आईटीआईएल सुरक्षा प्रबंधन

आईटीआईएल सुरक्षा प्रबंधन संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है। आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक संकटों के संदर्भ में प्रलेखित सूचना सुरक्षा प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, संचालन, मॉनिटरिंग, ​​​​समीक्षा, निरीक्षण और संशोधन के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों अथवा उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो इनफार्मेशन एसेट्स की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं।

सुरक्षा प्रबंधन की मूल अवधारणा सूचना सुरक्षा है। सूचना सुरक्षा का प्राथमिक लक्ष्य सूचना के एक्सेस को नियंत्रित करना है। सूचना का मूल्य वह है जिसे संरक्षित किया जाना चाहिए। इन मूल्यों में गोपनीयता, अखंडता और उपलब्धता सम्मिलित हैं। अनुमानित स्वरुप गोपनीयता, अनामिता और सत्यापनीयता हैं।

सुरक्षा प्रबंधन का लक्ष्य दो भागों के अंतर्गत आता है:


 * सेवा-स्तरीय अनुबंध (एसएलए) और अन्य बाह्य आवश्यकताओं में परिभाषित सुरक्षा आवश्यकताएं जो अनुबंध, नियम और संभावित आंतरिक अथवा बाह्य अधिरोपित नीतियों को रेखांकित करने में निर्दिष्ट हैं।
 * मूल सुरक्षा जो प्रबंधन की निरंतरता का आश्वासन देती है। सूचना सुरक्षा के लिए सरलीकृत सेवा-स्तरीय प्रबंधन प्राप्त करने के लिए यह आवश्यक है।

एसएलए नियम (यदि प्रयुक्त हो) और अन्य अनुबंधों के साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है।

सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। यद्यपि, इस विशेष खंड में सबसे स्पष्ट संबंध सेवा स्तर प्रबंधन, घटना प्रबंधन और परिवर्तन प्रबंधन प्रक्रियाओं से संबंधित हैं।

सुरक्षा प्रबंधन
सुरक्षा प्रबंधन सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (प्लान, डू, चेक, एक्ट) से की जा सकती है।

इनपुट ग्राहकों की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों SLA को प्रभावित करते हैं। SLA क्लाइंट और प्रक्रिया दोनों के लिए इनपुट है। प्रदाता संगठन के लिए सुरक्षा योजनाएँ विकसित करता है। इन योजनाओं में नीतियाँ और परिचालन स्तर के अनुबंध सम्मिलित होते हैं। सुरक्षा योजनाओं (प्लान) को पुनः कार्यान्वित (डू) किया जाता है और तब कार्यान्वयन का मूल्यांकन (चेक) किया जाता है। मूल्यांकन के पश्चात् योजनाओं और योजना कार्यान्वयन को बनाए रखा (एक्ट) जाता है।

गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित होती हैं। बाह्य रिपोर्टें लिखी जाती हैं और ग्राहकों को भेजी जाती हैं। तब ग्राहक रिपोर्ट के माध्यम से प्राप्त इनफार्मेशन के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अतिरिक्त, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूर्ण करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना अथवा कार्यान्वयन को समायोजित कर सकता है।

कण्ट्रोल
सुरक्षा प्रबंधन प्रक्रिया में प्रथम गतिविधि "नियंत्रण" उप-प्रक्रिया है। नियंत्रण उप-प्रक्रिया सुरक्षा प्रबंधन प्रक्रिया को व्यवस्थित और प्रबंधित करती है। नियंत्रण उप-प्रक्रिया प्रक्रियाओं, पॉलिसी स्टेटमेंट्स और प्रबंधन फ्रेमवर्क के लिए उत्तरदायित्व के आवंटन को परिभाषित करती है।

सुरक्षा प्रबंधन फ्रेमवर्क कार्य योजनाओं में विकास, कार्यान्वयन और मूल्यांकन के लिए उप-प्रक्रियाओं को परिभाषित करता है। इसके अतिरिक्त, प्रबंधन फ्रेमवर्क परिभाषित करता है कि ग्राहकों को परिणाम किस प्रकार सूचित किए जाने चाहिए।

नियंत्रण उप-प्रक्रिया का मेटा-प्रक्रिया मॉडल ीकृत मॉडलिंग भाषा गतिविधि आरेख पर आधारित है और नियंत्रण उप-प्रक्रिया की गतिविधियों का सिंहावलोकन देता है। ग्रे आयत नियंत्रण उप-प्रक्रिया का प्रतिनिधित्व करता है और इसके अंदर की छोटी बीम आकृतियाँ इसके अंदर होने वाली गतिविधियों का प्रतिनिधित्व करती हैं।



नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल वर्ग आरेख पर आधारित है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल दिखाता है।

चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया

सफ़ेद छाया वाला नियंत्रण आयत खुली जटिल अवधारणा है। इसका मतलब यह है कि नियंत्रण आयत में (उप) अवधारणाओं का संग्रह होता है।

चित्र 2.1.3 नियंत्रण उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के ीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई अथवा समायोजित की जाती हैं।

चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया

योजना
योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो सेवा स्तर प्रबंधन के सहयोग से एसएलए में (सूचना) सुरक्षा अनुभाग तक ले जाती हैं। इसके अतिरिक्त, योजना उप-प्रक्रिया में ऐसी गतिविधियाँ सम्मिलित हैं जो अंतर्निहित अनुबंधों से संबंधित हैं जो (सूचना) सुरक्षा के लिए विशिष्ट हैं।

योजना उप-प्रक्रिया में एसएलए में तैयार किए गए लक्ष्यों को परिचालन स्तर के समझौतों (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन OLA को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है।

एसएलए के इनपुट के अतिरिक्त, योजना उप-प्रक्रिया स्वयं सेवा प्रदाता के पॉलिसी स्टेटमेंट्स के साथ भी काम करती है। जैसा कि पहले कहा गया है, ये नीति कथन नियंत्रण उप-प्रक्रिया में परिभाषित हैं।

सूचना सुरक्षा के लिए परिचालन स्तर के समझौते आईटीआईएल प्रक्रिया के आधार पर स्थापित और कार्यान्वित किए जाते हैं। इसके लिए अन्य आईटीआईएल प्रक्रियाओं के साथ सहयोग की आवश्यकता है। उदाहरण के लिए, यदि सुरक्षा प्रबंधन सुरक्षा बढ़ाने के लिए आईटी बुनियादी ढांचे को बदलना चाहता है, तो ये परिवर्तन परिवर्तन प्रबंधन प्रक्रिया के माध्यम से किए जाएंगे। सुरक्षा प्रबंधन इस परिवर्तन के लिए इनपुट (परिवर्तन के लिए अनुरोध) वितरित करता है। परिवर्तन प्रबंधक परिवर्तन प्रबंधन प्रक्रिया के लिए जिम्मेदार है।

योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन समष्टि गतिविधियाँ सम्मिलित हैं जो सभी विवृत गतिविधियाँ और मानक गतिविधि हैं।

नियंत्रण उप-प्रक्रिया की तरह ही योजना उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया जाता है। चित्र 2.2.1 का बाईं ओर योजना उप-प्रक्रिया का मेटा-डेटा मॉडल है।

योजना आयत खुली (जटिल) अवधारणा है जिसमें दो बंद (जटिल) अवधारणाओं और मानक अवधारणा के साथ त्रीकरण प्रकार का संबंध होता है। इस विशेष संदर्भ में दो बंद अवधारणाओं का विस्तार नहीं किया गया है।

निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र दो मॉडलों के ीकरण को दर्शाता है। बिंदीदार तीर इंगित करते हैं कि योजना उप-प्रक्रिया की संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई अथवा समायोजित की जाती हैं।

चित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया

कार्यान्वयन
कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय ठीक से लागू किए गए हैं। कार्यान्वयन उप-प्रक्रिया के दौरान कोई भी उपाय परिभाषित नहीं किया जाता है और न ही बदला जाता है। उपायों की परिभाषा अथवा परिवर्तन परिवर्तन प्रबंधन प्रक्रिया के सहयोग से योजना उप-प्रक्रिया में होता है।

चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का मतलब है कि ये गतिविधियाँ बंद अवधारणाएँ हैं और इस संदर्भ में इनका विस्तार नहीं किया गया है। कोई भी तीर इन चार गतिविधियों को नहीं जोड़ता है, जिसका अर्थ है कि ये गतिविधियाँ अव्यवस्थित हैं और रिपोर्टिंग सभी चार गतिविधियों के पूरा होने के बाद की जाएगी।

कार्यान्वयन चरण के दौरान अवधारणाएँ बनाई और/या समायोजित की जाती हैं।

बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके मॉडलिंग किया जाता है। चित्र 2.3.1 का दाहिना भाग कार्यान्वयन उप-प्रक्रिया का मेटा-डेटा मॉडल है।

कार्यान्वयन दस्तावेज़ खुली अवधारणा है और इस संदर्भ में इसका विस्तार किया गया है। इसमें चार बंद अवधारणाएँ सम्मिलित हैं जिनका विस्तार नहीं किया गया है क्योंकि वे इस विशेष संदर्भ में अप्रासंगिक हैं।

दोनों मॉडलों के बीच संबंधों को स्पष्ट करने के लिए दोनों मॉडलों के ीकरण को चित्र 2.3.1 में दर्शाया गया है। गतिविधियों से अवधारणाओं तक चलने वाले बिंदीदार तीर दर्शाते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई/समायोजित की जाती हैं।

चित्र 2.3.1: प्रक्रिया-डेटा मॉडल कार्यान्वयन उप-प्रक्रिया

मूल्यांकन
कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक है। मूल्यांकन ग्राहकों (और संभवतः तीसरे पक्ष) के लिए महत्वपूर्ण है। मूल्यांकन उप-प्रक्रिया के परिणामों का उपयोग सहमत उपायों और कार्यान्वयन को बनाए रखने के लिए किया जाता है। मूल्यांकन के परिणाम नई आवश्यकताओं और परिवर्तन के लिए संबंधित अनुरोध को जन्म दे सकते हैं। फिर परिवर्तन के अनुरोध को परिभाषित किया जाता है और परिवर्तन प्रबंधन को भेजा जाता है।

मूल्यांकन के तीन प्रकार हैं स्व-मूल्यांकन, आंतरिक लेखापरीक्षा और बाह्य लेखापरीक्षा।

स्व-मूल्यांकन मुख्य रूप से प्रक्रियाओं के संगठन में किया जाता है। आंतरिक ऑडिट आंतरिक आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। बाहरी ऑडिट बाहरी, स्वतंत्र आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। पहले से उल्लिखित लोगों के अतिरिक्त, संचारित सुरक्षा घटनाओं पर आधारित मूल्यांकन होता है। इस मूल्यांकन के लिए सबसे महत्वपूर्ण गतिविधियाँ आईटी-सिस्टम की सुरक्षा निगरानी हैं; सुरक्षा नियम और सुरक्षा योजना कार्यान्वयन को सत्यापित करें; आईटी-आपूर्ति के अवांछनीय उपयोग का पता लगाएं और उस पर प्रतिक्रिया दें।

चित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया

चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में मेटा-प्रोसेस मॉडल और मेटा-डेटा मॉडल सम्मिलित है। मूल्यांकन उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया गया था। मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर इंगित करते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएं बनाई/समायोजित की गई हैं। मूल्यांकन चरण की सभी गतिविधियाँ मानक गतिविधियाँ हैं। मूल्यांकन चरण अवधारणाओं के संक्षिप्त विवरण के लिए तालिका 2.4.2 देखें जहां अवधारणाओं को सूचीबद्ध और परिभाषित किया गया है।

तालिका 2.4.2: अवधारणा और परिभाषा मूल्यांकन उप-प्रक्रिया सुरक्षा प्रबंधन

रखरखाव
संगठनात्मक और आईटी-बुनियादी ढाँचे में बदलाव के कारण, समय के साथ सुरक्षा जोखिम बदलते हैं, जिससे सेवा स्तर के समझौतों और सुरक्षा योजनाओं के सुरक्षा अनुभाग में संशोधन की आवश्यकता होती है।

रखरखाव मूल्यांकन उप-प्रक्रिया के परिणामों और बदलते जोखिमों में अंतर्दृष्टि पर आधारित है। ये गतिविधियाँ प्रस्ताव तैयार करेंगी। प्रस्ताव या तो योजना उप-प्रक्रिया के लिए इनपुट के रूप में काम करते हैं और चक्र के माध्यम से यात्रा करते हैं अथवा सेवा स्तर के समझौतों को बनाए रखने के हिस्से के रूप में अपनाए जा सकते हैं। दोनों ही मामलों में प्रस्ताव कार्य योजना में गतिविधियों को जन्म दे सकते हैं। वास्तविक परिवर्तन परिवर्तन प्रबंधन प्रक्रिया द्वारा किये जाते हैं।

चित्र 2.5.1 कार्यान्वयन उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र मेटा-प्रोसेस मॉडल (बाएं) और मेटा-डेटा मॉडल (दाएं) का ीकरण दिखाता है। बिंदीदार तीर दर्शाते हैं कि कार्यान्वयन चरण की गतिविधियों में कौन सी अवधारणाएँ बनाई या समायोजित की जाती हैं।

चित्र 2.5.1: प्रक्रिया-डेटा मॉडल रखरखाव उप-प्रक्रिया

रखरखाव उप-प्रक्रिया सेवा स्तर के समझौतों के रखरखाव और परिचालन स्तर के समझौतों के रखरखाव से शुरू होती है। इन गतिविधियों के होने के बाद (किसी विशेष क्रम में नहीं) और परिवर्तन के लिए अनुरोध होने पर परिवर्तन गतिविधि के लिए अनुरोध होगा और परिवर्तन गतिविधि के लिए अनुरोध समाप्त होने के बाद रिपोर्टिंग गतिविधि शुरू होती है। यदि परिवर्तन के लिए कोई अनुरोध नहीं है तो रिपोर्टिंग गतिविधि पहली दो गतिविधियों के बाद सीधे शुरू हो जाएगी। मेटा-डेटा मॉडल में अवधारणाएँ रखरखाव चरण के दौरान बनाई/समायोजित की जाती हैं। अवधारणाओं की सूची और उनकी परिभाषा के लिए तालिका 2.5.2 पर नज़र डालें।

तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन

संपूर्ण प्रक्रिया-डेटा मॉडल
चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया

अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध
जिस प्रकार से परिचय में बताया गया है, सुरक्षा प्रबंधन प्रक्रिया का लगभग सभी अन्य आईटीआईएल-प्रक्रियाओं के साथ संबंध है। ये प्रक्रियाएँ निम्नलिखित हैं:


 * आईटी ग्राहक संबंध प्रबंधन
 * सेवा स्तर प्रबंधन
 * उपलब्धता प्रबंधन
 * क्षमता प्रबंधन
 * आईटी सेवा निरंतरता प्रबंधन
 * विन्यास प्रबंधन
 * प्रस्तावित प्रबंधन
 * घटना प्रबंधन एवं सेवा डेस्क
 * समस्या प्रबंधन
 * परिवर्तन प्रबंधन (आईटीएसएम)

इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए उत्तरदायी हैं। यद्यपि, सुरक्षा प्रबंधन संबंधित प्रक्रिया को संकेत देता है कि इन गतिविधियों की संरचना किस प्रकार की जाए।

उदाहरण: आंतरिक ई-मेल नीतियां
आंतरिक ई-मेल कई सुरक्षा संकटों के अध्यधीन है, जिसके लिए संबंधित सुरक्षा योजना और नीतियों की आवश्यकता होती है। इस उदाहरण में आईटीआईएल सुरक्षा प्रबंधन दृष्टिकोण का उपयोग ई-मेल नीतियों को कार्यान्वित करने के लिए किया जाता है।

सुरक्षा प्रबंधन समूह का गठन किया जाता है और प्रक्रिया दिशानिर्देश प्रस्तुत किए जाते हैं एवं सभी कर्मचारियों तथा प्रदाताओं को सूचित किए जाते हैं। ये क्रियाएँ नियंत्रण चरण में की जाती हैं।

इसके पश्चात् योजना चरण में नीतियां बनाई जाती हैं। ई-मेल सुरक्षा के लिए विशिष्ट नीतियां प्रस्तुत की जाती हैं और सेवा-स्तरीय अनुबंध में संयोजित की जाती हैं। इस चरण के अंत में पूर्ण योजना कार्यान्वयन के लिए प्रस्तुत है।

योजना के अनुसार क्रियान्वयन किया जाता है।

कार्यान्वयन के पश्चात नीतियों का मूल्यांकन या तो स्व-मूल्यांकन के रूप में, अथवा आंतरिक या बाहरी लेखा परीक्षकों के माध्यम से किया जाता है।

प्रतिपालन चरण में ई-नीतियों को मूल्यांकन के आधार पर समायोजित किया जाता है। आवश्यक परिवर्तनों को परिवर्तन के अनुरोध के माध्यम से संसाधित किया जाता है।

यह भी देखें

 * अवसंरचना प्रबंधन सेवाएँ
 * आईटीआईएल वीजेड
 * माइक्रोसॉफ्ट ऑपरेशंस फ्रेमवर्क
 * सूचना सुरक्षा प्रबंधन प्रणाली
 * सीओबीआईटी
 * कैपेबिलिटी मचुरटी मॉडल
 * आईएसपीएल

यह भी देखें

 * सूचना सुरक्षा

स्रोत

 * बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का परिचयात्मक संचालन आधार। वैन हरेन प्रकाशन
 * कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय।
 * सुरक्षा प्रबंधन। (फरवरी 1, 2005)। माइक्रोसॉफ्ट
 * त्से, डी. (2005)। आधुनिक व्यवसाय में सुरक्षा: सूचना सुरक्षा प्रथाओं के लिए सुरक्षा मूल्यांकन मॉडल। हांगकांग: हांगकांग विश्वविद्यालय।

श्रेणी:आईटीआईएल श्रेणी:कंप्यूटर सुरक्षा