在 ASP 的安全管理过程中,必须有一个通道来及时地传递任何一个给定点的现有状态。安全策略充当了这一角色。它们是对 ASP 一贯使用的当前安全要求和指导方针以及步骤的书面表示。一致的策略将使 ASP 内部清楚在安全方面必须做什么。如果 ASP 要看到在安全状态上的迅速改进,则建立安全策略是评估之后的逻辑步骤,并且应当启动而作为安全规划的一个辅助因素。
当安全管理的规划展开时,环境中的特定因素将会改变。出现变化时,策略将被检查并修改,以确保它们传递的是保护 ASP 环境的当前规划。在六到十二个月之间必须至少对安全策略检查一次,当然每当由于各种原因需要对策略进行更改时也要如此。因此,安全策略是一项持续进行的工作。
开发 ASP 安全策略的步骤
下列步骤是定义安全策略中的基本步骤。
了解安全策略由什么组成。
安全策略定义 ASP 如何管理、保护和分配敏感的信息和资源 在连接到 Internet 之前,任何 ASP 都应当开发出一个策略,其中要明确地指定将使用的解决方案以及如何使用这些解决方案 该策略应当明确、简洁并易于理解,同时有更改策略的内置机制(灵活性) 默认策略:除非明确允许,否则不使用它 理解安全策略必须要遵守什么要求。
在“服务级别协议”中定义的外部客户要求 涉及安全性的外部法律要求 外部供应商安全策略 内部 ASP 安全策略 在 ASP 和客户环境的集成情况下,内部/外部的安全策略 理解应如何考虑安全策略;确定要保护什么。
安全策略必须以 ASP 客户的实际条件为基础;它应当明确、一致、简洁和易于理解。 提供定期检查和检验 ASP 服务的管理 客户关系管理 客户关系管理的内容是发展及培养客户和 ASP 之间良好的职业工作关系。客户关系管理人员必须介入 MOF 的所有其它层面。例如,客户关系管理人员在 SLA 协商期间促进 ASP 与客户之间的互动,并参与解决客户对所提供服务的不满。如果客户关系管理人员提供给客户的解决方案确实安全,那么这对客户关系管理人员而言就是一个卖点。
与客户的沟通是 CRM 进行安全管理的的主要方面。
服务管理 在安全管理过程中采取的所有操作都取决于“服务级别协议”中协商一致的服务级别。“服务等级管理”确保指定并实现有关提供给客户的服务方面的协议。目的是创建最优的 IT 服务,使得客户对 IT 服务的期望和要求都能得到满足,并且能为 ASP 和客户双方调整相关的成本。
安全事件管理 “安全事件管理”是常规“事件管理”的一个特殊部分。最重要的是 ASP 有一个安全事件的主要联系位置。这意味着必须要有一个位置,所有的安全事件都在该位置注册,而且所有的 ASP 雇员和客户(在必要情况下)都必须知道此位置,这样他们可在该位置处理安全事件。必须要有一个针对安全事件的步骤,使人明白当宣称出现安全事件出现时究竟发生了什么情况。