आईटीआईएल सुरक्षा प्रबंधन: Difference between revisions
No edit summary |
No edit summary |
||
Line 1: | Line 1: | ||
[[आईटीआईएल]] सुरक्षा प्रबंधन | '''[[आईटीआईएल]] सुरक्षा प्रबंधन''' संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है।<ref>{{cite web|url=http://www.iso.org/iso/catalogue_detail?csnumber=42103|title=ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems -- Requirements|publisher=}}</ref> आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक संकटों के संदर्भ में प्रलेखित सूचना [[सुरक्षा]] प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, संचालन, मॉनिटरिंग, समीक्षा, निरीक्षण और संशोधन के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों अथवा उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो इनफार्मेशन एसेट्स की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं। | ||
सुरक्षा प्रबंधन की | सुरक्षा प्रबंधन की मूल अवधारणा [[सूचना सुरक्षा]] है। सूचना सुरक्षा का प्राथमिक लक्ष्य सूचना के एक्सेस को नियंत्रित करना है। सूचना का मूल्य वह है जिसे संरक्षित किया जाना चाहिए। इन मूल्यों में [[गोपनीयता]], [[अखंडता]] और [[उपलब्धता]] सम्मिलित हैं। अनुमानित स्वरुप गोपनीयता, अनामिता और सत्यापनीयता हैं। | ||
सुरक्षा प्रबंधन का लक्ष्य दो भागों | सुरक्षा प्रबंधन का लक्ष्य दो भागों के अंतर्गत आता है: | ||
* सेवा | * सेवा-स्तरीय अनुबंध (एसएलए) और अन्य बाह्य आवश्यकताओं में परिभाषित सुरक्षा आवश्यकताएं जो अनुबंध, नियम और संभावित आंतरिक अथवा बाह्य अधिरोपित नीतियों को रेखांकित करने में निर्दिष्ट हैं। | ||
* | * मूल सुरक्षा जो प्रबंधन की निरंतरता का आश्वासन देती है। सूचना सुरक्षा के लिए सरलीकृत सेवा-स्तरीय प्रबंधन प्राप्त करने के लिए यह आवश्यक है। | ||
एसएलए | एसएलए नियम (यदि प्रयुक्त हो) और अन्य अनुबंधों के साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है। | ||
सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। | सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। यद्यपि, इस विशेष खंड में सबसे स्पष्ट संबंध [[सेवा स्तर प्रबंधन]], घटना प्रबंधन और [[परिवर्तन प्रबंधन]] प्रक्रियाओं से संबंधित हैं। | ||
== सुरक्षा प्रबंधन == | == सुरक्षा प्रबंधन == | ||
सुरक्षा प्रबंधन | सुरक्षा प्रबंधन सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (पीडीसीए|प्लान, डू, चेक, ्ट) से की जा सकती है। | ||
इनपुट ग्राहकों की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों SLA को प्रभावित करते हैं। SLA क्लाइंट और प्रक्रिया दोनों के लिए | इनपुट ग्राहकों की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों SLA को प्रभावित करते हैं। SLA क्लाइंट और प्रक्रिया दोनों के लिए इनपुट है। प्रदाता संगठन के लिए सुरक्षा योजनाएँ विकसित करता है। इन योजनाओं में नीतियां और परिचालन स्तर के समझौते सम्मिलित हैं। सुरक्षा योजनाओं (प्लान) को फिर कार्यान्वित (करें) किया जाता है और फिर कार्यान्वयन का मूल्यांकन (चेक) किया जाता है। मूल्यांकन के बाद योजनाओं और योजना कार्यान्वयन को बनाए रखा जाता है (अधिनियम)। | ||
गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित हैं। बाहरी रिपोर्टें लिखी जाती हैं और ग्राहकों को भेजी जाती हैं। फिर ग्राहक रिपोर्ट के माध्यम से प्राप्त जानकारी के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अलावा, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूरा करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना | गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित हैं। बाहरी रिपोर्टें लिखी जाती हैं और ग्राहकों को भेजी जाती हैं। फिर ग्राहक रिपोर्ट के माध्यम से प्राप्त जानकारी के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अलावा, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूरा करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना अथवा कार्यान्वयन को समायोजित कर सकता है। | ||
===नियंत्रण=== | ===नियंत्रण=== | ||
Line 41: | Line 41: | ||
| In this process the whole targeting process is documented in a specific way. This process ends with ''reports''. | | In this process the whole targeting process is documented in a specific way. This process ends with ''reports''. | ||
|} | |} | ||
नियंत्रण उप-प्रक्रिया का मेटा-प्रक्रिया मॉडल | नियंत्रण उप-प्रक्रिया का मेटा-प्रक्रिया मॉडल [[एकीकृत मॉडलिंग भाषा|ीकृत मॉडलिंग भाषा]] [[गतिविधि आरेख]] पर आधारित है और नियंत्रण उप-प्रक्रिया की गतिविधियों का सिंहावलोकन देता है। ग्रे आयत नियंत्रण उप-प्रक्रिया का प्रतिनिधित्व करता है और इसके अंदर की छोटी बीम आकृतियाँ इसके अंदर होने वाली गतिविधियों का प्रतिनिधित्व करती हैं। | ||
[[Image:Control Process model.jpg]] | [[Image:Control Process model.jpg]] | ||
Line 62: | Line 62: | ||
[[Image:Control Data model.JPG]]चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया | [[Image:Control Data model.JPG]]चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया | ||
सफ़ेद छाया वाला नियंत्रण आयत | सफ़ेद छाया वाला नियंत्रण आयत खुली जटिल अवधारणा है। इसका मतलब यह है कि नियंत्रण आयत में (उप) अवधारणाओं का संग्रह होता है। | ||
चित्र 2.1.3 नियंत्रण उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के ीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई | चित्र 2.1.3 नियंत्रण उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के ीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई अथवा समायोजित की जाती हैं। | ||
[[Image:Control Process data model.JPG]]चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया | [[Image:Control Process data model.JPG]]चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया | ||
Line 70: | Line 70: | ||
===योजना=== | ===योजना=== | ||
योजना उप-प्रक्रिया में ऐसी गतिविधियाँ | योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो [[सेवा स्तर प्रबंधन]] के सहयोग से एसएलए में (सूचना) सुरक्षा अनुभाग तक ले जाती हैं। इसके अलावा, योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अंतर्निहित अनुबंधों से संबंधित हैं जो (सूचना) सुरक्षा के लिए विशिष्ट हैं। | ||
योजना उप-प्रक्रिया में एसएलए में तैयार किए गए लक्ष्यों को परिचालन स्तर के समझौतों (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन OLA को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है। | योजना उप-प्रक्रिया में एसएलए में तैयार किए गए लक्ष्यों को परिचालन स्तर के समझौतों (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन OLA को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है। | ||
Line 95: | Line 95: | ||
| In this process the whole Create plan process is documented in a specific way. This process ends with reports. | | In this process the whole Create plan process is documented in a specific way. This process ends with reports. | ||
|} | |} | ||
योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन जटिल गतिविधियाँ | योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन जटिल गतिविधियाँ सम्मिलित हैं जो सभी बंद गतिविधियाँ और मानक गतिविधि हैं। | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 115: | Line 115: | ||
नियंत्रण उप-प्रक्रिया की तरह ही योजना उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया जाता है। चित्र 2.2.1 का बाईं ओर योजना उप-प्रक्रिया का मेटा-डेटा मॉडल है। | नियंत्रण उप-प्रक्रिया की तरह ही योजना उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया जाता है। चित्र 2.2.1 का बाईं ओर योजना उप-प्रक्रिया का मेटा-डेटा मॉडल है। | ||
योजना आयत | योजना आयत खुली (जटिल) अवधारणा है जिसमें दो बंद (जटिल) अवधारणाओं और मानक अवधारणा के साथ त्रीकरण प्रकार का संबंध होता है। इस विशेष संदर्भ में दो बंद अवधारणाओं का विस्तार नहीं किया गया है। | ||
निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का [[प्रक्रिया-डेटा आरेख]] है। यह चित्र दो मॉडलों के ीकरण को दर्शाता है। बिंदीदार तीर इंगित करते हैं कि योजना उप-प्रक्रिया की संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई | निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का [[प्रक्रिया-डेटा आरेख]] है। यह चित्र दो मॉडलों के ीकरण को दर्शाता है। बिंदीदार तीर इंगित करते हैं कि योजना उप-प्रक्रिया की संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई अथवा समायोजित की जाती हैं। | ||
[[Image:Plan process data model.jpg]]चित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया | [[Image:Plan process data model.jpg]]चित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया | ||
Line 123: | Line 123: | ||
===कार्यान्वयन=== | ===कार्यान्वयन=== | ||
कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय ठीक से लागू किए गए हैं। कार्यान्वयन उप-प्रक्रिया के दौरान कोई भी उपाय परिभाषित नहीं किया जाता है और न ही बदला जाता है। उपायों की परिभाषा | कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय ठीक से लागू किए गए हैं। कार्यान्वयन उप-प्रक्रिया के दौरान कोई भी उपाय परिभाषित नहीं किया जाता है और न ही बदला जाता है। उपायों की परिभाषा अथवा परिवर्तन परिवर्तन प्रबंधन प्रक्रिया के सहयोग से योजना उप-प्रक्रिया में होता है। | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 174: | Line 174: | ||
बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके मॉडलिंग किया जाता है। चित्र 2.3.1 का दाहिना भाग कार्यान्वयन उप-प्रक्रिया का मेटा-डेटा मॉडल है। | बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके मॉडलिंग किया जाता है। चित्र 2.3.1 का दाहिना भाग कार्यान्वयन उप-प्रक्रिया का मेटा-डेटा मॉडल है। | ||
कार्यान्वयन दस्तावेज़ | कार्यान्वयन दस्तावेज़ खुली अवधारणा है और इस संदर्भ में इसका विस्तार किया गया है। इसमें चार बंद अवधारणाएँ सम्मिलित हैं जिनका विस्तार नहीं किया गया है क्योंकि वे इस विशेष संदर्भ में अप्रासंगिक हैं। | ||
दोनों मॉडलों के बीच संबंधों को स्पष्ट करने के लिए दोनों मॉडलों के ीकरण को चित्र 2.3.1 में दर्शाया गया है। गतिविधियों से अवधारणाओं तक चलने वाले बिंदीदार तीर दर्शाते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई/समायोजित की जाती हैं। | दोनों मॉडलों के बीच संबंधों को स्पष्ट करने के लिए दोनों मॉडलों के ीकरण को चित्र 2.3.1 में दर्शाया गया है। गतिविधियों से अवधारणाओं तक चलने वाले बिंदीदार तीर दर्शाते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई/समायोजित की जाती हैं। | ||
Line 186: | Line 186: | ||
मूल्यांकन के तीन प्रकार हैं स्व-मूल्यांकन, आंतरिक लेखापरीक्षा और बाह्य लेखापरीक्षा। | मूल्यांकन के तीन प्रकार हैं स्व-मूल्यांकन, आंतरिक लेखापरीक्षा और बाह्य लेखापरीक्षा। | ||
स्व-मूल्यांकन मुख्य रूप से प्रक्रियाओं के संगठन में किया जाता है। आंतरिक ऑडिट आंतरिक आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। बाहरी ऑडिट बाहरी, स्वतंत्र आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। पहले से उल्लिखित लोगों के अलावा, संचारित सुरक्षा घटनाओं पर आधारित मूल्यांकन होता है। इस मूल्यांकन के लिए सबसे महत्वपूर्ण गतिविधियाँ आईटी-सिस्टम की सुरक्षा निगरानी हैं; सुरक्षा | स्व-मूल्यांकन मुख्य रूप से प्रक्रियाओं के संगठन में किया जाता है। आंतरिक ऑडिट आंतरिक आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। बाहरी ऑडिट बाहरी, स्वतंत्र आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। पहले से उल्लिखित लोगों के अलावा, संचारित सुरक्षा घटनाओं पर आधारित मूल्यांकन होता है। इस मूल्यांकन के लिए सबसे महत्वपूर्ण गतिविधियाँ आईटी-सिस्टम की सुरक्षा निगरानी हैं; सुरक्षा नियम और सुरक्षा योजना कार्यान्वयन को सत्यापित करें; आईटी-आपूर्ति के अवांछनीय उपयोग का पता लगाएं और उस पर प्रतिक्रिया दें। | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 211: | Line 211: | ||
[[Image:evaluation process data model.jpg]]चित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया | [[Image:evaluation process data model.jpg]]चित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया | ||
चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में | चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में मेटा-प्रोसेस मॉडल और मेटा-डेटा मॉडल सम्मिलित है। मूल्यांकन उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया गया था। | ||
मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर इंगित करते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएं बनाई/समायोजित की गई हैं। मूल्यांकन चरण की सभी गतिविधियाँ मानक गतिविधियाँ हैं। मूल्यांकन चरण अवधारणाओं के संक्षिप्त विवरण के लिए तालिका 2.4.2 देखें जहां अवधारणाओं को सूचीबद्ध और परिभाषित किया गया है। | मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर इंगित करते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएं बनाई/समायोजित की गई हैं। मूल्यांकन चरण की सभी गतिविधियाँ मानक गतिविधियाँ हैं। मूल्यांकन चरण अवधारणाओं के संक्षिप्त विवरण के लिए तालिका 2.4.2 देखें जहां अवधारणाओं को सूचीबद्ध और परिभाषित किया गया है। | ||
Line 241: | Line 241: | ||
संगठनात्मक और आईटी-बुनियादी ढाँचे में बदलाव के कारण, समय के साथ सुरक्षा जोखिम बदलते हैं, जिससे सेवा स्तर के समझौतों और सुरक्षा योजनाओं के सुरक्षा अनुभाग में संशोधन की आवश्यकता होती है। | संगठनात्मक और आईटी-बुनियादी ढाँचे में बदलाव के कारण, समय के साथ सुरक्षा जोखिम बदलते हैं, जिससे सेवा स्तर के समझौतों और सुरक्षा योजनाओं के सुरक्षा अनुभाग में संशोधन की आवश्यकता होती है। | ||
रखरखाव मूल्यांकन उप-प्रक्रिया के परिणामों और बदलते जोखिमों में अंतर्दृष्टि पर आधारित है। ये गतिविधियाँ प्रस्ताव तैयार करेंगी। प्रस्ताव या तो योजना उप-प्रक्रिया के लिए इनपुट के रूप में काम करते हैं और चक्र के माध्यम से यात्रा करते हैं | रखरखाव मूल्यांकन उप-प्रक्रिया के परिणामों और बदलते जोखिमों में अंतर्दृष्टि पर आधारित है। ये गतिविधियाँ प्रस्ताव तैयार करेंगी। प्रस्ताव या तो योजना उप-प्रक्रिया के लिए इनपुट के रूप में काम करते हैं और चक्र के माध्यम से यात्रा करते हैं अथवा सेवा स्तर के समझौतों को बनाए रखने के हिस्से के रूप में अपनाए जा सकते हैं। दोनों ही मामलों में प्रस्ताव कार्य योजना में गतिविधियों को जन्म दे सकते हैं। वास्तविक परिवर्तन परिवर्तन प्रबंधन प्रक्रिया द्वारा किये जाते हैं। | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 264: | Line 264: | ||
[[Image:Maintenance process data model.jpg]]चित्र 2.5.1: प्रक्रिया-डेटा मॉडल रखरखाव उप-प्रक्रिया | [[Image:Maintenance process data model.jpg]]चित्र 2.5.1: प्रक्रिया-डेटा मॉडल रखरखाव उप-प्रक्रिया | ||
रखरखाव उप-प्रक्रिया सेवा स्तर के समझौतों के रखरखाव और परिचालन स्तर के समझौतों के रखरखाव से शुरू होती है। इन गतिविधियों के होने के बाद (किसी विशेष क्रम में नहीं) और परिवर्तन के लिए अनुरोध होने पर परिवर्तन गतिविधि के लिए अनुरोध होगा और परिवर्तन गतिविधि के लिए अनुरोध समाप्त होने के बाद रिपोर्टिंग गतिविधि शुरू होती है। यदि परिवर्तन के लिए कोई अनुरोध नहीं है तो रिपोर्टिंग गतिविधि पहली दो गतिविधियों के बाद सीधे शुरू हो जाएगी। मेटा-डेटा मॉडल में अवधारणाएँ रखरखाव चरण के दौरान बनाई/समायोजित की जाती हैं। अवधारणाओं की सूची और उनकी परिभाषा के लिए तालिका 2.5.2 पर | रखरखाव उप-प्रक्रिया सेवा स्तर के समझौतों के रखरखाव और परिचालन स्तर के समझौतों के रखरखाव से शुरू होती है। इन गतिविधियों के होने के बाद (किसी विशेष क्रम में नहीं) और परिवर्तन के लिए अनुरोध होने पर परिवर्तन गतिविधि के लिए अनुरोध होगा और परिवर्तन गतिविधि के लिए अनुरोध समाप्त होने के बाद रिपोर्टिंग गतिविधि शुरू होती है। यदि परिवर्तन के लिए कोई अनुरोध नहीं है तो रिपोर्टिंग गतिविधि पहली दो गतिविधियों के बाद सीधे शुरू हो जाएगी। मेटा-डेटा मॉडल में अवधारणाएँ रखरखाव चरण के दौरान बनाई/समायोजित की जाती हैं। अवधारणाओं की सूची और उनकी परिभाषा के लिए तालिका 2.5.2 पर नज़र डालें। | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 303: | Line 303: | ||
* [[परिवर्तन प्रबंधन (आईटीएसएम)]] | * [[परिवर्तन प्रबंधन (आईटीएसएम)]] | ||
इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए जिम्मेदार हैं। | इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए जिम्मेदार हैं। यद्यपि, सुरक्षा प्रबंधन संबंधित प्रक्रिया को संकेत देता है कि इन गतिविधियों की संरचना कैसे की जाए। | ||
== उदाहरण: आंतरिक ई-मेल नीतियां == | == उदाहरण: आंतरिक ई-मेल नीतियां == | ||
Line 315: | Line 315: | ||
योजना के अनुसार क्रियान्वयन किया जाता है। | योजना के अनुसार क्रियान्वयन किया जाता है। | ||
कार्यान्वयन के बाद नीतियों का मूल्यांकन या तो स्व-मूल्यांकन के रूप में, | कार्यान्वयन के बाद नीतियों का मूल्यांकन या तो स्व-मूल्यांकन के रूप में, अथवा आंतरिक या बाहरी लेखा परीक्षकों के माध्यम से किया जाता है। | ||
रखरखाव चरण में ई-नीतियों को मूल्यांकन के आधार पर समायोजित किया जाता है। आवश्यक परिवर्तनों को परिवर्तन के अनुरोध के माध्यम से संसाधित किया जाता है। | रखरखाव चरण में ई-नीतियों को मूल्यांकन के आधार पर समायोजित किया जाता है। आवश्यक परिवर्तनों को परिवर्तन के अनुरोध के माध्यम से संसाधित किया जाता है। | ||
Line 336: | Line 336: | ||
==स्रोत== | ==स्रोत== | ||
* बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का | * बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का परिचयात्मक संचालन आधार। वैन हरेन प्रकाशन | ||
* कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय। | * कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय। | ||
* [http://www.microsoft.com/technet/itsolutions/cits/mo/smf/mofsmsmf.mspx सुरक्षा प्रबंधन]। (फरवरी 1, 2005)। माइक्रोसॉफ्ट | * [http://www.microsoft.com/technet/itsolutions/cits/mo/smf/mofsmsmf.mspx सुरक्षा प्रबंधन]। (फरवरी 1, 2005)। माइक्रोसॉफ्ट |
Revision as of 02:53, 21 July 2023
आईटीआईएल सुरक्षा प्रबंधन संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है।[1] आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक संकटों के संदर्भ में प्रलेखित सूचना सुरक्षा प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, संचालन, मॉनिटरिंग, समीक्षा, निरीक्षण और संशोधन के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों अथवा उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो इनफार्मेशन एसेट्स की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं।
सुरक्षा प्रबंधन की मूल अवधारणा सूचना सुरक्षा है। सूचना सुरक्षा का प्राथमिक लक्ष्य सूचना के एक्सेस को नियंत्रित करना है। सूचना का मूल्य वह है जिसे संरक्षित किया जाना चाहिए। इन मूल्यों में गोपनीयता, अखंडता और उपलब्धता सम्मिलित हैं। अनुमानित स्वरुप गोपनीयता, अनामिता और सत्यापनीयता हैं।
सुरक्षा प्रबंधन का लक्ष्य दो भागों के अंतर्गत आता है:
- सेवा-स्तरीय अनुबंध (एसएलए) और अन्य बाह्य आवश्यकताओं में परिभाषित सुरक्षा आवश्यकताएं जो अनुबंध, नियम और संभावित आंतरिक अथवा बाह्य अधिरोपित नीतियों को रेखांकित करने में निर्दिष्ट हैं।
- मूल सुरक्षा जो प्रबंधन की निरंतरता का आश्वासन देती है। सूचना सुरक्षा के लिए सरलीकृत सेवा-स्तरीय प्रबंधन प्राप्त करने के लिए यह आवश्यक है।
एसएलए नियम (यदि प्रयुक्त हो) और अन्य अनुबंधों के साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है।
सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। यद्यपि, इस विशेष खंड में सबसे स्पष्ट संबंध सेवा स्तर प्रबंधन, घटना प्रबंधन और परिवर्तन प्रबंधन प्रक्रियाओं से संबंधित हैं।
सुरक्षा प्रबंधन
सुरक्षा प्रबंधन सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (पीडीसीए|प्लान, डू, चेक, ्ट) से की जा सकती है।
इनपुट ग्राहकों की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों SLA को प्रभावित करते हैं। SLA क्लाइंट और प्रक्रिया दोनों के लिए इनपुट है। प्रदाता संगठन के लिए सुरक्षा योजनाएँ विकसित करता है। इन योजनाओं में नीतियां और परिचालन स्तर के समझौते सम्मिलित हैं। सुरक्षा योजनाओं (प्लान) को फिर कार्यान्वित (करें) किया जाता है और फिर कार्यान्वयन का मूल्यांकन (चेक) किया जाता है। मूल्यांकन के बाद योजनाओं और योजना कार्यान्वयन को बनाए रखा जाता है (अधिनियम)।
गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित हैं। बाहरी रिपोर्टें लिखी जाती हैं और ग्राहकों को भेजी जाती हैं। फिर ग्राहक रिपोर्ट के माध्यम से प्राप्त जानकारी के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अलावा, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूरा करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना अथवा कार्यान्वयन को समायोजित कर सकता है।
नियंत्रण
सुरक्षा प्रबंधन प्रक्रिया में पहली गतिविधि "नियंत्रण" उप-प्रक्रिया है। नियंत्रण उप-प्रक्रिया सुरक्षा प्रबंधन प्रक्रिया को व्यवस्थित और प्रबंधित करती है। नियंत्रण उप-प्रक्रिया प्रक्रियाओं, नीति वक्तव्यों और प्रबंधन ढांचे के लिए जिम्मेदारी के आवंटन को परिभाषित करती है।
सुरक्षा प्रबंधन ढांचा कार्य योजनाओं में विकास, कार्यान्वयन और मूल्यांकन के लिए उप-प्रक्रियाओं को परिभाषित करता है। इसके अलावा, प्रबंधन ढांचा परिभाषित करता है कि ग्राहकों को परिणाम कैसे सूचित किए जाने चाहिए।
Activities | Sub-Activities | Descriptions |
---|---|---|
Control | Implement policies | This process outlines the specific requirements and rules that have to be met in order to implement security management. The process ends with policy statement. |
Set up the security organization | This process sets up the organizations for information security. For example, in this process the structure the responsibilities are set up. This process ends with security management framework. | |
Reporting | In this process the whole targeting process is documented in a specific way. This process ends with reports. |
नियंत्रण उप-प्रक्रिया का मेटा-प्रक्रिया मॉडल ीकृत मॉडलिंग भाषा गतिविधि आरेख पर आधारित है और नियंत्रण उप-प्रक्रिया की गतिविधियों का सिंहावलोकन देता है। ग्रे आयत नियंत्रण उप-प्रक्रिया का प्रतिनिधित्व करता है और इसके अंदर की छोटी बीम आकृतियाँ इसके अंदर होने वाली गतिविधियों का प्रतिनिधित्व करती हैं।
File:Control Process model.jpg
Concept | Description |
---|---|
Control documents | Control is a description of how security management is organized and how it is managed. |
Policy statements | Policy statements outline specific requirements or rules that must be met. In the information security realm, policies are usually point-specific, covering a single area. For example, "acceptable use" policies cover the rules and regulations for appropriate use of the computing facilities. |
Security management framework | Security management framework is an established management framework to initiate and control the implementation of information security within an organization and to manage ongoing information security provision. |
नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल वर्ग आरेख पर आधारित है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल दिखाता है।
File:Control Data model.JPGचित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया
सफ़ेद छाया वाला नियंत्रण आयत खुली जटिल अवधारणा है। इसका मतलब यह है कि नियंत्रण आयत में (उप) अवधारणाओं का संग्रह होता है।
चित्र 2.1.3 नियंत्रण उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के ीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई अथवा समायोजित की जाती हैं।
File:Control Process data model.JPGचित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया
योजना
योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो सेवा स्तर प्रबंधन के सहयोग से एसएलए में (सूचना) सुरक्षा अनुभाग तक ले जाती हैं। इसके अलावा, योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अंतर्निहित अनुबंधों से संबंधित हैं जो (सूचना) सुरक्षा के लिए विशिष्ट हैं।
योजना उप-प्रक्रिया में एसएलए में तैयार किए गए लक्ष्यों को परिचालन स्तर के समझौतों (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन OLA को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है।
एसएलए के इनपुट के अलावा, योजना उप-प्रक्रिया स्वयं सेवा प्रदाता के नीति वक्तव्यों के साथ भी काम करती है। जैसा कि पहले कहा गया है, ये नीति कथन नियंत्रण उप-प्रक्रिया में परिभाषित हैं।
सूचना सुरक्षा के लिए परिचालन स्तर के समझौते आईटीआईएल प्रक्रिया के आधार पर स्थापित और कार्यान्वित किए जाते हैं। इसके लिए अन्य आईटीआईएल प्रक्रियाओं के साथ सहयोग की आवश्यकता है। उदाहरण के लिए, यदि सुरक्षा प्रबंधन सुरक्षा बढ़ाने के लिए आईटी बुनियादी ढांचे को बदलना चाहता है, तो ये परिवर्तन परिवर्तन प्रबंधन प्रक्रिया के माध्यम से किए जाएंगे। सुरक्षा प्रबंधन इस परिवर्तन के लिए इनपुट (परिवर्तन के लिए अनुरोध) वितरित करता है। परिवर्तन प्रबंधक परिवर्तन प्रबंधन प्रक्रिया के लिए जिम्मेदार है।
Activities | Sub-activities | Descriptions |
---|---|---|
Plan | Create Security section for SLA | This process contains activities that lead to the security agreements paragraph in the service level agreements. At the end of this process the Security section of the service level agreement is created. |
Create underpinning contracts | This process contains activities that lead to underpinning contracts. These contracts are specific for security. | |
Create operational level agreements | The general formulated goals in the SLA are specified in operational level agreements. These agreements can be seen as security plans for specific organization units. | |
Reporting | In this process the whole Create plan process is documented in a specific way. This process ends with reports. |
योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन जटिल गतिविधियाँ सम्मिलित हैं जो सभी बंद गतिविधियाँ और मानक गतिविधि हैं।
Concept | Description |
---|---|
Plan | Formulated schemes for the security agreements. |
Security section of the security level agreements | The security agreements paragraph in the written agreements between a service provider and the customer(s) that documents agreed service levels for a service. |
Underpinning contracts | A contract with an external supplier covering delivery of services that support the IT organisation in their delivery of services. |
Operational level agreements | An internal agreement covering the delivery of services which support the IT organization in their delivery of services. |
नियंत्रण उप-प्रक्रिया की तरह ही योजना उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया जाता है। चित्र 2.2.1 का बाईं ओर योजना उप-प्रक्रिया का मेटा-डेटा मॉडल है।
योजना आयत खुली (जटिल) अवधारणा है जिसमें दो बंद (जटिल) अवधारणाओं और मानक अवधारणा के साथ त्रीकरण प्रकार का संबंध होता है। इस विशेष संदर्भ में दो बंद अवधारणाओं का विस्तार नहीं किया गया है।
निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र दो मॉडलों के ीकरण को दर्शाता है। बिंदीदार तीर इंगित करते हैं कि योजना उप-प्रक्रिया की संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई अथवा समायोजित की जाती हैं।
File:Plan process data model.jpgचित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया
कार्यान्वयन
कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय ठीक से लागू किए गए हैं। कार्यान्वयन उप-प्रक्रिया के दौरान कोई भी उपाय परिभाषित नहीं किया जाता है और न ही बदला जाता है। उपायों की परिभाषा अथवा परिवर्तन परिवर्तन प्रबंधन प्रक्रिया के सहयोग से योजना उप-प्रक्रिया में होता है।
Activities | Sub-activities | Descriptions |
---|---|---|
Implement | Classifying and managing of IT applications | Process of formally grouping configuration items by type, e.g., software, hardware, documentation, environment and application.
Process of formally identifying changes by type e.g., project scope change request, validation change request, infrastructure change request this process leads to asset classification and control documents. |
Implement personnel security | Measures are adopted to give personnel safety and confidence and measures to prevent a crime/fraud. The process ends with personnel security. | |
Implement security management | Specific security requirements and/or security rules that must be met are outlined and documented. The process ends with security policies. | |
Implement access control | Specific access security requirements and/or access security rules that must be met are outlined and documented. The process ends with access control. | |
Reporting | The whole implement as planned process is documented in a specific way. This process ends with reports. |
चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का मतलब है कि ये गतिविधियाँ बंद अवधारणाएँ हैं और इस संदर्भ में इनका विस्तार नहीं किया गया है। कोई भी तीर इन चार गतिविधियों को नहीं जोड़ता है, जिसका अर्थ है कि ये गतिविधियाँ अव्यवस्थित हैं और रिपोर्टिंग सभी चार गतिविधियों के पूरा होने के बाद की जाएगी।
कार्यान्वयन चरण के दौरान अवधारणाएँ बनाई और/या समायोजित की जाती हैं।
Concept | Description |
---|---|
Implementation | Accomplished security management according to the security management plan. |
Asset classification and control documents | A comprehensive inventory of assets with responsibility assigned to ensure that effective security protection is maintained. |
Personnel security | Well defined job descriptions for all staff outlining security roles and responsibilities. |
Security policies | Documents that outline specific security requirements or security rules that must be met. |
Access control | Network management to ensure that only those with the appropriate responsibility have access to information in the networks and the protection of the supporting infrastructure. |
बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके मॉडलिंग किया जाता है। चित्र 2.3.1 का दाहिना भाग कार्यान्वयन उप-प्रक्रिया का मेटा-डेटा मॉडल है।
कार्यान्वयन दस्तावेज़ खुली अवधारणा है और इस संदर्भ में इसका विस्तार किया गया है। इसमें चार बंद अवधारणाएँ सम्मिलित हैं जिनका विस्तार नहीं किया गया है क्योंकि वे इस विशेष संदर्भ में अप्रासंगिक हैं।
दोनों मॉडलों के बीच संबंधों को स्पष्ट करने के लिए दोनों मॉडलों के ीकरण को चित्र 2.3.1 में दर्शाया गया है। गतिविधियों से अवधारणाओं तक चलने वाले बिंदीदार तीर दर्शाते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई/समायोजित की जाती हैं।
File:Implementation process data model.jpgचित्र 2.3.1: प्रक्रिया-डेटा मॉडल कार्यान्वयन उप-प्रक्रिया
मूल्यांकन
कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक है। मूल्यांकन ग्राहकों (और संभवतः तीसरे पक्ष) के लिए महत्वपूर्ण है। मूल्यांकन उप-प्रक्रिया के परिणामों का उपयोग सहमत उपायों और कार्यान्वयन को बनाए रखने के लिए किया जाता है। मूल्यांकन के परिणाम नई आवश्यकताओं और परिवर्तन के लिए संबंधित अनुरोध को जन्म दे सकते हैं। फिर परिवर्तन के अनुरोध को परिभाषित किया जाता है और परिवर्तन प्रबंधन को भेजा जाता है।
मूल्यांकन के तीन प्रकार हैं स्व-मूल्यांकन, आंतरिक लेखापरीक्षा और बाह्य लेखापरीक्षा।
स्व-मूल्यांकन मुख्य रूप से प्रक्रियाओं के संगठन में किया जाता है। आंतरिक ऑडिट आंतरिक आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। बाहरी ऑडिट बाहरी, स्वतंत्र आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। पहले से उल्लिखित लोगों के अलावा, संचारित सुरक्षा घटनाओं पर आधारित मूल्यांकन होता है। इस मूल्यांकन के लिए सबसे महत्वपूर्ण गतिविधियाँ आईटी-सिस्टम की सुरक्षा निगरानी हैं; सुरक्षा नियम और सुरक्षा योजना कार्यान्वयन को सत्यापित करें; आईटी-आपूर्ति के अवांछनीय उपयोग का पता लगाएं और उस पर प्रतिक्रिया दें।
Activities | Sub-Activities | Descriptions |
---|---|---|
Evaluate | Self-assessment | Examine implemented security agreements. The result of this process is self-assessment documents. |
Internal Audit | Examine implemented security agreements by an internal EDP auditor. The result of this process is internal audit. | |
External audit | Examine implemented security agreements by an external EDP auditor. The result of this process is external audit. | |
Evaluation based on security incidents | Examine implemented security agreements based on security events that are not part of the standard operation of a service and which cause, or may cause, an interruption to, or a reduction in, the quality of that service. The result of this process is security incidents. | |
Reporting | Document the Evaluate implementation process in a specific way. This process ends with reports. |
File:Evaluation process data model.jpgचित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया
चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में मेटा-प्रोसेस मॉडल और मेटा-डेटा मॉडल सम्मिलित है। मूल्यांकन उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया गया था। मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर इंगित करते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएं बनाई/समायोजित की गई हैं। मूल्यांकन चरण की सभी गतिविधियाँ मानक गतिविधियाँ हैं। मूल्यांकन चरण अवधारणाओं के संक्षिप्त विवरण के लिए तालिका 2.4.2 देखें जहां अवधारणाओं को सूचीबद्ध और परिभाषित किया गया है।
Concept | Description |
---|---|
EVALUATION | Evaluated/checked implementation. |
RESULTS | The outcome of the evaluated implementation. |
SELF ASSESSMENT DOCUMENTS | Result of the examination of the security management by the organization of the process itself. |
INTERNAL AUDIT | Result of the examination of the security management by the internal EDP auditor. |
EXTERNAL AUDIT | Result of the examination of the security management by the external EDP auditor. |
SECURITY INCIDENTS DOCUMENTS | Results of evaluating security events which is not part of the standard operation of a service and which causes, or may cause, an interruption to, or a reduction in, the quality of that service. |
तालिका 2.4.2: अवधारणा और परिभाषा मूल्यांकन उप-प्रक्रिया सुरक्षा प्रबंधन
रखरखाव
संगठनात्मक और आईटी-बुनियादी ढाँचे में बदलाव के कारण, समय के साथ सुरक्षा जोखिम बदलते हैं, जिससे सेवा स्तर के समझौतों और सुरक्षा योजनाओं के सुरक्षा अनुभाग में संशोधन की आवश्यकता होती है।
रखरखाव मूल्यांकन उप-प्रक्रिया के परिणामों और बदलते जोखिमों में अंतर्दृष्टि पर आधारित है। ये गतिविधियाँ प्रस्ताव तैयार करेंगी। प्रस्ताव या तो योजना उप-प्रक्रिया के लिए इनपुट के रूप में काम करते हैं और चक्र के माध्यम से यात्रा करते हैं अथवा सेवा स्तर के समझौतों को बनाए रखने के हिस्से के रूप में अपनाए जा सकते हैं। दोनों ही मामलों में प्रस्ताव कार्य योजना में गतिविधियों को जन्म दे सकते हैं। वास्तविक परिवर्तन परिवर्तन प्रबंधन प्रक्रिया द्वारा किये जाते हैं।
Activities | Sub-Activities | Descriptions |
---|---|---|
Maintain | Maintenance of Service level agreements | This keeps the service level agreements in proper condition. The process ends with maintained service level agreements. |
Maintenance of operational level agreements | This keeps the operational level agreements in proper condition. The process ends with maintained operational level agreements. | |
Request for change to SLA and/or OLA | Request for a change to the SLA and/or OLA is formulated. This process ends with a request for change. | |
Reporting | The implemented security policies process is documented in a specific way. This process ends with reports. |
चित्र 2.5.1 कार्यान्वयन उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र मेटा-प्रोसेस मॉडल (बाएं) और मेटा-डेटा मॉडल (दाएं) का ीकरण दिखाता है। बिंदीदार तीर दर्शाते हैं कि कार्यान्वयन चरण की गतिविधियों में कौन सी अवधारणाएँ बनाई या समायोजित की जाती हैं।
File:Maintenance process data model.jpgचित्र 2.5.1: प्रक्रिया-डेटा मॉडल रखरखाव उप-प्रक्रिया
रखरखाव उप-प्रक्रिया सेवा स्तर के समझौतों के रखरखाव और परिचालन स्तर के समझौतों के रखरखाव से शुरू होती है। इन गतिविधियों के होने के बाद (किसी विशेष क्रम में नहीं) और परिवर्तन के लिए अनुरोध होने पर परिवर्तन गतिविधि के लिए अनुरोध होगा और परिवर्तन गतिविधि के लिए अनुरोध समाप्त होने के बाद रिपोर्टिंग गतिविधि शुरू होती है। यदि परिवर्तन के लिए कोई अनुरोध नहीं है तो रिपोर्टिंग गतिविधि पहली दो गतिविधियों के बाद सीधे शुरू हो जाएगी। मेटा-डेटा मॉडल में अवधारणाएँ रखरखाव चरण के दौरान बनाई/समायोजित की जाती हैं। अवधारणाओं की सूची और उनकी परिभाषा के लिए तालिका 2.5.2 पर नज़र डालें।
Concept | Description |
---|---|
MAINTENANCE DOCUMENTS | Agreements kept in proper condition. |
MAINTAINED SERVICE LEVEL AGREEMENTS | Service Level Agreements(security paragraph) kept in proper condition. |
MAINTAINED OPERATIONAL LEVEL AGREEMENTS | Operational Level Agreements kept in proper condition. |
REQUEST FOR CHANGE | Form, or screen, used to record details of a request for a change to the SLA/OLA. |
तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन
संपूर्ण प्रक्रिया-डेटा मॉडल
चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया Process data model security management.jpg
अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध
सुरक्षा प्रबंधन प्रक्रिया, जैसा कि परिचय में कहा गया है, का लगभग सभी अन्य आईटीआईएल-प्रक्रियाओं के साथ संबंध है। ये प्रक्रियाएँ हैं:
- आईटी ग्राहक संबंध प्रबंधन
- सेवा स्तर प्रबंधन
- उपलब्धता प्रबंधन
- क्षमता प्रबंधन
- आईटी सेवा निरंतरता प्रबंधन
- विन्यास प्रबंधन
- रिहाई प्रबंधन
- घटना प्रबंधन एवं सेवा डेस्क
- समस्या प्रबंधन
- परिवर्तन प्रबंधन (आईटीएसएम)
इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए जिम्मेदार हैं। यद्यपि, सुरक्षा प्रबंधन संबंधित प्रक्रिया को संकेत देता है कि इन गतिविधियों की संरचना कैसे की जाए।
उदाहरण: आंतरिक ई-मेल नीतियां
आंतरिक ई-मेल कई सुरक्षा जोखिमों के अधीन है, जिसके लिए संबंधित सुरक्षा योजना और नीतियों की आवश्यकता होती है। इस उदाहरण में आईटीआईएल सुरक्षा प्रबंधन दृष्टिकोण का उपयोग ई-मेल नीतियों को लागू करने के लिए किया जाता है।
सुरक्षा प्रबंधन टीम का गठन किया जाता है और प्रक्रिया दिशानिर्देश तैयार किए जाते हैं और सभी कर्मचारियों और प्रदाताओं को सूचित किए जाते हैं। ये क्रियाएँ नियंत्रण चरण में की जाती हैं।
बाद के योजना चरण में, नीतियां तैयार की जाती हैं। ई-मेल सुरक्षा के लिए विशिष्ट नीतियां तैयार की जाती हैं और सेवा स्तर के समझौतों में जोड़ी जाती हैं। इस चरण के अंत में पूरी योजना कार्यान्वयन के लिए तैयार है।
योजना के अनुसार क्रियान्वयन किया जाता है।
कार्यान्वयन के बाद नीतियों का मूल्यांकन या तो स्व-मूल्यांकन के रूप में, अथवा आंतरिक या बाहरी लेखा परीक्षकों के माध्यम से किया जाता है।
रखरखाव चरण में ई-नीतियों को मूल्यांकन के आधार पर समायोजित किया जाता है। आवश्यक परिवर्तनों को परिवर्तन के अनुरोध के माध्यम से संसाधित किया जाता है।
यह भी देखें
- अवसंरचना प्रबंधन सेवाएँ
- आईटीआईएल vz
- माइक्रोसॉफ्ट ऑपरेशंस फ्रेमवर्क
- सूचना सुरक्षा प्रबंधन प्रणाली
- सीओबीआईटी
- क्षमता परिपक्वता मॉडल
- वगैरह
यह भी देखें
- सूचना सुरक्षा
संदर्भ
स्रोत
- बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का परिचयात्मक संचालन आधार। वैन हरेन प्रकाशन
- कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय।
- सुरक्षा प्रबंधन। (फरवरी 1, 2005)। माइक्रोसॉफ्ट
- त्से, डी. (2005)। आधुनिक व्यवसाय में सुरक्षा: सूचना सुरक्षा प्रथाओं के लिए सुरक्षा मूल्यांकन मॉडल। हांगकांग: हांगकांग विश्वविद्यालय।
श्रेणी:आईटीआईएल
श्रेणी:कंप्यूटर सुरक्षा