用户投稿一、条文8.1 变更管理及委外管理
(一)变更管理
下图是一个典型变更管理的流程:
变更管理的重要性不可言喻,几次比较重大的资讯安全事件,肇因都是变更管理不善。与变更管理相关的事项如下:
问题管理为了解决问题,通常需要进行更改以实施变通并解决已知的错误。问题管理可以提交变更来解决资讯安全上的错误。配置和资产管理
当评估变更对IT基础架构或资讯安全的影响时,变更管理依赖资产本身特性及整体关联性的资讯,识别受更改影响的基础资讯非常重要。在整个变更管理过程中,受影响的相关资讯也应该要更新。发布和部署管理
管理变更事项并与发布和部署过程进行协调、测试和实施。业务持续性
为了最大程度地减少和管理可能对业务造成负面影响的风险,相关评估及实作都应考量对业务过程的影响及时限,避免对业务造成无法恢复的损失。安全管理
对发生的每个变更对其安全性的影响进行评估。知识管理
变更涉及决策,决策必须要有完整的资讯及知识才能进行,所以整个资讯安全的知识管理可以支援决策过程。应提供必要的资讯,使变更能展现其必要性及完整性。组合管理
变更所涉及的问题比较广,各项组合的问题都应该被考虑,单一变更带来的影响可能是众多系统或元件,不仅仅涉及单一系统,例如:作业系统的变更会影响硬体及应用系统。
因为资讯环境变化快速,软硬体更新频繁,各项要求也随着变化接踵而来,所以变更是资讯安全管理不可或缺的一部分,不管是硬体更新、作业系统更新、网路架构变化、管理方式改变,都应该依循一定的规範,不可随意而行,应该事先做好变更的分类,设计流程、定义关键角色与职责、定义指标、了解本身风险承受能力,执行完整的评估后再执行相关变更作业。
微信扫一扫打赏
支付宝扫一扫打赏
