग्रीमेंट्स के साथ समाप्त होती है। | ||
|- | |- | ||
| | | ऑपरेशनल लेवल एग्रीमेंट्स का मेंटेनेंस | ||
| | | यह ऑपरेशनल लेवल एग्रीमेंट्स को उचित स्थिति में रखता है। प्रक्रिया ऑपरेशनल लेवल एग्रीमेंट्स के साथ समाप्त होती है। | ||
|- | |- | ||
| | | एसएलए और/या ओएलए में परिवर्तन के लिए अनुरोध | ||
| | | एसएलए और/या ओएलए में परिवर्तन के लिए अनुरोध प्रस्तुत किया गया है। यह प्रक्रिया परिवर्तन के अनुरोध के साथ समाप्त होती है। | ||
|- | |- | ||
| | | रिपोर्टिंग | ||
| | | कार्यान्वित सिक्योरिटी नीतियों की प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। | ||
|} | |} | ||
चित्र 2.5.1 कार्यान्वयन उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र मेटा-प्रोसेस मॉडल (बाएं) और मेटा-डेटा मॉडल (दाएं) का | चित्र 2.5.1 कार्यान्वयन उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र मेटा-प्रोसेस मॉडल (बाएं) और मेटा-डेटा मॉडल (दाएं) का एकीकरण दर्शाता है। बिंदीदार तीर दर्शाते हैं कि कार्यान्वयन चरण की गतिविधियों में कौन सी अवधारणाएँ बनाई या समायोजित की जाती हैं। | ||
[[Image:Maintenance process data model.jpg]]चित्र 2.5.1: प्रक्रिया-डेटा मॉडल | [[Image:Maintenance process data model.jpg]] चित्र 2.5.1: प्रक्रिया-डेटा मॉडल मेंटेनेंस उप-प्रक्रिया | ||
मेंटेनेंस उप-प्रक्रिया सर्विस लेवल एग्रीमेंट के मेंटेनेंस और ऑपरेशनल लेवल एग्रीमेंट के मेंटेनेंस से प्रारम्भ होती है। इन गतिविधियों के होने के पश्चात (किसी विशेष क्रम में नहीं) और परिवर्तन के लिए अनुरोध होने पर परिवर्तन गतिविधि के लिए अनुरोध होगा और परिवर्तन गतिविधि के लिए अनुरोध समाप्त होने के पश्चात रिपोर्टिंग गतिविधि प्रारम्भ होती है। यदि परिवर्तन के लिए कोई अनुरोध नहीं है तो रिपोर्टिंग गतिविधि प्रथम दो गतिविधियों के पश्चात प्रत्यक्ष रूप से प्रारम्भ हो जाएगी। मेटा-डेटा मॉडल में अवधारणाएँ मेंटेनेंस चरण के समय बनाई/समायोजित की जाती हैं। अवधारणाओं की सारिणी और उनकी परिभाषा के लिए तालिका 2.5.2 पर ध्यान केंद्रित करें। | |||
{| class="wikitable" | {| class="wikitable" | ||
|+Table 2.5.2: | |+Table 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सिक्योरिटी मैनेजमेंट | ||
! | ! अवधारणा !! विवरण | ||
|- | |- | ||
| | | मेंटेनेंस डॉक्यूमेंट्स | ||
| | | एग्रीमेंट्स उचित स्थिति में रखे गए। | ||
|- | |- | ||
| | | मेन्टेनड सर्विस लेवल एग्रीमेंट्स | ||
| | | सर्विस लेवल एग्रीमेंट (सिक्योरिटी एक्ट) उचित स्थिति में रखे गए। | ||
|- | |- | ||
| | | मेन्टेनड ऑपरेशनल लेवल एग्रीमेंट्स | ||
| | | ऑपरेशनल लेवल एग्रीमेंट्स उचित स्थिति में रखे गए। | ||
|- | |- | ||
| | | रिक्वेस्ट फॉर चेंज | ||
| | | फॉर्म, या स्क्रीन, का उपयोग एसएलए/ओएलएलए में परिवर्तन के अनुरोध का विवरण रिकॉर्ड करने के लिए किया जाता है | ||
|} | |} | ||
तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन | तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन | ||
Line 286: | Line 287: | ||
===संपूर्ण प्रक्रिया-डेटा मॉडल=== | ===संपूर्ण प्रक्रिया-डेटा मॉडल=== | ||
चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया | चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया | ||
[[Image:Process data model security management.jpg|Process data model security management.jpg]] | |||
ओएलए [[Image:Process data model security management.jpg|Process data model security management.jpg]] | |||
== अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध == | == अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध == | ||
जिस प्रकार से परिचय में बताया गया है, सुरक्षा प्रबंधन प्रक्रिया का लगभग सभी अन्य आईटीआईएल-प्रक्रियाओं के साथ संबंध है। ये प्रक्रियाएँ निम्नलिखित हैं: | |||
* आईटी | * आईटी कस्टमर रिलेशनशिप मैनेजमेंट | ||
* | * सर्विस लेवल मैनेजमेंट | ||
* | * अवेलेबिलिटी मैनेजमेंट | ||
* | * कैपेसिटी मैनेजमेंट | ||
*आईटी | *आईटी सर्विस कॉन्टिनुइटी मैनेजमेंट | ||
* | * कॉन्फ़िगरेशन मैनेजमेंट | ||
* [[रिहाई प्रबंधन]] | * [[रिहाई प्रबंधन|रिलीज़ मैनेजमेंट]] | ||
* | * इंसिडेंट मैनेजमेंट एवं सर्विस डेस्क | ||
* | * प्रॉब्लम मैनेजमेंट | ||
* [[परिवर्तन प्रबंधन (आईटीएसएम)]] | * [[परिवर्तन प्रबंधन (आईटीएसएम)|चेंज मैनेजमेंट (आईटीएसएम)]] | ||
इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए | इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए उत्तरदायी हैं। यद्यपि, सुरक्षा प्रबंधन संबंधित प्रक्रिया को संकेत देता है कि इन गतिविधियों की संरचना किस प्रकार की जाए। | ||
== उदाहरण: | == उदाहरण: इंटरनल ई-मेल पॉलिसीस == | ||
इंटरनल ई-मेल कई सुरक्षा संकटों के अध्यधीन है, जिसके लिए संबंधित सुरक्षा योजना और नीतियों की आवश्यकता होती है। इस उदाहरण में आईटीआईएल सुरक्षा प्रबंधन दृष्टिकोण का उपयोग ई-मेल पॉलिसीस को कार्यान्वित करने के लिए किया जाता है। | |||
सुरक्षा प्रबंधन | सुरक्षा प्रबंधन समूह का गठन किया जाता है और प्रक्रिया दिशानिर्देश प्रस्तुत किए जाते हैं एवं सभी कर्मचारियों तथा प्रदाताओं को सूचित किए जाते हैं। ये क्रियाएँ नियंत्रण चरण में की जाती हैं। | ||
इसके पश्चात् योजना चरण में नीतियां बनाई जाती हैं। ई-मेल सुरक्षा के लिए विशिष्ट नीतियां प्रस्तुत की जाती हैं और सर्विस लेवल एग्रीमेंट में संयोजित की जाती हैं। इस चरण के अंत में पूर्ण योजना कार्यान्वयन के लिए प्रस्तुत है। | |||
योजना के अनुसार क्रियान्वयन किया जाता है। | योजना के अनुसार क्रियान्वयन किया जाता है। | ||
कार्यान्वयन के | कार्यान्वयन के पश्चात नीतियों का मूल्यांकन या तो स्व-मूल्यांकन के रूप में, अथवा आंतरिक या बाहरी लेखा परीक्षकों के माध्यम से किया जाता है। | ||
प्रतिपालन चरण में ई-पॉलिसीस को मूल्यांकन के आधार पर समायोजित किया जाता है। आवश्यक परिवर्तनों को परिवर्तन के अनुरोध के माध्यम से संसाधित किया जाता है। | |||
== यह भी देखें == | == यह भी देखें == | ||
* [[अवसंरचना प्रबंधन सेवाएँ]] | * [[अवसंरचना प्रबंधन सेवाएँ|इंफ्रास्ट्रक्चर मैनेजमेंट सर्विसेज]] | ||
* [[आईटीआईएल vz]] | * [[आईटीआईएल vz|आईटीआईएल वीजेड]] | ||
* [[माइक्रोसॉफ्ट ऑपरेशंस फ्रेमवर्क]] | * [[माइक्रोसॉफ्ट ऑपरेशंस फ्रेमवर्क]] | ||
* [[सूचना सुरक्षा प्रबंधन प्रणाली]] | * [[सूचना सुरक्षा प्रबंधन प्रणाली]] | ||
*[[ सीओबीआईटी ]] | *[[ सीओबीआईटी |सीओबीआईटी]] | ||
* [[क्षमता परिपक्वता मॉडल]] | * [[क्षमता परिपक्वता मॉडल|कैपेबिलिटी मचुरटी मॉडल]] | ||
* [[ वगैरह ]] | * [[ वगैरह |आईएसपीएल]] | ||
== यह भी देखें == | == यह भी देखें == | ||
Line 336: | Line 338: | ||
==स्रोत== | ==स्रोत== | ||
* बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का | * बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का परिचयात्मक संचालन आधार। वैन हरेन प्रकाशन | ||
* कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय। | * कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय। | ||
* [http://www.microsoft.com/technet/itsolutions/cits/mo/smf/mofsmsmf.mspx सुरक्षा प्रबंधन]। (फरवरी 1, 2005)। माइक्रोसॉफ्ट | * [http://www.microsoft.com/technet/itsolutions/cits/mo/smf/mofsmsmf.mspx सुरक्षा प्रबंधन]। (फरवरी 1, 2005)। माइक्रोसॉफ्ट | ||
Line 345: | Line 347: | ||
श्रेणी:कंप्यूटर सुरक्षा | श्रेणी:कंप्यूटर सुरक्षा | ||
[[Category:Created On 10/07/2023]] | [[Category:Created On 10/07/2023]] | ||
[[Category:Machine Translated Page]] | |||
[[Category:Pages with broken file links]] | |||
[[Category:Pages with script errors]] | |||
[[Category:Templates Vigyan Ready]] |
Latest revision as of 15:38, 28 July 2023
आईटीआईएल सुरक्षा प्रबंधन संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है।[1] आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक संकटों के संदर्भ में प्रलेखित सूचना सुरक्षा प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, परिचालन, मॉनिटरिंग, समीक्षा, मेंटेनेंस और संशोधन के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों अथवा उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो इनफार्मेशन एसेट्स की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं।
सुरक्षा प्रबंधन की मूल अवधारणा इनफार्मेशन सिक्योरिटी है। इनफार्मेशन सिक्योरिटी का प्राथमिक लक्ष्य सूचना के एक्सेस को नियंत्रित करना है। सूचना का मूल्य वह है जिसे संरक्षित किया जाना चाहिए। इन मूल्यों में कॉन्फिडेंटिअलिटी, इंटीग्रिटी और अवेलेबिलिटी सम्मिलित हैं। अनुमानित स्वरुप गोपनीयता, अनामिता और सत्यापनीयता हैं।
सुरक्षा प्रबंधन का लक्ष्य दो भागों के अंतर्गत आता है:
- सर्विस लेवल एग्रीमेंट (एसएलए) और अन्य बाह्य आवश्यकताओं में परिभाषित सुरक्षा आवश्यकताएं जो अनुबंध, नियम और संभावित आंतरिक अथवा बाह्य अधिरोपित नीतियों को रेखांकित करने में निर्दिष्ट हैं।
- मूल सुरक्षा जो प्रबंधन की निरंतरता का आश्वासन देती है। इनफार्मेशन सिक्योरिटी के लिए सरलीकृत सर्विस लेवल मैनेजमेंट प्राप्त करने के लिए यह आवश्यक है।
एसएलए नियम (यदि प्रयुक्त हो) और अन्य अनुबंधों के साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है।
सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। यद्यपि, इस विशेष खंड में सबसे स्पष्ट संबंध सर्विस लेवल मैनेजमेंट, इंसिडेंट मैनेजमेंट और चेंज मैनेजमेंट प्रक्रियाओं से संबंधित हैं।
सुरक्षा प्रबंधन
सुरक्षा प्रबंधन सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (प्लान, डू, चेक, एक्ट) से की जा सकती है।
इनपुट क्लाइंट्स की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों एसएलए को प्रभावित करते हैं। एसएलए क्लाइंट और प्रक्रिया दोनों के लिए इनपुट है। प्रदाता संगठन के लिए सुरक्षा योजनाएँ विकसित करता है। इन योजनाओं में नीतियाँ और परिचालन स्तर के अनुबंध सम्मिलित होते हैं। सुरक्षा योजनाओं (प्लान) को पुनः कार्यान्वित (डू) किया जाता है और तब कार्यान्वयन का मूल्यांकन (चेक) किया जाता है। मूल्यांकन के पश्चात् योजनाओं और योजना कार्यान्वयन को बनाए रखा (एक्ट) जाता है।
गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित होती हैं। बाह्य रिपोर्टें लिखी जाती हैं और क्लाइंट्स को भेजी जाती हैं। तब ग्राहक रिपोर्ट के माध्यम से प्राप्त इनफार्मेशन के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अतिरिक्त, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूर्ण करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना अथवा कार्यान्वयन को समायोजित कर सकता है।
नियंत्रण
सुरक्षा प्रबंधन प्रक्रिया में प्रथम गतिविधि "नियंत्रण" उप-प्रक्रिया है। नियंत्रण उप-प्रक्रिया सुरक्षा प्रबंधन प्रक्रिया को व्यवस्थित और प्रबंधित करती है। नियंत्रण उप-प्रक्रिया प्रक्रियाओं, पॉलिसी स्टेटमेंट्स और प्रबंधन फ्रेमवर्क के लिए उत्तरदायित्व के आवंटन को परिभाषित करती है।
सुरक्षा प्रबंधन फ्रेमवर्क कार्य योजनाओं में विकास, कार्यान्वयन और मूल्यांकन के लिए उप-प्रक्रियाओं को परिभाषित करता है। इसके अतिरिक्त, मैनेजमेंट फ्रेमवर्क परिभाषित करता है कि क्लाइंट्स को परिणाम किस प्रकार सूचित किए जाने चाहिए।
गतिविधियाँ | उप गतिविधियाँ | विवरण |
---|---|---|
कण्ट्रोल | इम्प्लीमेंट पॉलिसीस | यह प्रक्रिया उन विशिष्ट आवश्यकताओं और नियमों की रूपरेखा तैयार करती है जिन्हें सिक्योरिटी मैनेजमेंट को प्रारम्भ करने के लिए पूर्ण करना होता है। प्रक्रिया नीति विवरण के साथ समाप्त होती है। |
सुरक्षा संगठन स्थापित करें | यह प्रक्रिया इनफार्मेशन सिक्योरिटी के लिए संगठनों को स्थापित करती है। उदाहरण के लिए, इस प्रक्रिया में स्ट्रक्चर, उत्तरदायित्व निर्धारित किये जाते हैं। यह प्रक्रिया सिक्योरिटी मैनेजमेंट फ्रेमवर्क के साथ समाप्त होती है। | |
रिपोर्टिंग | इस प्रक्रिया में संपूर्ण लक्ष्यीकरण प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। |
नियंत्रण उप-प्रक्रिया का मेटा-प्रोसेस मॉडल यूएमएल गतिविधि आरेख पर आधारित है और नियंत्रण उप-प्रक्रिया की गतिविधियों का अवलोकन देता है। ग्रे आयत नियंत्रण उप-प्रक्रिया का प्रतिनिधित्व करता है और इसके भीतर की छोटी बीम आकृतियाँ इसके भीतर होने वाली गतिविधियों का प्रतिनिधित्व करती हैं।
File:Control Process model.jpg
अवधारणा | विवरण |
---|---|
कण्ट्रोल डॉक्यूमेंट्स | कण्ट्रोल इस विचार का विवरण है कि सिक्योरिटी मैनेजमेंट किस प्रकार व्यवस्थित किया जाता है और इसे किस प्रकार प्रबंधित किया जाता है। |
पॉलिसी स्टेटमेंट्स | पॉलिसी स्टेटमेंट्स विशिष्ट आवश्यकताओं या नियमों की रूपरेखा प्रस्तुत करते हैं जिन्हें पूर्ण किया जाना चाहिए। इनफार्मेशन सिक्योरिटी क्षेत्र में नीतियां सामान्यतः बिंदु-विशिष्ट होती हैं, जो एक ही क्षेत्र को कवर करती हैं। उदाहरण के लिए, "स्वीकार्य उपयोग" पॉलिसी कंप्यूटिंग सुविधाओं के उचित उपयोग के लिए नियमों और विनियमों को कवर करती हैं। |
सिक्योरिटी मैनेजमेंट फ्रेमवर्क | सिक्योरिटी मैनेजमेंट फ्रेमवर्क संगठन के भीतर इनफार्मेशन सिक्योरिटी के कार्यान्वयन को प्रारम्भ करने और नियंत्रित करने और चल रहे इनफार्मेशन सिक्योरिटी प्रावधान का मैनेजमेंट करने के लिए स्थापित मैनेजमेंट फ्रेमवर्क है। |
नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल वर्ग आरेख पर आधारित होता है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल दर्शाता है।
File:Control Data model.JPG चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया
श्वेत छाया वाला कण्ट्रोल रेक्टेंगल संवृत समष्टि अवधारणा है। इसका अर्थ यह है कि कण्ट्रोल रेक्टेंगल में (उप) अवधारणाओं का संग्रह होता है।
चित्र 2.1.3 कण्ट्रोल उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई अथवा समायोजित की जाती हैं।
File:Control Process data model.JPG चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया
योजना
योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो सर्विस लेवल मैनेजमेंट के सहयोग से एसएलए में (इनफार्मेशन) सिक्योरिटी अनुभाग तक ले जाती हैं। इसके अतिरिक्त, योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अंतर्निहित अनुबंधों से संबंधित हैं जो (इनफार्मेशन) सिक्योरिटी के लिए विशिष्ट हैं।
योजना उप-प्रक्रिया में एसएलए में प्रस्तुत किए गए लक्ष्यों को ऑपरेशनल लेवल एग्रीमेंट (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन ओएलए को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है।
एसएलए के इनपुट के अतिरिक्त, योजना उप-प्रक्रिया स्वयं सेवा प्रदाता के पॉलिसी स्टेटमेंट्स के साथ भी कार्य करती है। जिस प्रकार पूर्व में बताया गया है, ये पॉलिसी स्टेटमेंट्स कण्ट्रोल उप-प्रक्रिया में परिभाषित हैं।
इनफार्मेशन सिक्योरिटी के लिए ऑपरेशनल लेवल एग्रीमेंट आईटीआईएल प्रक्रिया के आधार पर स्थापित और कार्यान्वित किए जाते हैं। इसके लिए अन्य आईटीआईएल प्रक्रियाओं के साथ सहयोग की आवश्यकता होती है। उदाहरण के लिए, यदि सुरक्षा प्रबंधन सुरक्षा में वृद्धि के लिए आईटी इंफ्रास्ट्रक्चर को परिवर्तित करना है, तो ये परिवर्तन प्रबंधन प्रक्रिया के माध्यम से किए जाएंगे। सुरक्षा प्रबंधन इस परिवर्तन के लिए इनपुट (परिवर्तन के लिए अनुरोध) वितरित करता है। परिवर्तन प्रबंधक परिवर्तन प्रबंधन प्रक्रिया के लिए उत्तरदायी है।
गतिविधियाँ | उप गतिविधियाँ | विवरण |
---|---|---|
प्लान | एसएलए के लिए सिक्योरिटी अनुभाग बनाएँ | इस प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो सेवा स्तर के एग्रीमेंट में सिक्योरिटी अनुबंध पैराग्राफ तक ले जाती हैं। इस प्रक्रिया के अंत में सेवा स्तर एग्रीमेंट का सिक्योरिटी अनुभाग बनाया जाता है। |
आधारभूत अनुबंध बनाएं | इस प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अनुबंधों को रेखांकित करती हैं। ये अनुबंध सिक्योरिटी के लिए विशिष्ट हैं। | |
परिचालन स्तर के एग्रीमेंट बनाएं | एसएलए में सामान्य रूप से प्रस्तुत किए गए लक्ष्य परिचालन स्तर के एग्रीमेंट में निर्दिष्ट हैं। इन एग्रीमेंट को विशिष्ट संगठन इकाइयों के लिए सिक्योरिटी योजनाओं के रूप में देखा जा सकता है। | |
रिपोर्टिंग | इस प्रक्रिया में संपूर्ण क्रिएट प्लान प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। |
योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन समष्टि गतिविधियाँ सम्मिलित हैं जो सभी विवृत गतिविधियाँ और मानक गतिविधि हैं।
अवधारणा | विवरण |
---|---|
प्लान | सिक्योरिटी एग्रीमेंट के लिए योजनाएँ बनाईं। |
सिक्योरिटी स्तर एग्रीमेंट का सिक्योरिटी अनुभाग | सिक्योरिटी एग्रीमेंट का पैराग्राफ सेवा प्रदाता और कस्टमर के मध्य लिखित एग्रीमेंट में होता है जो किसी सेवा के लिए सहमत सेवा स्तरों का प्रलेखीकरण करता है। |
अनुबंधों को रेखांकित करना | सेवाओं की डिलीवरी को कवर करने वाले बाहरी आपूर्तिकर्ता के साथ अनुबंध जो आईटी संगठन को सेवाओं की डिलीवरी में सहायता करता है। |
परिचालन स्तर के एग्रीमेंट | सेवाओं की डिलीवरी को कवर करने वाला आंतरिक एग्रीमेंट जो आईटी संगठन को सेवाओं की डिलीवरी में सहायता करता है। |
नियंत्रण उप-प्रक्रिया की भाँति ही योजना उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके प्रस्तुत किया जाता है। चित्र 2.2.1 के बाईं ओर योजना उप-प्रक्रिया का मेटा-डेटा मॉडल है।
योजना आयत संवृत (समष्टि) अवधारणा है जिसमें दो विवृत (समष्टि) अवधारणाओं और मानक अवधारणा के साथ एकत्रीकरण प्रकार का संबंध होता है। इस विशेष संदर्भ में दो विवृत अवधारणाओं का विस्तार नहीं किया गया है।
निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र दो मॉडलों के एकीकरण को दर्शाता है। बिंदीदार तीर संकेत करते हैं कि योजना उप-प्रक्रिया की संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई अथवा समायोजित की जाती हैं।
File:Plan process data model.jpg चित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया
कार्यान्वयन
कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय उचित रूप से कार्यान्वित किये गए हैं। कार्यान्वयन उप-प्रक्रिया के समय कोई भी उपाय परिभाषित नहीं किया जाता है और न ही परिवर्तित किया जाता है। उपायों की परिभाषा परिवर्तन प्रबंधन प्रक्रिया के सहयोग से योजना उप-प्रक्रिया में होती है।
गतिविधियाँ | उप गतिविधियाँ | विवरण |
---|---|---|
इम्प्लीमेंट | आईटी ऍप्लिकेशन्स का वर्गीकरण और मैनेजमेंट | कॉन्फ़िगरेशन आइटमों को प्रकार के आधार पर औपचारिक रूप से समूहीकृत करने की प्रक्रिया, जैसे सॉफ़्टवेयर, हार्डवेयर, डॉक्यूमेंटेशन, एनवायरनमेंट और एप्लिकेशन।
प्रकार के आधार पर औपचारिक रूप से परिवर्तनों की पहचान करने की प्रक्रिया, उदाहरण के लिए, प्रोजेक्ट स्कोप परिवर्तन अनुरोध, सत्यापन परिवर्तन अनुरोध, इंफ्रास्ट्रक्चर परिवर्तन अनुरोध, यह प्रक्रिया एसेट वर्गीकरण और कण्ट्रोल डाक्यूमेंट्स की ओर ले जाती है। |
इम्प्लीमेंट पर्सनेल सिक्योरिटी | पर्सनेल को सुरक्षा और आत्मविश्वास देने के लिए उपाय अपनाए जाते हैं और क्राइम/फ्रॉड को रोकने के लिए उपाय किए जाते हैं। प्रक्रिया पर्सनेल सिक्योरिटी के साथ समाप्त होती है। | |
इम्प्लीमेंट सिक्योरिटी मैनेजमेंट | विशिष्ट सिक्योरिटी आवश्यकताएँ या सिक्योरिटी नियम जिन्हें पूर्ण किया जाना चाहिए, रेखांकित और प्रलेखित हैं। यह प्रक्रिया सिक्योरिटी पॉलिसीस के साथ समाप्त होती है। | |
इम्प्लीमेंट एक्सेस कण्ट्रोल | विशिष्ट एक्सेस सिक्योरिटी आवश्यकताएँ और/या एक्सेस सिक्योरिटी नियम जिन्हें पूर्ण किया जाना चाहिए, रेखांकित और प्रलेखित हैं। प्रक्रिया एक्सेस कण्ट्रोल के साथ समाप्त होती है। | |
रिपोर्टिंग | नियोजित प्रक्रिया के रूप में संपूर्ण कार्यान्वयन को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। |
चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का अर्थ है कि ये गतिविधियाँ विवृत अवधारणाएँ हैं और इस संदर्भ में इनका विस्तार नहीं किया गया है। कोई भी तीर इन चार गतिविधियों को नहीं जोड़ता है, जिसका अर्थ है कि ये गतिविधियाँ अव्यवस्थित हैं और रिपोर्टिंग सभी चार गतिविधियों के पूर्ण होने के पश्चात की जाएगी।
कार्यान्वयन चरण के समय अवधारणाएँ बनाई और/या समायोजित की जाती हैं।
अवधारणा | विवरण |
---|---|
इम्प्लीमेंटेशन | सिक्योरिटी मैनेजमेंट योजना के अनुसार सिक्योरिटी मैनेजमेंट पूर्ण किया गया। |
एसेट वर्गीकरण और कण्ट्रोल डॉक्यूमेंट्स | यह सुनिश्चित करने के लिए कि प्रभावी सिक्योरिटी संरक्षण बनाए रखा गया है, उत्तरदायित्व के साथ एसेट्स की व्यापक सारिणी प्रदान की गयी है। |
पर्सनेल सिक्योरिटी | सिक्योरिटी भूमिकाओं और उत्तरदायित्व को रेखांकित करते हुए सभी कर्मचारियों के लिए उत्तम प्रकार से परिभाषित नौकरी विवरण। |
सिक्योरिटी पॉलिसीस | डॉक्यूमेंट जो विशिष्ट सिक्योरिटी आवश्यकताओं या सिक्योरिटी नियमों को रेखांकित करते हैं जिन्हें पूर्ण किया जाना चाहिए। |
एक्सेस कण्ट्रोल | नेटवर्क मैनेजमेंट यह सुनिश्चित करने के लिए कि केवल उचित उत्तरदायित्व वाले लोगों के समीप ही नेटवर्क में इनफार्मेशन और सहायक इंफ्रास्ट्रक्चर की सिक्योरिटी तक पहुंच हो। |
बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके मॉडल किया जाता है। चित्र 2.3.1 का दाहिना भाग कार्यान्वयन उप-प्रक्रिया का मेटा-डेटा मॉडल है।
कार्यान्वयन डाक्यूमेंट्स संवृत अवधारणा है और इस संदर्भ में इसका विस्तार किया गया है। इसमें चार विवृत अवधारणाएँ सम्मिलित हैं जिनका विस्तार नहीं किया गया है क्योंकि वे इस विशेष संदर्भ में अप्रासंगिक हैं।
दोनों मॉडलों के मध्य संबंधों को स्पष्ट करने के लिए दोनों मॉडलों के एकीकरण को चित्र 2.3.1 में दर्शाया गया है। गतिविधियों से अवधारणाओं तक चलने वाले बिंदीदार तीर दर्शाते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई/समायोजित की जाती हैं।
File:Implementation process data model.jpg चित्र 2.3.1: प्रक्रिया-डेटा मॉडल कार्यान्वयन उप-प्रक्रिया
मूल्यांकन
कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक होता है। मूल्यांकन क्लाइंट्स (और संभवतः तृतीय पक्ष) के लिए महत्वपूर्ण है। मूल्यांकन उप-प्रक्रिया के परिणामों का उपयोग सहमत उपायों और कार्यान्वयन को बनाए रखने के लिए किया जाता है। मूल्यांकन के परिणाम नई आवश्यकताओं और परिवर्तन के लिए संबंधित अनुरोध को उत्पन्न कर सकते हैं। तब परिवर्तन के अनुरोध को परिभाषित किया जाता है और परिवर्तन प्रबंधन को सेंड किया जाता है।
मूल्यांकन के तीन प्रकार होते हैं जिनमें सेल्फ-असेसमेंट, इंटरनल ऑडिट और एक्सटर्नल ऑडिट सम्मिलित हैं।
सेल्फ-असेसमेंट मुख्य रूप से प्रक्रियाओं के संगठन में किया जाता है। इंटरनल ऑडिट, इंटरनल आईटी-ऑडिटर्स द्वारा किए जाते हैं। एक्सटर्नल ऑडिट बाह्य स्वतंत्र आईटी-ऑडिटर्स द्वारा किए जाते हैं। पूर्व उल्लिखित लोगों के अतिरिक्त, संचारित सुरक्षा घटनाओं पर आधारित मूल्यांकन होता है। इस मूल्यांकन के लिए सबसे महत्वपूर्ण गतिविधि आईटी-सिस्टम की सिक्योरिटी मॉनिटरिंग हैं; सुरक्षा नियम और सुरक्षा योजना कार्यान्वयन को सत्यापित करें; आईटी-आपूर्ति के अवांछनीय उपयोग को ट्रेस करें और उस पर प्रतिक्रिया दें।
गतिविधियाँ | उप गतिविधियाँ | विवरण |
---|---|---|
इवैलुएट | सेल्फ-असेसमेंट | कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें। इस प्रक्रिया का परिणाम सेल्फ-असेसमेंट डॉक्यूमेंट्स है। |
इंटरनल ऑडिट | इंटरनल ईडीपी ऑडिटर द्वारा कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें। इस प्रक्रिया का परिणाम इंटरनल ऑडिट है। | |
एक्सटर्नल ऑडिट | एक्सटर्नल ईडीपी ऑडिटर द्वारा कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें। इस प्रक्रिया का परिणाम एक्सटर्नल ऑडिट है। | |
इवैल्यूएशन सिक्योरिटी इन्सिडेंट्स पर आधारित है | सिक्योरिटी इन्सिडेंट्स के आधार पर कार्यान्वित सिक्योरिटी एग्रीमेंट का परिक्षण करें जो किसी सेवा के मानक संचालन का भाग नहीं हैं और जो उस सेवा की गुणवत्ता में बाधा या कमी का कारण बन सकते हैं या उत्पन्न कर सकते हैं। इस प्रक्रिया का परिणाम सिक्योरिटी इन्सिडेंट्स हैं। | |
रिपोर्टिंग | कार्यान्वयन प्रक्रिया को विशिष्ट विधि से इवैलुएट करें। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। |
File:Evaluation process data model.jpg चित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया
चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में मेटा-प्रोसेस मॉडल और मेटा-डेटा मॉडल सम्मिलित है। मूल्यांकन उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके प्रस्तुत किया गया था।
मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर संकेत करते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएं बनाई/समायोजित की गई हैं। मूल्यांकन चरण की सभी गतिविधियाँ मानक गतिविधियाँ हैं। मूल्यांकन चरण अवधारणाओं के संक्षिप्त विवरण के लिए सारिणी 2.4.2 देखें जहां अवधारणाओं को क्रमबद्ध और परिभाषित किया गया है।
अवधारणा | विवरण |
---|---|
इवैल्यूएशन | इवैलुएटेड/चेक्ड इम्प्लीमेंटेशन |
रिजल्ट्स | इवैलुएट किए गए कार्यान्वयन का परिणाम |
सेल्फ असेसमेंट डॉक्यूमेंट्स | प्रक्रिया के संगठन द्वारा ही सिक्योरिटी मैनेजमेंट की परीक्षा का परिणाम |
इंटरनल ऑडिट | इंटरनल ईडीपी ऑडिटर्स द्वारा सिक्योरिटी मैनेजमेंट के परिक्षण का परिणाम |
एक्सटर्नल ऑडिट | एक्सटर्नल ईडीपी ऑडिटर्स द्वारा सिक्योरिटी मैनेजमेंट के परिक्षण का परिणाम। |
सिक्योरिटी इन्सिडेंट्स डॉक्यूमेंट्स | सिक्योरिटी घटनाओं के इवैल्यूएशन के परिणाम जो किसी सेवा के मानक संचालन का भाग नहीं हैं और जो उस सेवा की गुणवत्ता में बाधा उत्पन्न करते हैं, या उत्पन्न कर सकते हैं, या कमी कर सकते हैं। |
तालिका 2.4.2: अवधारणा और परिभाषा मूल्यांकन उप-प्रक्रिया सुरक्षा प्रबंधन
मेंटेनेंस
संगठनात्मक और आईटी-इंफ्रास्ट्रक्चर में परिवर्तन के कारण, समय के साथ सिक्योरिटी रिस्क्स परिवर्तित होते हैं, जिससे सर्विस लेवल एग्रीमेंट और सुरक्षा योजनाओं के सुरक्षा अनुभाग में संशोधन की आवश्यकता होती है।
मेंटेनेंस मूल्यांकन उप-प्रक्रिया के परिणामों और परिवर्तित संकटों में अंतर्दृष्टि पर आधारित है। ये गतिविधियाँ प्रस्ताव प्रस्तुत करेंगी। प्रस्ताव या तो योजना उप-प्रक्रिया के लिए इनपुट के रूप में कार्य करते हैं और चक्र के माध्यम से ट्रेवल करते हैं अथवा सर्विस लेवल एग्रीमेंट को बनाए रखने के अंश के रूप में अपनाए जा सकते हैं। दोनों ही स्थितियों में प्रस्ताव कार्य योजना में गतिविधियों को उत्पन्न कर सकते हैं। वास्तविक परिवर्तन प्रबंधन प्रक्रिया द्वारा किये जाते हैं।
गतिविधियाँ | उप गतिविधियाँ | विवरण |
---|---|---|
मेन्टेन | सर्विस लेवल एग्रीमेंट्स का मेंटेनेंस | यह सर्विस लेवल एग्रीमेंट्स को उचित स्थिति में रखता है। प्रक्रिया स्थिर सर्विस लेवल एग्रीमेंट्स के साथ समाप्त होती है। |
ऑपरेशनल लेवल एग्रीमेंट्स का मेंटेनेंस | यह ऑपरेशनल लेवल एग्रीमेंट्स को उचित स्थिति में रखता है। प्रक्रिया ऑपरेशनल लेवल एग्रीमेंट्स के साथ समाप्त होती है। | |
एसएलए और/या ओएलए में परिवर्तन के लिए अनुरोध | एसएलए और/या ओएलए में परिवर्तन के लिए अनुरोध प्रस्तुत किया गया है। यह प्रक्रिया परिवर्तन के अनुरोध के साथ समाप्त होती है। | |
रिपोर्टिंग | कार्यान्वित सिक्योरिटी नीतियों की प्रक्रिया को विशिष्ट विधि से प्रलेखित किया जाता है। यह प्रक्रिया रिपोर्ट के साथ समाप्त होती है। |
चित्र 2.5.1 कार्यान्वयन उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र मेटा-प्रोसेस मॉडल (बाएं) और मेटा-डेटा मॉडल (दाएं) का एकीकरण दर्शाता है। बिंदीदार तीर दर्शाते हैं कि कार्यान्वयन चरण की गतिविधियों में कौन सी अवधारणाएँ बनाई या समायोजित की जाती हैं।
File:Maintenance process data model.jpg चित्र 2.5.1: प्रक्रिया-डेटा मॉडल मेंटेनेंस उप-प्रक्रिया
मेंटेनेंस उप-प्रक्रिया सर्विस लेवल एग्रीमेंट के मेंटेनेंस और ऑपरेशनल लेवल एग्रीमेंट के मेंटेनेंस से प्रारम्भ होती है। इन गतिविधियों के होने के पश्चात (किसी विशेष क्रम में नहीं) और परिवर्तन के लिए अनुरोध होने पर परिवर्तन गतिविधि के लिए अनुरोध होगा और परिवर्तन गतिविधि के लिए अनुरोध समाप्त होने के पश्चात रिपोर्टिंग गतिविधि प्रारम्भ होती है। यदि परिवर्तन के लिए कोई अनुरोध नहीं है तो रिपोर्टिंग गतिविधि प्रथम दो गतिविधियों के पश्चात प्रत्यक्ष रूप से प्रारम्भ हो जाएगी। मेटा-डेटा मॉडल में अवधारणाएँ मेंटेनेंस चरण के समय बनाई/समायोजित की जाती हैं। अवधारणाओं की सारिणी और उनकी परिभाषा के लिए तालिका 2.5.2 पर ध्यान केंद्रित करें।
अवधारणा | विवरण |
---|---|
मेंटेनेंस डॉक्यूमेंट्स | एग्रीमेंट्स उचित स्थिति में रखे गए। |
मेन्टेनड सर्विस लेवल एग्रीमेंट्स | सर्विस लेवल एग्रीमेंट (सिक्योरिटी एक्ट) उचित स्थिति में रखे गए। |
मेन्टेनड ऑपरेशनल लेवल एग्रीमेंट्स | ऑपरेशनल लेवल एग्रीमेंट्स उचित स्थिति में रखे गए। |
रिक्वेस्ट फॉर चेंज | फॉर्म, या स्क्रीन, का उपयोग एसएलए/ओएलएलए में परिवर्तन के अनुरोध का विवरण रिकॉर्ड करने के लिए किया जाता है |
तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन
संपूर्ण प्रक्रिया-डेटा मॉडल
चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया
ओएलए Process data model security management.jpg
अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध
जिस प्रकार से परिचय में बताया गया है, सुरक्षा प्रबंधन प्रक्रिया का लगभग सभी अन्य आईटीआईएल-प्रक्रियाओं के साथ संबंध है। ये प्रक्रियाएँ निम्नलिखित हैं:
- आईटी कस्टमर रिलेशनशिप मैनेजमेंट
- सर्विस लेवल मैनेजमेंट
- अवेलेबिलिटी मैनेजमेंट
- कैपेसिटी मैनेजमेंट
- आईटी सर्विस कॉन्टिनुइटी मैनेजमेंट
- कॉन्फ़िगरेशन मैनेजमेंट
- रिलीज़ मैनेजमेंट
- इंसिडेंट मैनेजमेंट एवं सर्विस डेस्क
- प्रॉब्लम मैनेजमेंट
- चेंज मैनेजमेंट (आईटीएसएम)
इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए उत्तरदायी हैं। यद्यपि, सुरक्षा प्रबंधन संबंधित प्रक्रिया को संकेत देता है कि इन गतिविधियों की संरचना किस प्रकार की जाए।
उदाहरण: इंटरनल ई-मेल पॉलिसीस
इंटरनल ई-मेल कई सुरक्षा संकटों के अध्यधीन है, जिसके लिए संबंधित सुरक्षा योजना और नीतियों की आवश्यकता होती है। इस उदाहरण में आईटीआईएल सुरक्षा प्रबंधन दृष्टिकोण का उपयोग ई-मेल पॉलिसीस को कार्यान्वित करने के लिए किया जाता है।
सुरक्षा प्रबंधन समूह का गठन किया जाता है और प्रक्रिया दिशानिर्देश प्रस्तुत किए जाते हैं एवं सभी कर्मचारियों तथा प्रदाताओं को सूचित किए जाते हैं। ये क्रियाएँ नियंत्रण चरण में की जाती हैं।
इसके पश्चात् योजना चरण में नीतियां बनाई जाती हैं। ई-मेल सुरक्षा के लिए विशिष्ट नीतियां प्रस्तुत की जाती हैं और सर्विस लेवल एग्रीमेंट में संयोजित की जाती हैं। इस चरण के अंत में पूर्ण योजना कार्यान्वयन के लिए प्रस्तुत है।
योजना के अनुसार क्रियान्वयन किया जाता है।
कार्यान्वयन के पश्चात नीतियों का मूल्यांकन या तो स्व-मूल्यांकन के रूप में, अथवा आंतरिक या बाहरी लेखा परीक्षकों के माध्यम से किया जाता है।
प्रतिपालन चरण में ई-पॉलिसीस को मूल्यांकन के आधार पर समायोजित किया जाता है। आवश्यक परिवर्तनों को परिवर्तन के अनुरोध के माध्यम से संसाधित किया जाता है।
यह भी देखें
- इंफ्रास्ट्रक्चर मैनेजमेंट सर्विसेज
- आईटीआईएल वीजेड
- माइक्रोसॉफ्ट ऑपरेशंस फ्रेमवर्क
- सूचना सुरक्षा प्रबंधन प्रणाली
- सीओबीआईटी
- कैपेबिलिटी मचुरटी मॉडल
- आईएसपीएल
यह भी देखें
- सूचना सुरक्षा
संदर्भ
स्रोत
- बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का परिचयात्मक संचालन आधार। वैन हरेन प्रकाशन
- कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय।
- सुरक्षा प्रबंधन। (फरवरी 1, 2005)। माइक्रोसॉफ्ट
- त्से, डी. (2005)। आधुनिक व्यवसाय में सुरक्षा: सूचना सुरक्षा प्रथाओं के लिए सुरक्षा मूल्यांकन मॉडल। हांगकांग: हांगकांग विश्वविद्यालय।
श्रेणी:आईटीआईएल
श्रेणी:कंप्यूटर सुरक्षा