Question: Πώς καλύπτεται το Information Security από το ITIL?
Answer: (Μέρος Πρώτο)
Το ITIL θεωρεί τα θέματα της ασφάλειας ως καίριας σημασίας στον κύκλο ζωής κάθε υπηρεσίας και ορίζει τη διεργασία (process) του Information Security Management (ISM) ως μέρος του Service Design. Το ISM πρέπει να έχει τη συνολική ευθύνη για τον ορισμό των Πολιτικών και των Διαδικασιών Ασφάλειας (Security Policies and Procedures), καλύπτοντας όλους τους τομείς ευθύνης του ΙΤ όπως computer rooms, εξοπλισμό, δεδομένα και εφαρμογές.
Για το ITIL είναι ιδιαίτερα σημαντικό το IT Security να μην αντιμετωπίζεται αυτόνομα, αλλά ως μέρος της συνολικής Εταιρικής Διακυβέρνησης. Η ύπαρξη, οργάνωση και εφαρμογή των Πολιτικών και Διαδικασιών Ασφάλειας είναι θέματα που πρέπει να απασχολούν και να αποφασίζονται σε επίπεδο Διευθύνοντος Συμβούλου ή/και Διοικητικού Συμβουλίου.
Το ITIL εστιάζει στην ασφάλεια και στη μείωση του ρίσκου με βάση τις επιχειρηματικές ανάγκες χωρίς να υπαγορεύει ή να αναλύει τεχνικές και τεχνολογίες. Θεωρεί την Ασφάλεια ως αναπόσπαστο μέρος των συστημάτων και των υπηρεσιών και υπαγορεύει την εφαρμογή σημείων ελέγχου ασφάλειας (security controls) στις υπηρεσίες από το αρχικό ακόμα στάδιο του σχεδιασμού τους.
Το ISM έχει μεγάλο βαθμό εξάρτησης με άλλες διαδικασίες, όπως για παράδειγμα Change Management, Configuration Management, Incident Management, Service Continuity και Service Level Management (περισσότερα στο δεύτερο μέρος).
Ένας οργανισμός ακολουθώντας τις βέλτιστες πρακτικές σύμφωνα με το ITIL v3, θέτει τις σωστές βάσεις για την εφαρμογή IT Service Management και παράλληλα αποκτά ένα σαφές πλεονέκτημα για τη συμμόρφωση κατά ISO/IEC 27001 και 27002.
Η αποτελεσματική αντιμετώπιση των κινδύνων σε κάθε οργανισμό απαιτεί να βρίσκεται το Information Security Management σε συνεχή εγρήγορση, κάτι που επιτυγχάνεται από το συνεχή έλεγχο, την αναθεώρηση, τις μετρήσεις και τις βελτιώσεις κάθε διεργασίας, όπως υποδεικνύει το Continual Service Improvement lifecycle του ITIL v3.