信息系統(tǒng)安全運維-LN課件

第9講信息系統(tǒng)安全運維第9講信息系統(tǒng)安全運維1信息資產(chǎn)管理信息服務(wù)管理信息系統(tǒng)監(jiān)控信息系統(tǒng)審計本講提綱信息資產(chǎn)管理本講提綱2信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)軟件資產(chǎn)許可介質(zhì)管理對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)3什么是信息資產(chǎn)信息可以理解為消息、情報、數(shù)據(jù)或知識，它可以以多種形式存在。ISO17799中，對信息的定義更確切、具體：——信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，對組織具有價值，因此需要妥善保護(hù)。存在形式：信息設(shè)施中的存儲與處理、打印、手寫、膠片上或會話中。什么是信息資產(chǎn)信息可以理解為消息、情報、數(shù)據(jù)或知識，它可以以4數(shù)據(jù)與文檔物理資產(chǎn)企業(yè)形象與聲譽(yù)人員服務(wù)軟件資產(chǎn)ISO17799列出了常見信息資產(chǎn)書面文件數(shù)據(jù)與文檔物理資產(chǎn)企業(yè)形象與聲譽(yù)人員服務(wù)軟件資產(chǎn)ISO1775信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)軟件資產(chǎn)許可介質(zhì)管理對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)6對資產(chǎn)負(fù)責(zé)要實現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護(hù)，需對于所有資產(chǎn)要指定責(zé)任人，并且要賦予保持相應(yīng)控制措施的職責(zé)。編制資產(chǎn)清單資產(chǎn)責(zé)任人對資產(chǎn)負(fù)責(zé)主要從以下兩個方面考慮：對資產(chǎn)負(fù)責(zé)要實現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護(hù)，需對于所有資產(chǎn)要7編制資產(chǎn)清單編制資產(chǎn)清單具體措施如下：組織應(yīng)列出資產(chǎn)清單，將每項資產(chǎn)的名稱、所處位置、價值、資產(chǎn)負(fù)責(zé)人等相關(guān)信息記錄在資產(chǎn)清單上。對每一項信息資產(chǎn)，組織的管理者應(yīng)指定專人負(fù)責(zé)其使用和保護(hù)，防止資產(chǎn)被盜、丟失與濫用。根據(jù)資產(chǎn)的相對價值大小來確定關(guān)鍵信息資產(chǎn)，并對其進(jìn)行風(fēng)險評估以確定適當(dāng)?shù)目刂拼胧?。定期對信息資產(chǎn)進(jìn)行清查盤點，確保資產(chǎn)賬物相符和完好不損。編制資產(chǎn)清單編制資產(chǎn)清單具體措施如下：組織應(yīng)列出資產(chǎn)清單，將8資產(chǎn)責(zé)任人與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部門或人員承擔(dān)責(zé)任。資產(chǎn)責(zé)任人應(yīng)負(fù)責(zé)：確保與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進(jìn)行了適當(dāng)?shù)姆诸悾淮_定并周期性評審訪問限制和分類，要考慮到可應(yīng)用的訪問控制策略。資產(chǎn)責(zé)任人與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部9信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)軟件資產(chǎn)許可介質(zhì)管理信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)軟件資產(chǎn)許可10信息分類信息應(yīng)按照它對組織的價值、法律要求、敏感性和關(guān)鍵性予以分類。信息分類注意要點信息的保存期限信息的分類等級要合理誰對信息的分類負(fù)責(zé)信息分類信息應(yīng)按照它對組織的價值、法律要求、敏感性和關(guān)鍵性予11信息的標(biāo)記和處理分類信息的標(biāo)記和安全處理是信息共享的一個關(guān)鍵要求，應(yīng)按照組織所采納的分類機(jī)制建立和實施一組合適的信息標(biāo)記和處理程序。信息標(biāo)記與處理實施指南：信息標(biāo)記的程序需要涵蓋物理和電子格式的信息資產(chǎn)。對每種分類級別，要定義包括安全處理、儲存、傳輸、刪除、銷毀的處理程序。涉及信息共享的與其他組織的協(xié)議應(yīng)包括識別信息分類和解釋其他組織分類標(biāo)記的程序。信息的標(biāo)記和處理分類信息的標(biāo)記和安全處理是信息共享的一個關(guān)鍵12制定與分類一致的信息處理程序：按照所顯示的分類級別，處置和標(biāo)記所有介質(zhì)；確定防止未授權(quán)人員訪問的限制；維護(hù)數(shù)據(jù)的授權(quán)接收者的正式記錄；確保輸入數(shù)據(jù)完整，正確完成了處理并應(yīng)用了輸出驗證；按照與其敏感性一致的級別，保護(hù)等待輸出的假脫機(jī)數(shù)據(jù)；根據(jù)制造商的規(guī)范存儲介質(zhì)；使分發(fā)的數(shù)據(jù)最少；清晰地標(biāo)記數(shù)據(jù)的所有拷貝，以引起已授權(quán)接收者的關(guān)注；以固定的時間間隔評審分發(fā)列表和已授權(quán)接收者列表。制定與分類一致的信息處理程序：按照所顯示的分類級別，處置和標(biāo)13信息處理程序的實施對象文件移動計算郵件郵政服務(wù)/設(shè)施計算系統(tǒng)網(wǎng)絡(luò)多媒體移動通信通用話音通信話音郵件傳真機(jī)的使用空白支票發(fā)票信息處理程序的實施對象文件移動計算郵件郵政服務(wù)/設(shè)施計算系統(tǒng)14信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)軟件資產(chǎn)許可介質(zhì)管理信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)軟件資產(chǎn)許可15軟件資產(chǎn)許可應(yīng)使用合法軟件，嚴(yán)厲打擊使用盜版軟件行為。公司應(yīng)有檢測和處理非授權(quán)軟件措施，例如：定期檢查環(huán)境中所安裝的軟件。實施技術(shù)措施，防止非授權(quán)人員安裝非授權(quán)軟件。對有未授權(quán)行為的人員進(jìn)行教育，提升他們的信息安全意識。軟件資產(chǎn)許可應(yīng)使用合法軟件，嚴(yán)厲打擊使用盜版軟件行為。定期檢16信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)軟件資產(chǎn)許可介質(zhì)管理信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)軟件資產(chǎn)許可17介質(zhì)管理介質(zhì)應(yīng)受到控制和物理保護(hù)——應(yīng)建立適當(dāng)?shù)牟僮鞒绦?，使計算機(jī)介質(zhì)（如磁帶、磁盤）免遭未授權(quán)泄露、修改、刪除和破壞而導(dǎo)致業(yè)務(wù)活動的中斷。介質(zhì)管理介質(zhì)應(yīng)受到控制和物理保護(hù)——應(yīng)建立適當(dāng)?shù)牟僮鞒绦?，?8可移動介質(zhì)的管理可移動介質(zhì)的管理可移動介質(zhì)帶來的威脅可移動介質(zhì)泄密隱患分析可移動介質(zhì)處置措施可移動介質(zhì)的管理可移動介質(zhì)的管理可移動介質(zhì)帶來的威脅可移動介19可移動介質(zhì)帶來的威脅為了照顧生病的女友，322所研究人員谷雨生違反保密規(guī)定，將資料使用U盤拷貝回家，繼續(xù)工作。預(yù)謀已久的間諜趁谷雨生買早點的時間，打開他的電腦，將已被刪除掉的涉密數(shù)據(jù)進(jìn)行了恢復(fù)，并用U盤完成了拷貝竊取……案例：據(jù)統(tǒng)計，近年來，在國家有關(guān)部門發(fā)現(xiàn)和查處的泄密案件中，有多起是由于對移動存儲介質(zhì)使用管理不善造成的。利用移動存儲介質(zhì)存在的漏洞，也成為境內(nèi)外間諜組織竊取涉及國家秘密數(shù)據(jù)的重要手段之一?？梢苿咏橘|(zhì)帶來的威脅為了照顧生病的女友，322所研究人員谷雨20可移動介質(zhì)泄密隱患分析移動存儲介質(zhì)使用管理存在的安全隱患：1．管理制度不健全，造成失泄密。2．交叉使用，造成失泄密。3．?dāng)?shù)據(jù)清除不徹底，造成失泄密。4．保管不善，造成失泄密。可移動介質(zhì)泄密隱患分析移動存儲介質(zhì)使用管理存在的安全隱患：121可移動介質(zhì)處置措施可移動介質(zhì)的管理指南：對從組織取走的任何可重用的介質(zhì)中的內(nèi)容，如果不再需要，應(yīng)使其不可重用；從組織取走的所有介質(zhì)應(yīng)要求授權(quán)，所有這種移動的記錄應(yīng)加以保持，以保持審核蹤跡；要將所有介質(zhì)存儲在符合制造商說明的安全、保密的環(huán)境中；應(yīng)將信息備份，以避免由于介質(zhì)老化而導(dǎo)致信息丟失；應(yīng)考慮可移動介質(zhì)的登記，以減少數(shù)據(jù)丟失的機(jī)會；只應(yīng)在有業(yè)務(wù)要求時，才使用可移動介質(zhì)?？梢苿咏橘|(zhì)處置措施可移動介質(zhì)的管理指南：對從組織取走的任何可22介質(zhì)的處置介質(zhì)處置介質(zhì)處置重要性介質(zhì)數(shù)據(jù)清除方式與介質(zhì)處置有關(guān)的信息泄漏威脅介質(zhì)處置控制介質(zhì)的處置介質(zhì)處置介質(zhì)處置重要性介質(zhì)數(shù)據(jù)清除方式與介質(zhì)處置有23介質(zhì)處置重要性公司常犯的一個錯誤，是將舊計算機(jī)及其硬盤、其他即將被替換的磁性存儲介質(zhì)、陳舊的設(shè)備，以及公司花費大量時間和金錢保護(hù)的數(shù)據(jù)，全部當(dāng)做垃圾處理掉。上述行為都可能導(dǎo)致介質(zhì)信息泄露的風(fēng)險！因此，“清洗”是介質(zhì)生命周期的最后一個階段。介質(zhì)處置重要性公司常犯的一個錯誤，是將舊計算機(jī)及其硬盤、其他24介質(zhì)數(shù)據(jù)清除方式常用的介質(zhì)數(shù)據(jù)清除方式有：歸零：是用某種方式覆寫介質(zhì)，確保它以前保存的

數(shù)據(jù)幾乎不可能被恢復(fù)。消磁：破壞磁帶或磁盤上保存有信息的磁條。破壞：打碎、粉碎、燒毀等。介質(zhì)數(shù)據(jù)清除方式常用的介質(zhì)數(shù)據(jù)清除方式有：歸零：是用某種方式25與介質(zhì)處置有關(guān)的信息泄露威脅數(shù)據(jù)剩磁：是那些保存后以某種方式清除的信息的剩余部分的物理表示法?！@些剩磁足夠使數(shù)據(jù)重組并恢復(fù)到可讀的形式。導(dǎo)致公司信息泄露，對公司安全造成威脅。與介質(zhì)處置有關(guān)的信息泄露威脅數(shù)據(jù)剩磁：是那些保存后以某種方式26介質(zhì)處置控制介質(zhì)安全處置措施：包含有敏感信息的介質(zhì)要秘密和安全地存儲和處置，例如，利用焚化或切碎的方法。應(yīng)有程序識別可能需要安全處置的項目。安排把所有介質(zhì)部件收集起來并進(jìn)行安全處置。應(yīng)選擇具有足夠控制措施和經(jīng)驗的合同方對紙、設(shè)備和介質(zhì)進(jìn)行收集和處置。處置敏感部件要做記錄，以便保持審核蹤跡。介質(zhì)處置控制介質(zhì)安全處置措施：包含有敏感信息的介質(zhì)要秘密和安27信息資產(chǎn)管理信息服務(wù)管理信息系統(tǒng)監(jiān)控信息系統(tǒng)審計本講提綱信息資產(chǎn)管理本講提綱28信息服務(wù)管理

1、信息服務(wù)管理概述2、ITIL內(nèi)容體系：兩大領(lǐng)域、十大流程、一項管理職能3、服務(wù)提供流程4、服務(wù)支持流程信息服務(wù)管理1、信息服務(wù)管理概述29ITIL產(chǎn)生的歷史背景自上個世紀(jì)60年代開始，IT如何高效地為人類和社會帶來效率便吸引著人們的眼球?！败浖C(jī)”、“人月神話”、“軟件工程”等詞語便成了企業(yè)界和IT人關(guān)注的焦點。在眾多專家、學(xué)者、企業(yè)人士的不斷探索中，IT人創(chuàng)造了“OOA＆OOD”、“CMM”、“IT項目監(jiān)理”等我們耳熟能詳?shù)姆椒ㄕ?。ITIL產(chǎn)生的歷史背景自上個世紀(jì)60年代開始，IT如何高效地30ITIL產(chǎn)生的歷史背景然而，在眾多的方法論中，一個普遍的缺失是沒有一個IT運營管理階段（有時又稱為支持和維護(hù)階段）的詳細(xì)指南。圖1IT應(yīng)用生命周期圖ITIL產(chǎn)生的歷史背景然而，在眾多的方法論中，一個普遍的缺失31IT運營管理并非不重要，在IT應(yīng)用生命周期中，運營階段通常有以下兩個重要特點：

通常時間跨度最長；業(yè)務(wù)對IT有較強(qiáng)的依賴性，并且將受到劣質(zhì)IT服務(wù)質(zhì)量的負(fù)面影響。IT運營管理并非不重要，在IT應(yīng)用生命周期中，運營階段通常有32如圖2所示，一個服務(wù)從開發(fā)到上線實施可能只需要一年的時間，卻有3到6年甚至更長的時間來運行維護(hù)?！梢钥闯鲞\營階段非常重要，是IT應(yīng)用生命周期的關(guān)鍵階段，如果在這個階段中沒有任何指南作為管理參考，就有可能造成IT投資的浪費、IT服務(wù)的不可靠、反應(yīng)速度慢和質(zhì)量低下。如圖2所示，一個服務(wù)從開發(fā)到上線實施可能只需要一年的時間，卻33IT服務(wù)管理的“圣經(jīng)”：ITILCCTA——CentralComputer&TelecommunicationsAgencyCCTA發(fā)布了IT服務(wù)管理的最佳實踐―ITILITIL——ITInfrastructureLibrary，IT基礎(chǔ)設(shè)施庫這是一套系列書籍（其中最早的一本于1998年出版），基于最佳實踐，在提供符合業(yè)務(wù)部門要求的IT服務(wù)方面，給出了通用的指導(dǎo)。IT服務(wù)管理的“圣經(jīng)”：ITILCCTA34ITIL基本特點公共框架、開源標(biāo)準(zhǔn)

。ITIL是根據(jù)實踐而不是基于理論開發(fā)的。事實上的國際標(biāo)準(zhǔn)以流程為導(dǎo)向，以客戶滿意和服務(wù)品質(zhì)為核心。ITIL基本特點公共框架、開源標(biāo)準(zhǔn)。35ITIL內(nèi)容體系ITIL將IT服務(wù)管理分為十個核心流程和一項管理職能。十個核心流程服務(wù)級別管理IT服務(wù)財務(wù)管理能力管理IT服務(wù)持續(xù)性管理可用性管理配置管理變更管理發(fā)布管理事件管理問題管理服務(wù)臺一項管理職能ITIL內(nèi)容體系ITIL將IT服務(wù)管理分為十個核心流程和一項36ITIL把10個核心流程和管理職能劃分為兩組：——前5個流程（圖3的上半部分）屬于服務(wù)提供流程；——后5個流程和服務(wù)臺職能（圖3的下半部分）屬于服務(wù)支持流程。ITIL把10個核心流程和管理職能劃分為兩組：37服務(wù)提供流程服務(wù)提供流程主要面向為服務(wù)付費的機(jī)構(gòu)和個人客戶（Customer）。任務(wù)根據(jù)組織的業(yè)務(wù)需求，對服務(wù)能力、持續(xù)性、可用性等服務(wù)級別目標(biāo)進(jìn)行規(guī)劃和設(shè)計?？紤]實現(xiàn)這些服務(wù)目標(biāo)所需要耗費的成本。服務(wù)提供流程服務(wù)提供流程主要面向為服務(wù)付費的機(jī)構(gòu)和個人客戶（38服務(wù)提供所包括的5個核心流程均屬于戰(zhàn)術(shù)層次的服務(wù)管理流程,它們的關(guān)系如下圖4。圖4服務(wù)提供流程服務(wù)提供所包括的5個核心流程均屬于戰(zhàn)術(shù)層次的服務(wù)管理流程,它39服務(wù)支持流程服務(wù)支持流程主要面向用戶（End-Users），用于確保用戶得到適當(dāng)?shù)姆?wù)以支持組織的業(yè)務(wù)功能，確保IT服務(wù)提供方（Provider）所提供的服務(wù)質(zhì)量，符合服務(wù)級別協(xié)議（SLA）的要求。服務(wù)支持流程服務(wù)支持流程主要面向用戶（End-Users），40服務(wù)支持中的5個流程屬于運營層次的服務(wù)管理流程,它們間的關(guān)系見圖5。圖5服務(wù)支持流程服務(wù)支持中的5個流程屬于運營層次的服務(wù)管理流程,它們間的關(guān)41ITIL從戰(zhàn)術(shù)和運營角度描述了IT如何與業(yè)務(wù)整合。圖6IT與業(yè)務(wù)的整合在戰(zhàn)術(shù)層,業(yè)務(wù)部門的客戶需求通過服務(wù)級別管理與IT部門達(dá)成共識；在運營層，業(yè)務(wù)部門的終端用戶通過服務(wù)臺這一接口統(tǒng)一與IT部門取得聯(lián)系。ITIL從戰(zhàn)術(shù)和運營角度描述了IT如何與業(yè)務(wù)整合。圖6IT42服務(wù)提供流程SLM---SLA可用性管理能力管理財務(wù)管理業(yè)務(wù)連續(xù)性管理服務(wù)提供流程SLM---SLA43服務(wù)級別管理(SLM)概述SLM——"量體裁衣"的流程SLM所要達(dá)到的目標(biāo)——根據(jù)客戶的業(yè)務(wù)需求和相關(guān)的成本預(yù)算，制定恰當(dāng)?shù)姆?wù)級別目標(biāo)，并將其以服務(wù)級別協(xié)議的形式確定下來。服務(wù)級別管理(SLM)概述——根據(jù)客戶的業(yè)務(wù)需求和相關(guān)的成本44為了真正了解客戶的業(yè)務(wù)需求，服務(wù)級別經(jīng)理必須做到：和業(yè)務(wù)方（用戶和客戶）進(jìn)行全面溝通。調(diào)查用戶和客戶對當(dāng)前服務(wù)級別的體驗，并在此基礎(chǔ)上幫助客戶分析和梳理那些真實存在卻又尚未明確的業(yè)務(wù)需求。結(jié)合相關(guān)的IT成本進(jìn)一步確定組織對IT服務(wù)的有效需求，從而抑制客戶在設(shè)備和技術(shù)方面"高消費"的欲望，為組織節(jié)約成本，提高IT投資的效益。為了真正了解客戶的業(yè)務(wù)需求，服務(wù)級別經(jīng)理必須做到：45SLM：連接IT服務(wù)部門和客戶的紐帶服務(wù)級別管理流程是IT服務(wù)部門面向業(yè)務(wù)部門（客戶）的一個窗口。服務(wù)級別管理——解決IT服務(wù)部門和用戶雙方問題最有效的方式。制定服務(wù)級別協(xié)議——有效地管理IT服務(wù)部門和用戶雙方的期望。SLM：連接IT服務(wù)部門和客戶的紐帶服務(wù)級別管理流程是IT服46服務(wù)級別協(xié)議體系：服務(wù)級別管理的"導(dǎo)航圖"服務(wù)級別協(xié)議體系服務(wù)級別協(xié)議運作級別協(xié)議支持合同是IT服務(wù)企業(yè)與客戶就服務(wù)提供與支持過程中，關(guān)鍵服務(wù)目標(biāo)及雙方的責(zé)任等問題協(xié)商一致后所達(dá)成的協(xié)議。是指IT服務(wù)企業(yè)內(nèi)部某個具體的IT職能部門或崗位，就某個具體的IT服務(wù)項目的服務(wù)提供和支持所達(dá)成的協(xié)議。是指IT服務(wù)企業(yè)與外部供應(yīng)商，就某一特定服務(wù)項目的提供與支持所簽訂的協(xié)議。服務(wù)級別協(xié)議體系：服務(wù)級別管理的"導(dǎo)航圖"服務(wù)級別協(xié)議體系服47服務(wù)級別管理是一個動態(tài)的過程服務(wù)級別管理是個動態(tài)的過程，主要有兩層含義：其一，服務(wù)級別管理流程的實施過程本身是一個循環(huán)滾動的過程。其二，服務(wù)級別管理貫穿于整個IT服務(wù)運作的全過程。服務(wù)級別管理是一個動態(tài)的過程服務(wù)級別管理是個動態(tài)的過程，主要48SLM---SLA可用性管理能力管理財務(wù)管理業(yè)務(wù)連續(xù)性管理服務(wù)提供流程SLM---SLA服務(wù)提供流程49提出背景企業(yè)和機(jī)構(gòu)的業(yè)務(wù)運作對IT基礎(chǔ)架構(gòu)和IT服務(wù)可用性的依賴性增強(qiáng)。不可用的IT基礎(chǔ)架構(gòu)和IT服務(wù)將直接導(dǎo)致這些企業(yè)或機(jī)構(gòu)的服務(wù)品質(zhì)的下降或業(yè)務(wù)運作的中斷。對IT基礎(chǔ)架構(gòu)和IT服務(wù)進(jìn)行可用性管理，是提高保證服務(wù)品質(zhì)、降低服務(wù)成本的有效途徑。提出背景企業(yè)和機(jī)構(gòu)的業(yè)務(wù)運作對IT基礎(chǔ)架構(gòu)和IT服務(wù)可用性的50可用性管理涵義可用性管理（AvailabilityManagement）——是指從可用性角度對IT基礎(chǔ)架構(gòu)和IT服務(wù)進(jìn)行設(shè)計、實施、評價和管理，以確保持續(xù)地滿足業(yè)務(wù)的可用性需求的服務(wù)管理流程。可用性管理涵義可用性管理（AvailabilityMana51服務(wù)級別目標(biāo)

vs可用性級別目標(biāo)

服務(wù)級別目標(biāo)是從業(yè)務(wù)和客戶需求的角度進(jìn)行表述的，采用的是客戶易于理解的非技術(shù)性語言。可用性級別目標(biāo)雖然也是從客戶體驗的角度進(jìn)行衡量，但其表述方式更接近于技術(shù)指標(biāo)的層面。服務(wù)級別目標(biāo)和可用性級別目標(biāo)的確定是一個互動循環(huán)的過程服務(wù)級別目標(biāo)vs可用性級別目標(biāo)服務(wù)級別目標(biāo)是從52可用性管理內(nèi)容可用性管理支持可用性目標(biāo)的實現(xiàn)體現(xiàn)在事前支持、事中支持和事后支持三個方面。事前支持事中支持事后支持——可用性需求分析和可用性設(shè)計——定期進(jìn)行預(yù)防性維護(hù)管理，對IT基礎(chǔ)架構(gòu)和IT服務(wù)的可用性進(jìn)行監(jiān)控?！捎眯怨芾砹鞒踢\作信息反饋可用性管理內(nèi)容可用性管理支持可用性目標(biāo)的實現(xiàn)體現(xiàn)在事前支持、53SLM---SLA可用性管理能力管理財務(wù)管理業(yè)務(wù)連續(xù)性管理服務(wù)提供流程SLM---SLA服務(wù)提供流程54能力管理概述能力管理流程的實施主要圍繞以下三方面的問題展開：維持現(xiàn)有IT服務(wù)能力的成本相對于組織的業(yè)務(wù)需求而言是合理的嗎？現(xiàn)有的IT服務(wù)能力能滿足當(dāng)前及將來的客戶需求嗎？現(xiàn)有的IT服務(wù)能力發(fā)揮了其最佳效能嗎？Q&A能力管理概述能力管理流程的實施主要圍繞以下三方面的問題展開：55能力管理需要實現(xiàn)以下目標(biāo)：分析當(dāng)前的業(yè)務(wù)需求和預(yù)測將來的業(yè)務(wù)需求，并確保這些需求在制定能力計劃時得到充分的考慮。確保當(dāng)前的IT資源能夠發(fā)揮最大的效能、提供最佳的服務(wù)品質(zhì)。確保組織的IT投資按計劃進(jìn)行，避免不必要的資源浪費。能力管理需要實現(xiàn)以下目標(biāo)：分析當(dāng)前的業(yè)務(wù)需求和預(yù)測將來的業(yè)務(wù)56能力管理內(nèi)容能力管理流程包括三個子流程：業(yè)務(wù)能力管理（BusinessCapacityManagement）服務(wù)能力管理（ServiceCapacityManagement）資源能力管理（ResourceCapacityManagement）——主要關(guān)注組織未來業(yè)務(wù)對IT服務(wù)的需求，并確保這種未來的需求在制定能力計劃時得到充分考慮?！P(guān)注的是現(xiàn)有的IT服務(wù)品質(zhì)能否達(dá)到服務(wù)級別協(xié)議中所確定的服務(wù)級別目標(biāo)?！饕P(guān)注IT基礎(chǔ)架構(gòu)中每個組件的能力和使用情況，并確保IT基礎(chǔ)架構(gòu)的能力足以支持服務(wù)級別目標(biāo)的實現(xiàn)。能力管理內(nèi)容能力管理流程包括三個子流程：業(yè)務(wù)能力管理（Bus57三個子流程之間的關(guān)系三個子流程之間的關(guān)系58SLM---SLA可用性管理能力管理財務(wù)管理業(yè)務(wù)連續(xù)性管理服務(wù)提供流程SLM---SLA服務(wù)提供流程59“信息悖論”如今，人們已經(jīng)認(rèn)識到信息技術(shù)對于企業(yè)發(fā)展的戰(zhàn)略意義。

可是，精良的設(shè)備和先進(jìn)的技術(shù)有時并沒有為企業(yè)創(chuàng)造實實在在的效益、提升企業(yè)的競爭力。相反，那些昂貴的“系統(tǒng)”常常讓他們騎虎難下。這種尷尬和無奈就是專家們所指的“信息悖論”?！靶畔Ｕ摗比缃?，人們已經(jīng)認(rèn)識到信息技術(shù)對于企業(yè)發(fā)展的戰(zhàn)略意60走出“信息悖論”的沼澤地如何走出這“信息悖論”的沼澤地呢？管理重于技術(shù)Q&AIT服務(wù)財務(wù)管理作為戰(zhàn)術(shù)性的服務(wù)管理流程，可以解決IT投資預(yù)算、IT成本、效益核算和投資評價等問題，從而為高層管理提供決策支持。走出“信息悖論”的沼澤地如何走出這“信息悖論”的沼澤地呢？管61IT服務(wù)財務(wù)管理“三步曲”IT服務(wù)財務(wù)管理流程，是負(fù)責(zé)對IT服務(wù)運作過程中所涉及的所有資源進(jìn)行貨幣化管理的流程。其包括三個子流程：投資預(yù)算服務(wù)計費會計核算這三個子流程形成了一個IT服務(wù)項目量化管理的循環(huán)IT服務(wù)財務(wù)管理“三步曲”IT服務(wù)財務(wù)管理流程，是負(fù)責(zé)對I62主要目的——是對IT投資項目進(jìn)行事前規(guī)劃和控制。通過預(yù)算，可以幫助高層管理人員預(yù)測IT項目的經(jīng)濟(jì)可行性，也可以作為IT服務(wù)實施和運作過程中控制的依據(jù)。投資預(yù)算主要目的——是對IT投資項目進(jìn)行事前規(guī)劃和控制。投資預(yù)算63主要目標(biāo)——通過量化IT服務(wù)運作過程中所耗費的成本和收益，為IT服務(wù)管理人員提供考核依據(jù)和決策信息。會計核算該子流程所包括的活動主要有：IT服務(wù)項目成本核算投資評價差異分析和處理主要目標(biāo)——通過量化IT服務(wù)運作過程中所耗費的成本和收益，為64IT服務(wù)計費子流程是負(fù)責(zé)向使用IT服務(wù)的客戶收取相應(yīng)費用的子流程。該子流程的順利運作需要以IT會計核算子流程為基礎(chǔ)。意義服務(wù)計費——通過構(gòu)建一個內(nèi)部市場并以價格機(jī)制作為合理配置資源的手段，使客戶和用戶自覺地將其真實的業(yè)務(wù)需求與服務(wù)成本結(jié)合起來，從而提高了IT投資的效率。IT服務(wù)計費子流程是負(fù)責(zé)向使用IT服務(wù)的客戶收取相應(yīng)費用的子65角色轉(zhuǎn)換&IT部門—技術(shù)支持中心成本中心利潤中心轉(zhuǎn)換當(dāng)IT部門被確立為一個成本中心時，對其IT支出和產(chǎn)出（服務(wù)）要進(jìn)行全面核算，并從客戶收費中收取補(bǔ)償。這種政策要求核算所有的付現(xiàn)和非付現(xiàn)成本，確認(rèn)IT服務(wù)運作的所有經(jīng)濟(jì)成本。作為利潤中心來運作的IT部門相當(dāng)于一個獨立的營利性組織，一般擁有完整的會計核算體系。在這種政策下，IT部門的管理者通?？梢韵褚粋€獨立運營的經(jīng)濟(jì)實體一樣，有足夠的自主權(quán)去管理IT部門，但其目標(biāo)必須由組織確定。角色轉(zhuǎn)換&IT部門—技術(shù)支持中心成本中心利潤中心轉(zhuǎn)換當(dāng)IT部66SLM---SLA可用性管理能力管理財務(wù)管理業(yè)務(wù)連續(xù)性管理服務(wù)提供流程SLM---SLA服務(wù)提供流程67本節(jié)內(nèi)容將在后面的章節(jié)《業(yè)務(wù)連續(xù)性管理》專門講解……本節(jié)內(nèi)容將在后面的章節(jié)《業(yè)務(wù)連續(xù)性管理》專門講解……68服務(wù)支持流程事件管理問題管理配置管理變更管理發(fā)布管理服務(wù)支持流程事件管理69事件管理事件處理流程：首先是服務(wù)臺作為所有事件的責(zé)任人，負(fù)責(zé)監(jiān)督已登記事件的解決過程。將不能立即解決的事件轉(zhuǎn)移給專家支持小組。專家組首先提供臨時性的解決辦法或補(bǔ)救措施以盡可能快地恢復(fù)服務(wù)，避免影響用戶正常工作。然后分析事故發(fā)生原因，制定解決方案以恢復(fù)服務(wù)水平協(xié)議所規(guī)定的級別。最后服務(wù)臺與客戶一道驗證方案實施效果并終止事件。事件管理事件處理流程：首先是服務(wù)臺作為所有事件的責(zé)任人，負(fù)責(zé)70事件處理流程圖：事件處理流程圖：71事件管理問題管理配置管理變更管理發(fā)布管理服務(wù)支持流程事件管理服務(wù)支持流程72問題管理問題管理指負(fù)責(zé)解決IT服務(wù)運營過程中遇到的所有問題的過程。問題管理包括問題處理和問題控制。其目標(biāo)在于將由于IT基礎(chǔ)架構(gòu)的錯誤而導(dǎo)致的問題和事件對業(yè)務(wù)產(chǎn)生的負(fù)面影響減小到最低，以及防止與這些錯誤有關(guān)的事件再次發(fā)生。問題管理問題管理指負(fù)責(zé)解決IT服務(wù)運營過程中遇到的所有問題的73事件管理問題管理配置管理變更管理發(fā)布管理服務(wù)支持流程事件管理服務(wù)支持流程74配置管理配置管理指識別和確認(rèn)系統(tǒng)的配置項、記錄并報告配置項狀態(tài)和變更請求、檢驗配置項的正確性和完整性等活動構(gòu)成的過程。配置管理配置管理指識別和確認(rèn)系統(tǒng)的配置項、記錄并報告配置項狀75服務(wù)臺配置管理“流程”控制中心“物理”控制中心作用是控制和協(xié)調(diào)各“服務(wù)管理流程”，以提供使客戶滿意的服務(wù)是控制和協(xié)調(diào)各“IT基礎(chǔ)架構(gòu)組件”，以使服務(wù)臺能夠控制和協(xié)調(diào)各流程，從而提供讓客戶滿意的服務(wù)。vs服務(wù)臺配置管理“流程”控制中心“物理”控制中心作用是控制和協(xié)76作為控制中心，配置管理需要解決三個方面的問題：為什么要控制（Why）控制的對象是誰（What）如何控制（How）作為控制中心，配置管理需要解決三個方面的問題：為什么要控制（77為什么要控制？配置管理作為一個控制中心，其主要目標(biāo)表現(xiàn)在四個方面：計量所有IT資產(chǎn)；為其它服務(wù)管理流程提供準(zhǔn)確信息；作為事故管理、變更管理和發(fā)布管理的基礎(chǔ)；驗證基礎(chǔ)架構(gòu)記錄的正確性并糾正發(fā)現(xiàn)的錯誤。為什么要控制？配置管理作為一個控制中心，其主要目標(biāo)表現(xiàn)在四個78通過實施配置管理流程，可為客戶和服務(wù)提供方帶來多方面的效益，例如：有效管理IT組件提供高質(zhì)量的IT服務(wù)更好地遵守法規(guī)幫助制定財務(wù)和費用計劃通過實施配置管理流程，可為客戶和服務(wù)提供方帶來多方面的效益，79控制什么？配置項配置項之間的關(guān)系配置管理控制對象配置項指基礎(chǔ)架構(gòu)組件或與基礎(chǔ)架構(gòu)有關(guān)的項，包括軟件、硬件和各種文檔。有了IT組件之間的關(guān)系，配置管理就可以對IT組件實行“主動”管理?？刂剖裁?？配置項配置項之配置管理控制對象配置項指基礎(chǔ)架構(gòu)組件80怎樣控制？控制過程分為四步：配置標(biāo)識配置項控制配置狀況報告配置驗證和評審確定配置項的范圍、屬性、標(biāo)識符、基準(zhǔn)線以及配置結(jié)構(gòu)和命名規(guī)范。怎樣控制？控制過程分為四步：配置標(biāo)識確定配置項的范圍、屬性、81怎樣控制？控制過程分為四步：配置標(biāo)識配置項控制配置狀況報告配置驗證和評審配置項控制指在正式建立配置文檔后對配置項變更進(jìn)行控制的各種活動，其包括：注冊新配置項及其版本；更新配置項記錄；許可證管理；撤銷或刪除配置項時存檔有關(guān)記錄；保護(hù)各種配置的完整性；定期檢查配置項以確保它的存在性和合規(guī)性并相應(yīng)更新配置管理數(shù)據(jù)庫。怎樣控制？控制過程分為四步：配置標(biāo)識配置項控制指在正式建立配82怎樣控制？控制過程分為四步：配置標(biāo)識配置項控制配置狀況報告配置驗證和評審配置狀況報告是指定期報告所有受控配置項的當(dāng)前狀態(tài)及其變更歷史，它可用來建立系統(tǒng)基準(zhǔn)線、跟蹤基準(zhǔn)線和發(fā)布版本之間的變動情況。怎樣控制？控制過程分為四步：配置標(biāo)識配置狀況報告是指定期報告83怎樣控制？控制過程分為四步：配置標(biāo)識配置項控制配置狀況報告配置驗證和評審配置驗證和評審是指一系列評價和審查以確認(rèn)配置項是否實際存在，以及是否在配置管理系統(tǒng)中正確地記錄了它們。怎樣控制？控制過程分為四步：配置標(biāo)識配置驗證和評審是指一系列84事件管理問題管理配置管理變更管理發(fā)布管理服務(wù)支持流程事件管理服務(wù)支持流程85變更管理定義變更管理是指在用IT服務(wù)的方法來管理與變更有關(guān)事件的過程，從而相應(yīng)地減少錯誤的發(fā)生。變更管理目的標(biāo)準(zhǔn)化的方法和程序用于有效快速處理變更所有的服務(wù)資產(chǎn)變更及它們的配置都被記錄在配置管理系統(tǒng)中優(yōu)化整體商業(yè)風(fēng)險變更管理范圍服務(wù)資產(chǎn)基線及其在整個服務(wù)生命周期的配置項變更管理定義變更管理是指在用IT服務(wù)的方法來管理與變更有關(guān)事86變更管理變更管理原則建立組織變更管理文化

變更管理流程與企業(yè)項目管理、利益相關(guān)者的變更管理流程要一致

職責(zé)分離

建立單一節(jié)點，減少沖突和潛在問題

防止生產(chǎn)環(huán)境中的未授權(quán)變更

和其他服務(wù)管理進(jìn)程一致從而可以追蹤變更、發(fā)現(xiàn)未授權(quán)變更

評估影響服務(wù)能力的變更的風(fēng)險和性能

流程的績效評估變更管理變更管理原則建立組織變更管理文化87變更管理流程圖變更管理流程圖88操作系統(tǒng)和應(yīng)用軟件應(yīng)有嚴(yán)格的變更管理控制,其內(nèi)容包括：重大變更的標(biāo)識和記錄。變更的策劃和測試。對這種變更的潛在影響的評估，包括安全影響。對建議變更的正式批準(zhǔn)程序。向所有有關(guān)人員傳達(dá)變更細(xì)節(jié)。返回程序，包括從不成功變更和未預(yù)料事態(tài)中退出和恢復(fù)的程序與職責(zé)。操作系統(tǒng)和應(yīng)用軟件應(yīng)有嚴(yán)格的變更管理控制,其內(nèi)容包括：重大變89事件管理問題管理配置管理變更管理發(fā)布管理服務(wù)支持流程事件管理服務(wù)支持流程90發(fā)布管理綜述發(fā)布是指經(jīng)過測試并導(dǎo)入實際應(yīng)用環(huán)境的新增或改進(jìn)的配置項的集合。發(fā)布管理負(fù)責(zé)計劃與實施IT服務(wù)的變更，并描述變更的各個方面。通過正規(guī)的實施變更流程及測試確保應(yīng)用系統(tǒng)的質(zhì)量。目標(biāo)任務(wù)發(fā)布管理綜述發(fā)布是指經(jīng)過測試并導(dǎo)入實際應(yīng)用環(huán)境的新增或改進(jìn)的91發(fā)布的類型：Delta發(fā)布(DeltaRelease)全發(fā)布（FullRelease）包發(fā)布(PackageRelease)是指僅僅對自上次全發(fā)布或Delta發(fā)布以來發(fā)布單元中實際發(fā)生變化或新增的那些配置項進(jìn)行發(fā)布的方式。是指同時構(gòu)建、測試、分發(fā)和實施發(fā)布單元的所有組件的發(fā)布方式。是指將一組軟件配置項以包的形式一起導(dǎo)入實際運作環(huán)境的發(fā)布方式。發(fā)布的類型：Delta發(fā)布全發(fā)布包發(fā)布是指僅僅對自上次全發(fā)布92發(fā)布的規(guī)劃：對版本的內(nèi)容、發(fā)布的時間階段、地理位置、業(yè)務(wù)單位和客戶等方面達(dá)成一致；產(chǎn)生和一個高層的發(fā)布日程安排；規(guī)劃所需的資源級別（包括人員加班）；在角色與職責(zé)上達(dá)成一致；制定失敗回退計劃；為發(fā)布制定一個質(zhì)量計劃；規(guī)劃支持小組和客戶對發(fā)布的驗收。發(fā)布的規(guī)劃：對版本的內(nèi)容、發(fā)布的時間階段、地理位置、業(yè)務(wù)單位93補(bǔ)丁發(fā)布基于ITIL思想的補(bǔ)丁管理策略包括4個重要階段：重要階段1：配置管理——對企業(yè)現(xiàn)有IT環(huán)境的詳細(xì)了解是補(bǔ)丁升級成功的第一步。重要階段2：風(fēng)險評估——企業(yè)可以在風(fēng)險評估這一階段對存在漏洞的系統(tǒng)進(jìn)行調(diào)查，并獲取補(bǔ)丁程序的信息。重要階段3：變更管理——在收到IT部門提出的變更請求后，企業(yè)指定的變更管理人就需要對變更請求進(jìn)行審核和批準(zhǔn)。重要階段4：發(fā)布管理——盡可能地減小新補(bǔ)丁程序?qū)Ξ?dāng)前業(yè)務(wù)和現(xiàn)有IT架構(gòu)的不利影響，并指導(dǎo)下屬部門進(jìn)行補(bǔ)丁程序的更新操作。補(bǔ)丁發(fā)布基于ITIL思想的補(bǔ)丁管理策略包括4個重要階段：重要94企業(yè)實施補(bǔ)丁管理策略的目的：提供一個統(tǒng)一的補(bǔ)丁升級流程，忽視設(shè)備或平臺間的差異。對信息資產(chǎn)、漏洞情況和補(bǔ)丁程序信息的掌握。提升企業(yè)對IT架構(gòu)的信心。企業(yè)實施補(bǔ)丁管理策略的目的：提供一個統(tǒng)一的補(bǔ)丁升級流程，忽視95實施基于ITIL的補(bǔ)丁管理策略的好處：使補(bǔ)丁升級的流程更具可重復(fù)性、可執(zhí)行性，同時也更為有效。按照業(yè)務(wù)的需求降低補(bǔ)丁升級的風(fēng)險。將企業(yè)IT應(yīng)用中常見的“哪里出問題就去哪里救火”的處置思想改進(jìn)為更有計劃和準(zhǔn)備的處置方法。在一個不斷改變的環(huán)境中依然能夠保證足夠的安全性，企業(yè)還能定時回顧并改進(jìn)流程本身。實施基于ITIL的補(bǔ)丁管理策略的好處：使補(bǔ)丁升級的流程更具可96信息資產(chǎn)管理信息服務(wù)管理信息系統(tǒng)監(jiān)控信息系統(tǒng)審計本講提綱信息資產(chǎn)管理本講提綱97信息系統(tǒng)監(jiān)控目標(biāo)檢測未經(jīng)授權(quán)的信息處理活動。應(yīng)監(jiān)視系統(tǒng)，記錄信息安全事態(tài)。應(yīng)使用操作員日志和故障日志以確保識別出信息系統(tǒng)的問題。要求信息系統(tǒng)監(jiān)控目標(biāo)檢測未經(jīng)授權(quán)的信息處理活動。應(yīng)監(jiān)視系統(tǒng)，記錄98信息系統(tǒng)監(jiān)控執(zhí)行監(jiān)控日志保護(hù)其他關(guān)鍵支持日志分類信息系統(tǒng)監(jiān)控執(zhí)行監(jiān)控日志保護(hù)其他關(guān)鍵支持日志分類99管理員和操作員日志系統(tǒng)管理員和系統(tǒng)操作員的活動應(yīng)記入日志。同時日志應(yīng)定期評審。管理員和操作者日志通常包括：事態(tài)（成功的或失敗的）發(fā)生的時間；關(guān)于事態(tài)（例如處理的文件）或故障的信息；涉及的帳號和管理員或操作員；涉及的過程。管理員和操作員日志系統(tǒng)管理員和系統(tǒng)操作員的活動應(yīng)記入日志。同100故障日志錯誤和故障日志記錄會影響系統(tǒng)的性能。因而，故障應(yīng)被記錄、分析，并采取適當(dāng)?shù)拇胧?。評審故障日志，以確保已滿意地解決故障；評審糾正措施，以確保沒有危及控制措施的安全，以及所采取的措施給予了充分授權(quán)。實施指南與信息處理或通信系統(tǒng)的問題有關(guān)的用戶或系統(tǒng)程序所報告的故障要加以記錄。故障處理規(guī)則故障日志錯誤和故障日志記錄會影響系統(tǒng)的性能。因而，故障應(yīng)被記101信息系統(tǒng)監(jiān)控執(zhí)行監(jiān)控日志保護(hù)其他關(guān)鍵支持日志分類信息系統(tǒng)監(jiān)控執(zhí)行監(jiān)控日志保護(hù)其他關(guān)鍵支持日志分類102審計日志審計日志包含入侵者和機(jī)密人員的敏感信息，應(yīng)采取適當(dāng)?shù)碾[私保護(hù)措施。應(yīng)產(chǎn)生記錄用戶活動、異常和信息安全事態(tài)的審計日志，并要保持一個已設(shè)的周期以支持將來的調(diào)查和訪問控制監(jiān)視。實施指南審計日志審計日志包含入侵者和機(jī)密人員的敏感信息，應(yīng)采取適當(dāng)?shù)?03審計日志包含內(nèi)容用戶ID日期、時間和關(guān)鍵事態(tài)的細(xì)節(jié)終端身份或位置對系統(tǒng)嘗試訪問的記錄對數(shù)據(jù)以及其他資源嘗試訪問的記錄系統(tǒng)配置的變化特殊權(quán)限的使用系統(tǒng)實用工具和應(yīng)用程序的使用訪問的文件和訪問類型網(wǎng)絡(luò)地址和協(xié)議訪問控制系統(tǒng)引發(fā)的警報防護(hù)系統(tǒng)的激活和停用審計日志包含內(nèi)容用戶ID日期、時間和關(guān)鍵事態(tài)的細(xì)節(jié)終端身份或104監(jiān)視系統(tǒng)的使用應(yīng)建立信息處理設(shè)施的監(jiān)視使用程序，并定期評審監(jiān)視活動的結(jié)果。必須使用監(jiān)視程序以確保用戶只執(zhí)行被明確授權(quán)的活動。各個設(shè)施的監(jiān)視級別應(yīng)由風(fēng)險評估決定。實施指南監(jiān)視系統(tǒng)的使用應(yīng)建立信息處理設(shè)施的監(jiān)視使用程序，并定期評審監(jiān)105監(jiān)視活動范圍：授權(quán)訪問所有特殊權(quán)限操作未授權(quán)的訪問嘗試系統(tǒng)警報或故障改變或企圖改變系統(tǒng)的安全設(shè)置和控制措施監(jiān)視活動范圍：授權(quán)訪問所有特殊權(quán)限操作未授權(quán)的訪問嘗試系統(tǒng)警106信息系統(tǒng)監(jiān)控執(zhí)行監(jiān)控日志保護(hù)其他關(guān)鍵支持日志分類信息系統(tǒng)監(jiān)控執(zhí)行監(jiān)控日志保護(hù)其他關(guān)鍵支持日志分類107日志保護(hù)系統(tǒng)日志通常包含大量的信息，如果其中的數(shù)據(jù)被修改或刪除，可能導(dǎo)致一個錯誤的安全判斷。因此，記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪問。日志保護(hù)系統(tǒng)日志通常包含大量的信息，如果其中的數(shù)據(jù)被修改或刪108日志設(shè)施被未授權(quán)更改或出現(xiàn)操作問題示例：更改已記錄的消息類型；日志文件被編輯或刪除；超越日志文件介質(zhì)存儲能力的界限，導(dǎo)致不能記錄事態(tài)或過去記錄事態(tài)被覆蓋。日志設(shè)施被未授權(quán)更改或出現(xiàn)操作問題示例：更改已記錄的消息類型109信息系統(tǒng)監(jiān)控執(zhí)行監(jiān)控日志保護(hù)其他關(guān)鍵支持日志分類信息系統(tǒng)監(jiān)控執(zhí)行監(jiān)控日志保護(hù)其他關(guān)鍵支持日志分類110時鐘同步正確設(shè)置計算機(jī)時鐘對確保審計記錄的準(zhǔn)確性是重要的，審計日志可用于調(diào)查或作為法律、法規(guī)案例的證據(jù)。不準(zhǔn)確的審計日志可能妨礙調(diào)查，并損害這種證據(jù)的可信性。一個組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘應(yīng)使用已設(shè)的精確時間源進(jìn)行同步?？刂拼胧r鐘同步正確設(shè)置計算機(jī)時鐘對確保審計記錄的準(zhǔn)確性是重要的，審111信息資產(chǎn)管理信息服務(wù)管理信息系統(tǒng)監(jiān)控信息系統(tǒng)審計本講提綱信息資產(chǎn)管理本講提綱112信息系統(tǒng)審計必要性主要內(nèi)容常用方法基本概念信息系統(tǒng)審計必要性主要內(nèi)容常用方法基本概念113信息系統(tǒng)審計的基本概念信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標(biāo)的過程——RonWeber,

1999為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的IT審計師，以第二方的客觀立場對以計算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評價，向IT審計對象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串的活動。——日本通產(chǎn)省，1996IS審計是指對信息系統(tǒng)從計劃、研發(fā)、實施到運行維護(hù)各個過程進(jìn)行審查與評價的活動，以審查企業(yè)信息系統(tǒng)是否安全、可靠、有效，保證信息系統(tǒng)得出準(zhǔn)確可靠的數(shù)據(jù)?！嚿凫`，2002信息系統(tǒng)審計的基本概念信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判114信息系統(tǒng)審計的基本概念通過以上概念的辨析，我們可將“信息系統(tǒng)審計”界定為：是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測、評估和控制的過程，以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實現(xiàn)。信息系統(tǒng)審計信息系統(tǒng)審計的基本概念通過以上概念的辨析，我們可將“信息系統(tǒng)115信息系統(tǒng)審計必要性主要內(nèi)容常用方法基本概念信息系統(tǒng)審計必要性主要內(nèi)容常用方法基本概念116實行信息系統(tǒng)審計的必要性信息系統(tǒng)審計是保證信息系統(tǒng)質(zhì)量的重要工具。信息系統(tǒng)審計是企業(yè)信息化發(fā)展的必然要求。信息化建設(shè)的效益需要信息系統(tǒng)審計。信息系統(tǒng)審計有利于維護(hù)信息時代的市場經(jīng)濟(jì)秩序。實行信息系統(tǒng)審計的必要性信息系統(tǒng)審計是保證信息系統(tǒng)質(zhì)量的重要117信息系統(tǒng)審計必要性主要內(nèi)容常用方法基本概念信息系統(tǒng)審計必要性主要內(nèi)容常用方法基本概念118信息系統(tǒng)審計的主要內(nèi)容信息系統(tǒng)的審計內(nèi)容主要包括：信息系統(tǒng)開發(fā)過程審計信息系統(tǒng)內(nèi)部控制的評價信息系統(tǒng)應(yīng)用程序?qū)徲嬓畔⑾到y(tǒng)數(shù)據(jù)文件審計信息系統(tǒng)審計的主要內(nèi)容信息系統(tǒng)的審計內(nèi)容主要包括：信息系統(tǒng)開119信息系統(tǒng)審計必要性主要內(nèi)容常用方法基本概念信息系統(tǒng)審計必要性主要內(nèi)容常用方法基本概念120信息系統(tǒng)審計的常用方法在信息系統(tǒng)審計工作中常用的審計技術(shù)有:測試數(shù)據(jù)法綜合測試工具法系統(tǒng)控制審計評審文件法快拍技術(shù)平行模擬法測試數(shù)據(jù)法是指由審計人員將預(yù)先設(shè)計好的測試數(shù)據(jù)(包括正常的、有效的業(yè)務(wù)數(shù)據(jù)和不正常的、無效的業(yè)務(wù)數(shù)據(jù))輸入被測試程序加以處理，并將處理結(jié)果與事先計算的結(jié)果進(jìn)行對比分析，從而驗證有關(guān)應(yīng)用程序處理邏輯和控制的有效性、可靠性和完整性的方法。信息系統(tǒng)審計的常用方法在信息系統(tǒng)審計工作中常用的審計技術(shù)有:121信息系統(tǒng)審計的常用方法在信息系統(tǒng)審計工作中常用的審計技術(shù)有:測試數(shù)據(jù)法綜合測試工具法系統(tǒng)控制審計評審文件法快拍技術(shù)平行模擬法綜合測試工具是應(yīng)用程序在系統(tǒng)的開發(fā)過程中設(shè)計的一個或多個模塊，它的原理是在應(yīng)用系統(tǒng)中嵌入ITF模塊處理審計測試數(shù)據(jù)，然后將測試結(jié)果與預(yù)期結(jié)果進(jìn)行對照分析，從而核實處理過程的真實性、正確性和完整性，它能夠使審計人員在應(yīng)用程序的正常操作過程中測試程序的內(nèi)部邏輯和控制。信息系統(tǒng)審計的常用方法在信息系統(tǒng)審計工作中常用的審計技術(shù)有:122信息系統(tǒng)審計的常用方法在信息系統(tǒng)審計工作中常用的審計技術(shù)有:測試數(shù)據(jù)法綜合測試工具法系統(tǒng)控制審計評審文件法快拍技術(shù)平行模擬法系統(tǒng)控制審計評審文件法也稱為嵌入審計程序法，是指預(yù)先在應(yīng)用系統(tǒng)的重要控制點上嵌入審計軟件對系統(tǒng)中的事務(wù)進(jìn)行連續(xù)監(jiān)控，收集有關(guān)系統(tǒng)事務(wù)及其處理的重要信息，并存放在一個特殊的審計文件——SCARF主文件中，審計人員通過審查該文件提取審計證據(jù)從而判斷被審計程序的處理和控制功能的可靠性。信息系統(tǒng)審計的常用方法在信息系統(tǒng)審計工作中常用的審計技術(shù)有:123信息系統(tǒng)審計的常用方法在信息系統(tǒng)審計工作中常用的審計技術(shù)有:測試數(shù)據(jù)法綜合測試工具法系統(tǒng)控制審計評審文件法快拍技術(shù)平行模擬法快拍技術(shù)也稱為程序追蹤法，是指在應(yīng)用系統(tǒng)中的重要處理點嵌入可以“拍照”的審計程序，當(dāng)事務(wù)流經(jīng)應(yīng)用系統(tǒng)時嵌入式審計軟件可以“捕獲”事務(wù)的前映像和后映像，通過檢驗前映像和后映像及其轉(zhuǎn)換情況，據(jù)以評價應(yīng)用系統(tǒng)事務(wù)處理的真實性、正確性和完整性。信息系統(tǒng)審計的常用方法在信息系統(tǒng)審計工作中常用的審計技術(shù)有:124信息系統(tǒng)審計的常用方法在信息系統(tǒng)審計工作中常用的審計技術(shù)有:測試數(shù)據(jù)法綜合測試工具法系統(tǒng)控制審計評審文件法快拍技術(shù)平行模擬法平行模擬法就是由審計人員編寫一個具有被審程序的關(guān)鍵特征和相同處理控制功能的模擬程序，用它來重新處理以前已經(jīng)由被審計程序處理過的各種交易，并將從模擬審計程序中獲得的處理結(jié)果與原始程序的結(jié)果進(jìn)行比較，從而評價被審計程序是否可靠的方法。信息系統(tǒng)審計的常用方法在信息系統(tǒng)審計工作中常用的審計技術(shù)有:125信息及相關(guān)技術(shù)控制目標(biāo)（COBIT）由信息系統(tǒng)審計和控制協(xié)會（ISACF）于1996年發(fā)布國際通用的信息系統(tǒng)審計標(biāo)準(zhǔn)，為信息系統(tǒng)審計和治理提供一整套的控制目標(biāo)、管理措施、審計指南等。把IT劃分為4個域，并進(jìn)一步細(xì)分為34個流程：規(guī)劃與組織（PO）獲取與實施（AI）交付與支持（DS）監(jiān)控（M）評估風(fēng)險確保持續(xù)的服務(wù)保證系統(tǒng)安全安全審計信息及相關(guān)技術(shù)控制目標(biāo)（COBIT）由信息系統(tǒng)審計和控制協(xié)會126

IT治理

信息

監(jiān)控IT資源

交付與支持

獲得與實施

規(guī)劃與組織

COBIT

組織戰(zhàn)略目標(biāo)COBIT模型IT治理信息監(jiān)控IT資源交付與支持獲得與實施規(guī)127COBIT的4個域，34個IT處理流程1規(guī)劃與組織POPO1制定IT戰(zhàn)略規(guī)劃PO2確定信息體系結(jié)構(gòu)PO3確定技術(shù)方向PO4定義IT組織與關(guān)系PO5管理IT資產(chǎn)PO6溝通管理目標(biāo)與方向PO7人力資源管理PO8確保符合外部需求PO9風(fēng)險評估PO10項目管理PO11質(zhì)量管理2獲取與實施AIAI1確定自動化解決方案AI2獲取并維護(hù)應(yīng)用軟件AI3獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施AI4程序開發(fā)與維護(hù)AI5系統(tǒng)安裝與鑒定AI6變更管理3交付與支持DSDS1定義并管理服務(wù)水平DS2管理第三方服務(wù)DS3性能管理與容量管理DS4確保服務(wù)的連續(xù)性DS5確保系統(tǒng)安全DS6確定并分配成本DS7教育并培訓(xùn)用戶DS8為客戶提供幫助和建議DS9配置管理DS10問題管理和突發(fā)事件管理DS11數(shù)據(jù)管理DS12設(shè)施管理DS13操作管理4監(jiān)控MMI過程監(jiān)控M2評價內(nèi)部控制的適當(dāng)性M3確保獨立性鑒定M4提供獨立性審計COBIT的4個域，34個IT處理流程1規(guī)劃與組織128COBIT產(chǎn)品家族分類：

執(zhí)行概要

高級控制目標(biāo)框架

實施工具集

管理指南

具體控制目標(biāo)

審計指南

關(guān)鍵成功因素、關(guān)鍵目標(biāo)指標(biāo)與關(guān)鍵績效指標(biāo)

成熟度模型COBIT產(chǎn)品家族分類：執(zhí)行概要高級控制目標(biāo)框架實施工129本講小結(jié)信息系統(tǒng)運維相關(guān)內(nèi)容：資產(chǎn)管理安全運維監(jiān)控審計問題：討論信息安全與信息系統(tǒng)運維如何結(jié)合？理解COBIT及與安全的關(guān)系。本講小結(jié)信息系統(tǒng)運維相關(guān)內(nèi)容：130ThankYou!ThankYou!131第9講信息系統(tǒng)安全運維第9講信息系統(tǒng)安全運維132信息資產(chǎn)管理信息服務(wù)管理信息系統(tǒng)監(jiān)控信息系統(tǒng)審計本講提綱信息資產(chǎn)管理本講提綱133信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)軟件資產(chǎn)許可介質(zhì)管理對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)134什么是信息資產(chǎn)信息可以理解為消息、情報、數(shù)據(jù)或知識，它可以以多種形式存在。ISO17799中，對信息的定義更確切、具體：——信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，對組織具有價值，因此需要妥善保護(hù)。存在形式：信息設(shè)施中的存儲與處理、打印、手寫、膠片上或會話中。什么是信息資產(chǎn)信息可以理解為消息、情報、數(shù)據(jù)或知識，它可以以135數(shù)據(jù)與文檔物理資產(chǎn)企業(yè)形象與聲譽(yù)人員服務(wù)軟件資產(chǎn)ISO17799列出了常見信息資產(chǎn)書面文件數(shù)據(jù)與文檔物理資產(chǎn)企業(yè)形象與聲譽(yù)人員服務(wù)軟件資產(chǎn)ISO177136信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)軟件資產(chǎn)許可介質(zhì)管理對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)137對資產(chǎn)負(fù)責(zé)要實現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護(hù)，需對于所有資產(chǎn)要指定責(zé)任人，并且要賦予保持相應(yīng)控制措施的職責(zé)。編制資產(chǎn)清單資產(chǎn)責(zé)任人對資產(chǎn)負(fù)責(zé)主要從以下兩個方面考慮：對資產(chǎn)負(fù)責(zé)要實現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護(hù)，需對于所有資產(chǎn)要138編制資產(chǎn)清單編制資產(chǎn)清單具體措施如下：組織應(yīng)列出資產(chǎn)清單，將每項資產(chǎn)的名稱、所處位置、價值、資產(chǎn)負(fù)責(zé)人等相關(guān)信息記錄在資產(chǎn)清單上。對每一項信息資產(chǎn)，組織的管理者應(yīng)指定專人負(fù)責(zé)其使用和保護(hù)，防止資產(chǎn)被盜、丟失與濫用。根據(jù)資產(chǎn)的相對價值大小來確定關(guān)鍵信息資產(chǎn)，并對其進(jìn)行風(fēng)險評估以確定適當(dāng)?shù)目刂拼胧?。定期對信息資產(chǎn)進(jìn)行清查盤點，確保資產(chǎn)賬物相符和完好不損。編制資產(chǎn)清單編制資產(chǎn)清單具體措施如下：組織應(yīng)列出資產(chǎn)清單，將139資產(chǎn)責(zé)任人與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部門或人員承擔(dān)責(zé)任。資產(chǎn)責(zé)任人應(yīng)負(fù)責(zé)：確保與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進(jìn)行了適當(dāng)?shù)姆诸悾淮_定并周期性評審訪問限制和分類，要考慮到可應(yīng)用的訪問控制策略。資產(chǎn)責(zé)任人與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部140信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)軟件資產(chǎn)許可介質(zhì)管理信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)軟件資產(chǎn)許可141信息分類信息應(yīng)按照它對組織的價值、法律要求、敏感性和關(guān)鍵性予以分類。信息分類注意要點信息的保存期限信息的分類等級要合理誰對信息的分類負(fù)責(zé)信息分類信息應(yīng)按照它對組織的價值、法律要求、敏感性和關(guān)鍵性予142信息的標(biāo)記和處理分類信息的標(biāo)記和安全處理是信息共享的一個關(guān)鍵要求，應(yīng)按照組織所采納的分類機(jī)制建立和實施一組合適的信息標(biāo)記和處理程序。信息標(biāo)記與處理實施指南：信息標(biāo)記的程序需要涵蓋物理和電子格式的信息資產(chǎn)。對每種分類級別，要定義包括安全處理、儲存、傳輸、刪除、銷毀的處理程序。涉及信息共享的與其他組織的協(xié)議應(yīng)包括識別信息分類和解釋其他組織分類標(biāo)記的程序。信息的標(biāo)記和處理分類信息的標(biāo)記和安全處理是信息共享的一個關(guān)鍵143制定與分類一致的信息處理程序：按照所顯示的分類級別，處置和標(biāo)記所有介質(zhì)；確定防止未授權(quán)人員訪問的限制；維護(hù)數(shù)據(jù)的授權(quán)接收者的正式記錄；確保輸入數(shù)據(jù)完整，正確完成了處理并應(yīng)用了輸出驗證；按照與其敏感性一致的級別，保護(hù)等待輸出的假脫機(jī)數(shù)據(jù)；根據(jù)制造商的規(guī)范存儲介質(zhì)；使分發(fā)的數(shù)據(jù)最少；清晰地標(biāo)記數(shù)據(jù)的所有拷貝，以引起已授權(quán)接收者的關(guān)注；以固定的時間間隔評審分發(fā)列表和已授權(quán)接收者列表。制定與分類一致的信息處理程序：按照所顯示的分類級別，處置和標(biāo)144信息處理程序的實施對象文件移動計算郵件郵政服務(wù)/設(shè)施計算系統(tǒng)網(wǎng)絡(luò)多媒體移動通信通用話音通信話音郵件傳真機(jī)的使用空白支票發(fā)票信息處理程序的實施對象文件移動計算郵件郵政服務(wù)/設(shè)施計算系統(tǒng)145信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)軟件資產(chǎn)許可介質(zhì)管理信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)軟件資產(chǎn)許可146軟件資產(chǎn)許可應(yīng)使用合法軟件，嚴(yán)厲打擊使用盜版軟件行為。公司應(yīng)有檢測和處理非授權(quán)軟件措施，例如：定期檢查環(huán)境中所安裝的軟件。實施技術(shù)措施，防止非授權(quán)人員安裝非授權(quán)軟件。對有未授權(quán)行為的人員進(jìn)行教育，提升他們的信息安全意識。軟件資產(chǎn)許可應(yīng)使用合法軟件，嚴(yán)厲打擊使用盜版軟件行為。定期檢147信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)軟件資產(chǎn)許可介質(zhì)管理信息資產(chǎn)管理資產(chǎn)適當(dāng)保護(hù)對資產(chǎn)負(fù)責(zé)什么是信息資產(chǎn)軟件資產(chǎn)許可148介質(zhì)管理介質(zhì)應(yīng)受到控制和物理保護(hù)——應(yīng)建立適當(dāng)?shù)牟僮鞒绦?，使計算機(jī)介質(zhì)（如磁帶、磁盤）免遭未授權(quán)泄露、修改、刪除和破壞而導(dǎo)致業(yè)務(wù)活動的中斷。介質(zhì)管理介質(zhì)應(yīng)受到控制和物理保護(hù)——應(yīng)建立適當(dāng)?shù)牟僮鞒绦?，?49可移動介質(zhì)的管理可移動介質(zhì)的管理可移動介質(zhì)帶來的威脅可移動介質(zhì)泄密隱患分析可移動介質(zhì)處置措施可移動介質(zhì)的管理可移動介質(zhì)的管理可移動介質(zhì)帶來的威脅可移動介150可移動介質(zhì)帶來的威脅為了照顧生病的女友，322所研究人員谷雨生違反保密規(guī)定，將資料使用U盤拷貝回家，繼續(xù)工作。預(yù)謀已久的間諜趁谷雨生買早點的時間，打開他的電腦，將已被刪除掉的涉密數(shù)據(jù)進(jìn)行了恢復(fù)，并用U盤完成了拷貝竊取……案例：據(jù)統(tǒng)計，近年來，在國家有關(guān)部門發(fā)現(xiàn)和查處的泄密案件中，有多起是由于對移動存儲介質(zhì)使用管理不善造成的。利用移動存儲介質(zhì)存在的漏洞，也成為境內(nèi)外間諜組織竊取涉及國家秘密數(shù)據(jù)的重要手段之一?？梢苿咏橘|(zhì)帶來的威脅為了照顧生病的女友，322所研究人員谷雨151可移動介質(zhì)泄密隱患分析移動存儲介質(zhì)使用管理存在的安全隱患：1．管理制度不健全，造成失泄密。2．交叉使用，造成失泄密。3．?dāng)?shù)據(jù)清除不徹底，造成失泄密。4．保管不善，造成失泄密。可移動介質(zhì)泄密隱患分析移動存儲介質(zhì)使用管理存在的安全隱患：1152可移動介質(zhì)處置措施可移動介質(zhì)的管理指南：對從組織取走的任何可重用的介質(zhì)中的內(nèi)容，如果不再需要，應(yīng)使其不可重用；從組織取走的所有介質(zhì)應(yīng)要求授權(quán)，所有這種移動的記錄應(yīng)加以保持，以保持審核蹤跡；要將所有介質(zhì)存儲在符合制造商說明的安全、保密的環(huán)境中；應(yīng)將信息備份，以避免由于介質(zhì)老化而導(dǎo)致信息丟失；應(yīng)考慮可移動介質(zhì)的登記，以減少數(shù)據(jù)丟失的機(jī)會；只應(yīng)在有業(yè)務(wù)要求時，才使用可移動介質(zhì)?？梢苿咏橘|(zhì)處置措施可移動介質(zhì)的管理指南：對從組織取走的任何可153介質(zhì)的處置介質(zhì)處置介質(zhì)處置重要性介質(zhì)數(shù)據(jù)清除方式與介質(zhì)處置有關(guān)的信息泄漏威脅介質(zhì)處置控制介質(zhì)的處置介質(zhì)處置介質(zhì)處置重要性介質(zhì)數(shù)據(jù)清除方式與介質(zhì)處置有154介質(zhì)處置重要性公司常犯的一個錯誤，是將舊計算機(jī)及其硬盤、其他即將被替換的磁性存儲介質(zhì)、陳舊的設(shè)備，以及公司花費大量時間和金錢保護(hù)的數(shù)據(jù)，全部當(dāng)做垃圾處理掉。上述行為都可能導(dǎo)致介質(zhì)信息泄露的風(fēng)險！因此，“清洗”是介質(zhì)生命周期的最后一個階段。介質(zhì)處置重要性公司常犯的一個錯誤，是將舊計算機(jī)及其硬盤、其他155介質(zhì)數(shù)據(jù)清除方式常用的介質(zhì)數(shù)據(jù)清除方式有：歸零：是用某種方式覆寫介質(zhì)，確保它以前保存的

數(shù)據(jù)幾乎不可能被恢復(fù)。消磁：破壞磁帶或磁盤上保存有信息的磁條。破壞：打碎、粉碎、燒毀等。介質(zhì)數(shù)據(jù)清除方式常用的介質(zhì)數(shù)據(jù)清除方式有：歸零：是用某種方式156與介質(zhì)處置有關(guān)的信息泄露威脅數(shù)據(jù)剩磁：是那些保存后以某種方式清除的信息的剩余部分的物理表示法?！@些剩磁足夠使數(shù)據(jù)重組并恢復(fù)到可讀的形式。導(dǎo)致公司信息泄露，對公司安全造成威脅。與介質(zhì)處置有關(guān)的信息泄露威脅數(shù)據(jù)剩磁：是那些保存后以某種方式157介質(zhì)處置控制介質(zhì)安全處置措施：包含有敏感信息的介質(zhì)要秘密和安全地存儲和處置，例如，利用焚化或切碎的方法。應(yīng)有程序識別可能需要安全處置的項目。安排把所有介質(zhì)部件收集起來并進(jìn)行安全處置。應(yīng)選擇具有足夠控制措施和經(jīng)驗的合同方對紙、設(shè)備和介質(zhì)進(jìn)行收集和處置。處置敏感部件要做記錄，以便保持審核蹤跡。介質(zhì)處置控制介質(zhì)安全處置措施：包含有敏感信息的介質(zhì)要秘密和安158信息資產(chǎn)管理信息服務(wù)管理信息系統(tǒng)監(jiān)控信息系統(tǒng)審計本講提綱信息資產(chǎn)管理本講提綱159信息服務(wù)管理

1、信息服務(wù)管理概述2、ITIL內(nèi)容體系：兩大領(lǐng)域、十大流程、一項管理職能3、服務(wù)提供流程4、服務(wù)支持流程信息服務(wù)管理1、信息服務(wù)管理概述160ITIL產(chǎn)生的歷史背景自上個世紀(jì)60年代開始，IT如何高效地為人類和社會帶來效率便吸引著人們的眼球。“軟件危機(jī)”、“人月神話”、“軟件工程”等詞語便成了企業(yè)界和IT人關(guān)注的焦點。在眾多專家、學(xué)者、企業(yè)人士的不斷探索中，IT人創(chuàng)造了“OOA＆OOD”、“CMM”、“IT項目監(jiān)理”等我們耳熟能詳?shù)姆椒ㄕ?。ITIL產(chǎn)生的歷史背景自上個世紀(jì)60年代開始，IT如何高效地161ITIL產(chǎn)生的歷史背景然而，在眾多的方法論中，一個普遍的缺失是沒有一個IT運營管理階段（有時又稱為支持和維護(hù)階段）的詳細(xì)指南。圖1IT應(yīng)用生命周期圖ITIL產(chǎn)生的歷史背景然而，在眾多的方法論中，一個普遍的缺失162IT運營管理并非不重要，在IT應(yīng)用生命周期中，運營階段通常有以下兩個重要特點：

通常時間跨度最長；業(yè)務(wù)對IT有較強(qiáng)的依賴性，并且將受到劣質(zhì)IT服務(wù)質(zhì)量的負(fù)面影響。IT運營管理并非不重要，在IT應(yīng)用生命周期中，運營階段通常有163如圖2所示，一個服務(wù)從開發(fā)到上線實施可能只需要一年的時間，卻有3到6年甚至更長的時間來運行維護(hù)。——可以看出運營階段非常重要，是IT應(yīng)用生命周期的關(guān)鍵階段，如果在這個階段中沒有任何指南作為管理參考，就有可能造成IT投資的浪費、IT服務(wù)的不可靠、反應(yīng)速度慢和質(zhì)量低下。如圖2所示，一個服務(wù)從開發(fā)到上線實施可能只需要一年的時間，卻164IT服務(wù)管理的“圣經(jīng)”：ITILCCTA——CentralComputer&TelecommunicationsAgencyCCTA發(fā)布了IT服務(wù)管理的最佳實踐―ITILITIL——ITInfrastructureLibrary，IT基礎(chǔ)設(shè)施庫這是一套系列書籍（其中最早的一本于1998年出版），基于最佳實踐，在提供符合業(yè)務(wù)部門要求的IT服務(wù)方面，給出了通用的指導(dǎo)。IT服務(wù)管理的“圣經(jīng)”：ITILCCTA165ITIL基本特點公共框架、開源標(biāo)準(zhǔn)

。ITIL是根據(jù)實踐而不是基于理論開發(fā)的。事實上的國際標(biāo)準(zhǔn)以流程為導(dǎo)向，以客戶滿意和服務(wù)品質(zhì)為核心。ITIL基本特點公共框架、開源標(biāo)準(zhǔn)。166ITIL內(nèi)容體系ITIL將IT服務(wù)管理分為十個核心流程和一項管理職能。十個核心流程服務(wù)級別管理IT服務(wù)財務(wù)管理能力管理IT服務(wù)持續(xù)性管理可用性管理配置管理變更管理發(fā)布管理事件管理問題管理服務(wù)臺一項管理職能ITIL內(nèi)容體系ITIL將IT服務(wù)管理分為十個核心流程和一項167ITIL把10個核心流程和管理職能劃分為兩組：——前5個流程（圖3的上半部分）屬于服務(wù)提供流程；——后5個流程和服務(wù)臺職能（圖3的下半部分）屬于服務(wù)支持流程。ITIL把10個核心流程和管理職能劃分為兩組：168服務(wù)提供流程服務(wù)提供流程主要面向為服務(wù)付費的機(jī)構(gòu)和個人客戶（Customer）。任務(wù)根據(jù)組織的業(yè)務(wù)需求，對服務(wù)能力、持續(xù)性、可用性等服務(wù)級別目標(biāo)進(jìn)行規(guī)劃和設(shè)計?？紤]實現(xiàn)這些服務(wù)目標(biāo)所需要耗費的成本。服務(wù)提供流程服務(wù)提供流程主要面向為服務(wù)付費的機(jī)構(gòu)和個人客戶（169服務(wù)提供所包括的5個核心流程均屬于戰(zhàn)術(shù)層次的服務(wù)管理流程,它們的關(guān)系如下圖4。圖4服務(wù)提供流程服務(wù)提供所包括的5個核心流程均屬于戰(zhàn)術(shù)層次的服務(wù)管理流程,它170服務(wù)支持流程服務(wù)支持流程主要面向用戶（End-Users），用于確保用戶得到適當(dāng)?shù)姆?wù)以支持組織的業(yè)務(wù)功能，確保IT服務(wù)提供方（Provider）所提供的服務(wù)質(zhì)量，符合服務(wù)級別協(xié)議（SLA）的要求。服務(wù)支持流程服務(wù)支持流程主要面向用戶（End-Users），171服務(wù)支持中的5個流程屬于運營層次的服務(wù)管理流程,它們間的關(guān)系見圖5。圖5服務(wù)支持流程服務(wù)支持中的5個流程屬于運營層次的服務(wù)管理流程,它們間的關(guān)172ITIL從戰(zhàn)術(shù)和運營角度描述了IT如何與業(yè)務(wù)整合。圖6IT與業(yè)務(wù)的整合在戰(zhàn)術(shù)層,業(yè)務(wù)部門的客戶需求通過服務(wù)級別管理與IT部門達(dá)成共識；在運營層，業(yè)務(wù)部門的終端用戶通過服務(wù)臺這一接口統(tǒng)一與IT部門取得聯(lián)系。ITIL從戰(zhàn)術(shù)和運營角度描述了IT如何與業(yè)務(wù)整合。圖6IT173服務(wù)提供流程SLM---SLA可用性管理能力管理財務(wù)管理業(yè)務(wù)連續(xù)性管理服務(wù)提供流程SLM---SLA174服務(wù)級別管理(SLM)概述SLM——"量體裁衣"的流程SLM所要達(dá)到的目標(biāo)——根據(jù)客戶的業(yè)務(wù)需求和相關(guān)的成本預(yù)算，制定恰當(dāng)?shù)姆?wù)級別目標(biāo)，并將其以服務(wù)級別協(xié)議的形式確定下來。服務(wù)級別管理(SLM)概述——根據(jù)客戶的業(yè)務(wù)需求和相關(guān)的成本175為了真正了解客戶的業(yè)務(wù)需求，服務(wù)級別經(jīng)理必須做到：和業(yè)務(wù)方（用戶和客戶）進(jìn)行全面溝通。調(diào)查用戶和客戶對當(dāng)前服務(wù)級別的體驗，并在此基礎(chǔ)上幫助客戶分析和梳理那些真實存在卻又尚未明確的業(yè)務(wù)需求。結(jié)合相關(guān)的IT成本進(jìn)一步確定組織對IT服務(wù)的有效需求，從而抑制客戶在設(shè)備和技術(shù)方面"高消費"的欲望，為組織節(jié)約成本，提高IT投資的效益。為了真正了解客戶的業(yè)務(wù)需求，服務(wù)級別經(jīng)理必須做到：176SLM：連接IT服務(wù)部門和客戶的紐帶服務(wù)級別管理流程是IT服務(wù)部門面向業(yè)務(wù)部門（客戶）的一個窗口。服務(wù)級別管理——解決IT服務(wù)部門和用戶雙方問題最有效的方式。制定服務(wù)級別協(xié)議——有效地管理IT服務(wù)部門和用戶雙方的期望。SLM：連接IT服務(wù)部門和客戶的紐帶服務(wù)級別管理流程是IT服177服務(wù)級別協(xié)議體系：服務(wù)級別管理的"導(dǎo)航圖"服務(wù)級別協(xié)議體系服務(wù)級別協(xié)議運作級別協(xié)議支持合同是IT服務(wù)企業(yè)與客戶就服務(wù)提供與支持過程中，關(guān)鍵服務(wù)目標(biāo)及雙方的責(zé)任等問題協(xié)商一致后所達(dá)成的協(xié)議。是指IT服務(wù)企業(yè)內(nèi)部某個具體的IT職能部門或崗位，就某個具體的IT服務(wù)項目的服務(wù)提供和支持所達(dá)成的協(xié)議。是指IT服務(wù)企業(yè)與外部供應(yīng)商，就某一特定服務(wù)項目的提供與支持所簽訂的協(xié)議。服務(wù)級別協(xié)議體系：服務(wù)級別管理的"導(dǎo)航圖"服務(wù)級別協(xié)議體系服178服務(wù)級別管理是一個動態(tài)的過程服務(wù)級別管理是個動態(tài)的過程，主要有兩層含義：其一，服務(wù)級別管理流程的實施過程本身是一個循環(huán)滾動的過程。其二，服務(wù)級別管理貫穿于整個IT服務(wù)運作的全過程。服務(wù)級別管理是一個動態(tài)的過程服務(wù)級別管理是個動態(tài)的過程，主要179SLM---SLA可用性管理能力管理財務(wù)管理業(yè)務(wù)連續(xù)性管理服務(wù)提供流程SLM---SLA服務(wù)提供流程180提出背景企業(yè)和機(jī)構(gòu)的業(yè)務(wù)運作對IT基礎(chǔ)架構(gòu)和IT服務(wù)可用性的依賴性增強(qiáng)。不可用的IT基礎(chǔ)架構(gòu)和IT服務(wù)將直接導(dǎo)致這些企業(yè)或機(jī)構(gòu)的服務(wù)品質(zhì)的下降或業(yè)務(wù)運作的中斷。對IT基礎(chǔ)架構(gòu)和IT服務(wù)進(jìn)行可用性管理，是提高保證服務(wù)品質(zhì)、降低服務(wù)成本的有效途徑。提出背景企業(yè)和機(jī)構(gòu)的業(yè)務(wù)運作對IT基礎(chǔ)架構(gòu)和IT服務(wù)可用性的181可用性管理涵義可用性管理（AvailabilityManagement）——是指從可用性角度對IT基礎(chǔ)架構(gòu)和IT服務(wù)進(jìn)行設(shè)計、實施、評價和管理，以確保持續(xù)地滿足業(yè)務(wù)的可用性需求的服務(wù)管理流程?？捎眯怨芾砗x可用性管理（AvailabilityMana182服務(wù)級別目標(biāo)

vs可用性級別目標(biāo)

服務(wù)級別目標(biāo)是從業(yè)務(wù)和客戶需求的角度進(jìn)行表述的，采用的是客戶易于理解的非技術(shù)性語言?？捎眯约墑e目標(biāo)雖然也是從客戶體驗的角度進(jìn)行衡量，但其表述方式更接近于技術(shù)指標(biāo)的層面。服務(wù)級別目標(biāo)和可用性級別目標(biāo)的確定是一個互動循環(huán)的過程服務(wù)級別目標(biāo)vs可用性級別目標(biāo)服務(wù)級別目標(biāo)是從183可用性管理內(nèi)容可用性管理支持可用性目標(biāo)的實現(xiàn)體現(xiàn)在事前支持、事中支持和事后支持三個方面。事前支持事中支持事后支持——可用性需求分析和可用性設(shè)計——定期進(jìn)行預(yù)防性維護(hù)管理，對IT基礎(chǔ)架構(gòu)和IT服務(wù)的可用性進(jìn)行監(jiān)控?！捎眯怨芾砹鞒踢\作信息反饋可用性管理內(nèi)容可用性管理支持可用性目標(biāo)的實現(xiàn)體現(xiàn)在事前支持、184SLM---SLA可用性管理能力管理財務(wù)管理業(yè)務(wù)連續(xù)性管理服務(wù)提供流程SLM---SLA服務(wù)提供流程185能力管理概述能力管理流程的實施主要圍繞以下三方面的問題展開：維持現(xiàn)有IT服務(wù)能力的成本相對于組織的業(yè)務(wù)需求而言是合理的嗎？現(xiàn)有的IT服務(wù)能力能滿足當(dāng)前及將來的客戶需求嗎？現(xiàn)有的IT服務(wù)能力發(fā)揮了其最佳效能嗎？Q&A能力管理概述能力管理流程的實施主要圍繞以下三方面的問題展開：186能力管理需要實現(xiàn)以下目標(biāo)：分析當(dāng)前的業(yè)務(wù)需求和預(yù)測將來的業(yè)務(wù)需求，并確保這些需求在制定能力計劃時得到充分的考慮。確保當(dāng)前的IT資源能夠發(fā)揮最大的效能、提供最佳的服務(wù)品質(zhì)。確保組織的IT投資按計劃進(jìn)行，避免不必要的資源浪費。能力管理需要實現(xiàn)以下目標(biāo)：分析當(dāng)前的業(yè)務(wù)需求和預(yù)測將來的業(yè)務(wù)187能力管理內(nèi)容能力管理流程包括三個子流程：業(yè)務(wù)能力管理（BusinessCapacityManagement）服務(wù)能力管理（ServiceCapacityManagement）資源能力管理（ResourceCapacityManagement）——主要關(guān)注組織未來業(yè)務(wù)對IT服務(wù)的需求，并確保這種未來的需求在制定能力計劃時得到充分考慮。——關(guān)注的是現(xiàn)有的IT服務(wù)品質(zhì)能否達(dá)到服務(wù)級別協(xié)議中所確定的服務(wù)級別目標(biāo)。——主要關(guān)注IT基礎(chǔ)架構(gòu)中每個組件的能力和使用情況，并確保IT基礎(chǔ)架構(gòu)的能力足以支持服務(wù)級別目標(biāo)的實現(xiàn)。能力管理內(nèi)容能力管理流程包括三個子流程：業(yè)務(wù)能力管理（Bus188三個子流程之間的關(guān)系三個子流程之間的關(guān)系189SLM---SLA可用性管理能力管理財務(wù)管理業(yè)務(wù)連續(xù)性管理服務(wù)提供流程SLM---SLA服務(wù)提供流程190“信息悖論”如今，人們已經(jīng)認(rèn)識到信息技術(shù)對于企業(yè)發(fā)展的戰(zhàn)略意義。

可是，精良的設(shè)備和先進(jìn)的技術(shù)有時并沒有為企業(yè)創(chuàng)造實實在在的效益、提升企業(yè)的競爭力。相反，那些昂貴的“系統(tǒng)”常常讓他們騎虎難下。這種尷尬和無奈就是專家們所指的“信息悖論”?！靶畔Ｕ摗比缃瘢藗円呀?jīng)認(rèn)識到信息技術(shù)對于企業(yè)發(fā)展的戰(zhàn)略意191走出“信息悖論”的沼澤地如何走出這“信息悖論”的沼澤地呢？管理重于技術(shù)Q&AIT服務(wù)財務(wù)管理作為戰(zhàn)術(shù)性的服務(wù)管理流程，可以解決IT投資預(yù)算、IT成本、效益核算和投資評價等問題，從而為高層管理提供決策支持。走出“信息悖論”的沼澤地如何走出這“信息悖論”的沼澤地呢？管192IT服務(wù)財務(wù)管理“三步曲”IT服務(wù)財務(wù)管理流程，是負(fù)責(zé)對IT服務(wù)運作過程中所涉及的所有資源進(jìn)行貨幣化管理的流程。其包括三個子流程：投資預(yù)算服務(wù)計費會計核算這三個子流程形成了一個IT服務(wù)項目量化管理的循環(huán)IT服務(wù)財務(wù)管理“三步曲”IT服務(wù)財務(wù)管理流程，是負(fù)責(zé)對I193主要目的——是對IT投資項目進(jìn)行事前規(guī)劃和控制。通過預(yù)算，可以幫助高層管理人員預(yù)測IT項目的經(jīng)濟(jì)可行性，也可以作為IT服務(wù)實施和運作過程中控制的依據(jù)。投資預(yù)算主要目的——是對IT投資項目進(jìn)行事前規(guī)劃和控制。投資預(yù)算194主要目標(biāo)——通過量化IT服務(wù)運作過程中所耗費的成本和收益，為IT服務(wù)管理人員提供考核依據(jù)和決策信息。會計核算該子流程所包括的活動主要有：IT服務(wù)項目成本核算投資評價差異分析和處理主要目標(biāo)——通過量化IT服務(wù)運作過程中所耗費的成本和收益，