आईटीआईएल सुरक्षा प्रबंधन

आईटीआईएल सुरक्षा प्रबंधन संगठन में सुरक्षा की संरचित फिटिंग का वर्णन करता है। आईटीआईएल सुरक्षा प्रबंधन आईएसओ 27001 मानक पर आधारित है। आईएसओ/आईईसी 27001:2005 सभी प्रकार के संगठनों (जैसे वाणिज्यिक उद्यम, सरकारी एजेंसियां, गैर-लाभकारी संगठन) को कवर करता है। आईएसओ/आईईसी 27001:2005 संगठन के समग्र व्यावसायिक जोखिमों के संदर्भ में  दस्तावेजित सूचना सुरक्षा प्रबंधन प्रणाली की स्थापना, कार्यान्वयन, संचालन, निगरानी, ​​​​समीक्षा, रखरखाव और सुधार के लिए आवश्यकताओं को निर्दिष्ट करता है। यह व्यक्तिगत संगठनों या उसके भागों की आवश्यकताओं के अनुरूप सुरक्षा नियंत्रणों के कार्यान्वयन के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ/आईईसी 27001:2005 को पर्याप्त और आनुपातिक सुरक्षा नियंत्रणों के चयन को सुनिश्चित करने के लिए डिज़ाइन किया गया है जो सूचना संपत्तियों की रक्षा करते हैं और इच्छुक पार्टियों को विश्वास दिलाते हैं।

सुरक्षा प्रबंधन की मूल अवधारणा सूचना सुरक्षा है। सूचना सुरक्षा का प्राथमिक लक्ष्य सूचना तक पहुंच को नियंत्रित करना है। जानकारी का मूल्य वह है जिसे संरक्षित किया जाना चाहिए। इन मूल्यों में गोपनीयता, अखंडता और उपलब्धता शामिल हैं। अनुमानित पहलू गोपनीयता, गुमनामी और सत्यापनीयता हैं।

सुरक्षा प्रबंधन का लक्ष्य दो भागों में आता है:


 * सेवा स्तर समझौतों (एसएलए) और अन्य बाहरी आवश्यकताओं में परिभाषित सुरक्षा आवश्यकताएं जो अनुबंध, कानून और संभावित आंतरिक या बाहरी थोपी गई नीतियों को रेखांकित करने में निर्दिष्ट हैं।
 * बुनियादी सुरक्षा जो प्रबंधन की निरंतरता की गारंटी देती है। सूचना सुरक्षा के लिए सरलीकृत सेवा-स्तरीय प्रबंधन प्राप्त करने के लिए यह आवश्यक है।

एसएलए कानून (यदि लागू हो) और अन्य अनुबंधों के साथ-साथ सुरक्षा आवश्यकताओं को परिभाषित करते हैं। ये आवश्यकताएँ प्रमुख प्रदर्शन संकेतक (KPI) के रूप में कार्य कर सकती हैं जिनका उपयोग प्रक्रिया प्रबंधन और सुरक्षा प्रबंधन प्रक्रिया के परिणामों की व्याख्या करने के लिए किया जा सकता है।

सुरक्षा प्रबंधन प्रक्रिया अन्य आईटीआईएल-प्रक्रियाओं से संबंधित है। हालाँकि, इस विशेष खंड में सबसे स्पष्ट संबंध सेवा स्तर प्रबंधन, घटना प्रबंधन और परिवर्तन प्रबंधन प्रक्रियाओं से संबंधित हैं।

सुरक्षा प्रबंधन
सुरक्षा प्रबंधन सतत प्रक्रिया है जिसकी तुलना डब्ल्यू एडवर्ड्स डेमिंग के क्वालिटी सर्कल (पीडीसीए|प्लान, डू, चेक, ्ट) से की जा सकती है।

इनपुट ग्राहकों की आवश्यकताएं हैं। आवश्यकताओं को सुरक्षा सेवाओं और सुरक्षा मेट्रिक्स में अनुवादित किया जाता है। क्लाइंट और योजना उप-प्रक्रिया दोनों SLA को प्रभावित करते हैं। SLA क्लाइंट और प्रक्रिया दोनों के लिए इनपुट है। प्रदाता संगठन के लिए सुरक्षा योजनाएँ विकसित करता है। इन योजनाओं में नीतियां और परिचालन स्तर के समझौते शामिल हैं। सुरक्षा योजनाओं (प्लान) को फिर कार्यान्वित (करें) किया जाता है और फिर कार्यान्वयन का मूल्यांकन (चेक) किया जाता है। मूल्यांकन के बाद योजनाओं और योजना कार्यान्वयन को बनाए रखा जाता है (अधिनियम)।

गतिविधियाँ, परिणाम/उत्पाद और प्रक्रिया प्रलेखित हैं। बाहरी रिपोर्टें लिखी जाती हैं और ग्राहकों को भेजी जाती हैं। फिर ग्राहक रिपोर्ट के माध्यम से प्राप्त जानकारी के आधार पर अपनी आवश्यकताओं को अनुकूलित करने में सक्षम होते हैं। इसके अलावा, सेवा प्रदाता एसएलए में बताई गई सभी आवश्यकताओं (नई आवश्यकताओं सहित) को पूरा करने के लिए अपने निष्कर्षों के आधार पर अपनी योजना या कार्यान्वयन को समायोजित कर सकता है।

नियंत्रण
सुरक्षा प्रबंधन प्रक्रिया में पहली गतिविधि "नियंत्रण" उप-प्रक्रिया है। नियंत्रण उप-प्रक्रिया सुरक्षा प्रबंधन प्रक्रिया को व्यवस्थित और प्रबंधित करती है। नियंत्रण उप-प्रक्रिया प्रक्रियाओं, नीति वक्तव्यों और प्रबंधन ढांचे के लिए जिम्मेदारी के आवंटन को परिभाषित करती है।

सुरक्षा प्रबंधन ढांचा कार्य योजनाओं में विकास, कार्यान्वयन और मूल्यांकन के लिए उप-प्रक्रियाओं को परिभाषित करता है। इसके अलावा, प्रबंधन ढांचा परिभाषित करता है कि ग्राहकों को परिणाम कैसे सूचित किए जाने चाहिए।

नियंत्रण उप-प्रक्रिया का मेटा-प्रक्रिया मॉडल ीकृत मॉडलिंग भाषा गतिविधि आरेख पर आधारित है और नियंत्रण उप-प्रक्रिया की गतिविधियों का  सिंहावलोकन देता है। ग्रे आयत नियंत्रण उप-प्रक्रिया का प्रतिनिधित्व करता है और इसके अंदर की छोटी बीम आकृतियाँ इसके अंदर होने वाली गतिविधियों का प्रतिनिधित्व करती हैं।



नियंत्रण उप-प्रक्रिया का मेटा-डेटा मॉडल यूएमएल वर्ग आरेख पर आधारित है। चित्र 2.1.2 नियंत्रण उप-प्रक्रिया का मेटामॉडल दिखाता है।

चित्र 2.1.2: मेटा-प्रक्रिया मॉडल नियंत्रण उप-प्रक्रिया

सफ़ेद छाया वाला नियंत्रण आयत खुली जटिल अवधारणा है। इसका मतलब यह है कि नियंत्रण आयत में (उप) अवधारणाओं का संग्रह होता है।

चित्र 2.1.3 नियंत्रण उप-प्रक्रिया का प्रक्रिया डेटा मॉडल है। यह दो मॉडलों के ीकरण को दर्शाता है। बिंदीदार तीर उन अवधारणाओं को दर्शाते हैं जो संबंधित गतिविधियों में बनाई या समायोजित की जाती हैं।

चित्र 2.1.3: प्रक्रिया-डेटा मॉडल नियंत्रण उप-प्रक्रिया

योजना
योजना उप-प्रक्रिया में ऐसी गतिविधियाँ शामिल हैं जो सेवा स्तर प्रबंधन के सहयोग से एसएलए में (सूचना) सुरक्षा अनुभाग तक ले जाती हैं। इसके अलावा, योजना उप-प्रक्रिया में ऐसी गतिविधियाँ शामिल हैं जो अंतर्निहित अनुबंधों से संबंधित हैं जो (सूचना) सुरक्षा के लिए विशिष्ट हैं।

योजना उप-प्रक्रिया में एसएलए में तैयार किए गए लक्ष्यों को परिचालन स्तर के समझौतों (ओएलए) के रूप में निर्दिष्ट किया जाता है। इन OLA को सेवा प्रदाता की विशिष्ट आंतरिक संगठन इकाई के लिए सुरक्षा योजनाओं के रूप में परिभाषित किया जा सकता है।

एसएलए के इनपुट के अलावा, योजना उप-प्रक्रिया स्वयं सेवा प्रदाता के नीति वक्तव्यों के साथ भी काम करती है। जैसा कि पहले कहा गया है, ये नीति कथन नियंत्रण उप-प्रक्रिया में परिभाषित हैं।

सूचना सुरक्षा के लिए परिचालन स्तर के समझौते आईटीआईएल प्रक्रिया के आधार पर स्थापित और कार्यान्वित किए जाते हैं। इसके लिए अन्य आईटीआईएल प्रक्रियाओं के साथ सहयोग की आवश्यकता है। उदाहरण के लिए, यदि सुरक्षा प्रबंधन सुरक्षा बढ़ाने के लिए आईटी बुनियादी ढांचे को बदलना चाहता है, तो ये परिवर्तन परिवर्तन प्रबंधन प्रक्रिया के माध्यम से किए जाएंगे। सुरक्षा प्रबंधन इस परिवर्तन के लिए इनपुट (परिवर्तन के लिए अनुरोध) वितरित करता है। परिवर्तन प्रबंधक परिवर्तन प्रबंधन प्रक्रिया के लिए जिम्मेदार है।

योजना में अव्यवस्थित और क्रमबद्ध (उप) गतिविधियों का संयोजन होता है। उप-प्रक्रिया में तीन जटिल गतिविधियाँ शामिल हैं जो सभी बंद गतिविधियाँ और मानक गतिविधि हैं।

नियंत्रण उप-प्रक्रिया की तरह ही योजना उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया जाता है। चित्र 2.2.1 का बाईं ओर योजना उप-प्रक्रिया का मेटा-डेटा मॉडल है।

योजना आयत खुली (जटिल) अवधारणा है जिसमें दो बंद (जटिल) अवधारणाओं और  मानक अवधारणा के साथ त्रीकरण प्रकार का संबंध होता है। इस विशेष संदर्भ में दो बंद अवधारणाओं का विस्तार नहीं किया गया है।

निम्नलिखित चित्र (चित्र 2.2.1) योजना उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र दो मॉडलों के ीकरण को दर्शाता है। बिंदीदार तीर इंगित करते हैं कि योजना उप-प्रक्रिया की संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई या समायोजित की जाती हैं।

चित्र 2.2.1: प्रक्रिया-डेटा मॉडल योजना उप-प्रक्रिया

कार्यान्वयन
कार्यान्वयन उप-प्रक्रिया यह सुनिश्चित करती है कि योजनाओं में निर्दिष्ट सभी उपाय ठीक से लागू किए गए हैं। कार्यान्वयन उप-प्रक्रिया के दौरान कोई भी उपाय परिभाषित नहीं किया जाता है और न ही बदला जाता है। उपायों की परिभाषा या परिवर्तन परिवर्तन प्रबंधन प्रक्रिया के सहयोग से योजना उप-प्रक्रिया में होता है।

चित्र 2.3.1 का बाईं ओर कार्यान्वयन चरण का मेटा-प्रोसेस मॉडल है। काली छाया वाले चार लेबल का मतलब है कि ये गतिविधियाँ बंद अवधारणाएँ हैं और इस संदर्भ में इनका विस्तार नहीं किया गया है। कोई भी तीर इन चार गतिविधियों को नहीं जोड़ता है, जिसका अर्थ है कि ये गतिविधियाँ अव्यवस्थित हैं और रिपोर्टिंग सभी चार गतिविधियों के पूरा होने के बाद की जाएगी।

कार्यान्वयन चरण के दौरान अवधारणाएँ बनाई और/या समायोजित की जाती हैं।

बनाई गई और/या समायोजित की गई अवधारणाओं को मेटा-मॉडलिंग तकनीक का उपयोग करके मॉडलिंग किया जाता है। चित्र 2.3.1 का दाहिना भाग कार्यान्वयन उप-प्रक्रिया का मेटा-डेटा मॉडल है।

कार्यान्वयन दस्तावेज़ खुली अवधारणा है और इस संदर्भ में इसका विस्तार किया गया है। इसमें चार बंद अवधारणाएँ शामिल हैं जिनका विस्तार नहीं किया गया है क्योंकि वे इस विशेष संदर्भ में अप्रासंगिक हैं।

दोनों मॉडलों के बीच संबंधों को स्पष्ट करने के लिए दोनों मॉडलों के ीकरण को चित्र 2.3.1 में दर्शाया गया है। गतिविधियों से अवधारणाओं तक चलने वाले बिंदीदार तीर दर्शाते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएँ बनाई/समायोजित की जाती हैं।

चित्र 2.3.1: प्रक्रिया-डेटा मॉडल कार्यान्वयन उप-प्रक्रिया

मूल्यांकन
कार्यान्वयन और सुरक्षा योजनाओं की सफलता को मापने के लिए मूल्यांकन आवश्यक है। मूल्यांकन ग्राहकों (और संभवतः तीसरे पक्ष) के लिए महत्वपूर्ण है। मूल्यांकन उप-प्रक्रिया के परिणामों का उपयोग सहमत उपायों और कार्यान्वयन को बनाए रखने के लिए किया जाता है। मूल्यांकन के परिणाम नई आवश्यकताओं और परिवर्तन के लिए संबंधित अनुरोध को जन्म दे सकते हैं। फिर परिवर्तन के अनुरोध को परिभाषित किया जाता है और परिवर्तन प्रबंधन को भेजा जाता है।

मूल्यांकन के तीन प्रकार हैं स्व-मूल्यांकन, आंतरिक लेखापरीक्षा और बाह्य लेखापरीक्षा।

स्व-मूल्यांकन मुख्य रूप से प्रक्रियाओं के संगठन में किया जाता है। आंतरिक ऑडिट आंतरिक आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। बाहरी ऑडिट बाहरी, स्वतंत्र आईटी-लेखा परीक्षकों द्वारा किए जाते हैं। पहले से उल्लिखित लोगों के अलावा, संचारित सुरक्षा घटनाओं पर आधारित मूल्यांकन होता है। इस मूल्यांकन के लिए सबसे महत्वपूर्ण गतिविधियाँ आईटी-सिस्टम की सुरक्षा निगरानी हैं; सुरक्षा कानून और सुरक्षा योजना कार्यान्वयन को सत्यापित करें; आईटी-आपूर्ति के अवांछनीय उपयोग का पता लगाएं और उस पर प्रतिक्रिया दें।

चित्र 2.4.1: प्रक्रिया-डेटा मॉडल मूल्यांकन उप-प्रक्रिया

चित्र 2.4.1 में दर्शाए गए प्रक्रिया-डेटा आरेख में मेटा-प्रोसेस मॉडल और  मेटा-डेटा मॉडल शामिल है। मूल्यांकन उप-प्रक्रिया को मेटा-मॉडलिंग तकनीक का उपयोग करके तैयार किया गया था। मेटा-प्रोसेस आरेख (बाएं) से मेटा-डेटा आरेख (दाएं) तक चलने वाले बिंदीदार तीर इंगित करते हैं कि संबंधित गतिविधियों में कौन सी अवधारणाएं बनाई/समायोजित की गई हैं। मूल्यांकन चरण की सभी गतिविधियाँ मानक गतिविधियाँ हैं। मूल्यांकन चरण अवधारणाओं के संक्षिप्त विवरण के लिए तालिका 2.4.2 देखें जहां अवधारणाओं को सूचीबद्ध और परिभाषित किया गया है।

तालिका 2.4.2: अवधारणा और परिभाषा मूल्यांकन उप-प्रक्रिया सुरक्षा प्रबंधन

रखरखाव
संगठनात्मक और आईटी-बुनियादी ढाँचे में बदलाव के कारण, समय के साथ सुरक्षा जोखिम बदलते हैं, जिससे सेवा स्तर के समझौतों और सुरक्षा योजनाओं के सुरक्षा अनुभाग में संशोधन की आवश्यकता होती है।

रखरखाव मूल्यांकन उप-प्रक्रिया के परिणामों और बदलते जोखिमों में अंतर्दृष्टि पर आधारित है। ये गतिविधियाँ प्रस्ताव तैयार करेंगी। प्रस्ताव या तो योजना उप-प्रक्रिया के लिए इनपुट के रूप में काम करते हैं और चक्र के माध्यम से यात्रा करते हैं या सेवा स्तर के समझौतों को बनाए रखने के हिस्से के रूप में अपनाए जा सकते हैं। दोनों ही मामलों में प्रस्ताव कार्य योजना में गतिविधियों को जन्म दे सकते हैं। वास्तविक परिवर्तन परिवर्तन प्रबंधन प्रक्रिया द्वारा किये जाते हैं।

चित्र 2.5.1 कार्यान्वयन उप-प्रक्रिया का प्रक्रिया-डेटा आरेख है। यह चित्र मेटा-प्रोसेस मॉडल (बाएं) और मेटा-डेटा मॉडल (दाएं) का ीकरण दिखाता है। बिंदीदार तीर दर्शाते हैं कि कार्यान्वयन चरण की गतिविधियों में कौन सी अवधारणाएँ बनाई या समायोजित की जाती हैं।

चित्र 2.5.1: प्रक्रिया-डेटा मॉडल रखरखाव उप-प्रक्रिया

रखरखाव उप-प्रक्रिया सेवा स्तर के समझौतों के रखरखाव और परिचालन स्तर के समझौतों के रखरखाव से शुरू होती है। इन गतिविधियों के होने के बाद (किसी विशेष क्रम में नहीं) और परिवर्तन के लिए अनुरोध होने पर परिवर्तन गतिविधि के लिए अनुरोध होगा और परिवर्तन गतिविधि के लिए अनुरोध समाप्त होने के बाद रिपोर्टिंग गतिविधि शुरू होती है। यदि परिवर्तन के लिए कोई अनुरोध नहीं है तो रिपोर्टिंग गतिविधि पहली दो गतिविधियों के बाद सीधे शुरू हो जाएगी। मेटा-डेटा मॉडल में अवधारणाएँ रखरखाव चरण के दौरान बनाई/समायोजित की जाती हैं। अवधारणाओं की सूची और उनकी परिभाषा के लिए तालिका 2.5.2 पर नज़र डालें।

तालिका 2.5.2: अवधारणा और परिभाषा योजना उप-प्रक्रिया सुरक्षा प्रबंधन

संपूर्ण प्रक्रिया-डेटा मॉडल
चित्र 2.6.1: संपूर्ण प्रक्रिया-डेटा मॉडल सुरक्षा प्रबंधन प्रक्रिया

अन्य आईटीआईएल प्रक्रियाओं के साथ संबंध
सुरक्षा प्रबंधन प्रक्रिया, जैसा कि परिचय में कहा गया है, का लगभग सभी अन्य आईटीआईएल-प्रक्रियाओं के साथ संबंध है। ये प्रक्रियाएँ हैं:


 * आईटी ग्राहक संबंध प्रबंधन
 * सेवा स्तर प्रबंधन
 * उपलब्धता प्रबंधन
 * क्षमता प्रबंधन
 * आईटी सेवा निरंतरता प्रबंधन
 * विन्यास प्रबंधन
 * रिहाई प्रबंधन
 * घटना प्रबंधन एवं सेवा डेस्क
 * समस्या प्रबंधन
 * परिवर्तन प्रबंधन (आईटीएसएम)

इन प्रक्रियाओं के अंतर्गत सुरक्षा से संबंधित गतिविधियों की आवश्यकता होती है। संबंधित प्रक्रिया और उसके प्रक्रिया प्रबंधक इन गतिविधियों के लिए जिम्मेदार हैं। हालाँकि, सुरक्षा प्रबंधन संबंधित प्रक्रिया को संकेत देता है कि इन गतिविधियों की संरचना कैसे की जाए।

उदाहरण: आंतरिक ई-मेल नीतियां
आंतरिक ई-मेल कई सुरक्षा जोखिमों के अधीन है, जिसके लिए संबंधित सुरक्षा योजना और नीतियों की आवश्यकता होती है। इस उदाहरण में आईटीआईएल सुरक्षा प्रबंधन दृष्टिकोण का उपयोग ई-मेल नीतियों को लागू करने के लिए किया जाता है।

सुरक्षा प्रबंधन टीम का गठन किया जाता है और प्रक्रिया दिशानिर्देश तैयार किए जाते हैं और सभी कर्मचारियों और प्रदाताओं को सूचित किए जाते हैं। ये क्रियाएँ नियंत्रण चरण में की जाती हैं।

बाद के योजना चरण में, नीतियां तैयार की जाती हैं। ई-मेल सुरक्षा के लिए विशिष्ट नीतियां तैयार की जाती हैं और सेवा स्तर के समझौतों में जोड़ी जाती हैं। इस चरण के अंत में पूरी योजना कार्यान्वयन के लिए तैयार है।

योजना के अनुसार क्रियान्वयन किया जाता है।

कार्यान्वयन के बाद नीतियों का मूल्यांकन या तो स्व-मूल्यांकन के रूप में, या आंतरिक या बाहरी लेखा परीक्षकों के माध्यम से किया जाता है।

रखरखाव चरण में ई-नीतियों को मूल्यांकन के आधार पर समायोजित किया जाता है। आवश्यक परिवर्तनों को परिवर्तन के अनुरोध के माध्यम से संसाधित किया जाता है।

यह भी देखें

 * अवसंरचना प्रबंधन सेवाएँ
 * आईटीआईएल vz
 * माइक्रोसॉफ्ट ऑपरेशंस फ्रेमवर्क
 * सूचना सुरक्षा प्रबंधन प्रणाली
 * सीओबीआईटी
 * क्षमता परिपक्वता मॉडल
 * वगैरह

यह भी देखें

 * सूचना सुरक्षा

स्रोत

 * बॉन वैन, जे. (2004). आईटी-सेवा प्रबंधन: आईटीआईएल का परिचयात्मक संचालन आधार। वैन हरेन प्रकाशन
 * कैज़ेमियर, जैक्स ए.; ओवरबीक, पॉल एल.; पीटर्स, लौक एम. (2000)। सुरक्षा प्रबंधन, स्टेशनरी कार्यालय।
 * सुरक्षा प्रबंधन। (फरवरी 1, 2005)। माइक्रोसॉफ्ट
 * त्से, डी. (2005)। आधुनिक व्यवसाय में सुरक्षा: सूचना सुरक्षा प्रथाओं के लिए सुरक्षा मूल्यांकन मॉडल। हांगकांग: हांगकांग विश्वविद्यालय।

श्रेणी:आईटीआईएल श्रेणी:कंप्यूटर सुरक्षा