在 ASP 的安全管理過程中,必須有一個通道來及時地傳遞任何一個給定點的現有狀態。安全策略充當了這一角色。它們是對 ASP 一貫使用的當前安全要求和指導方針以及步驟的書面表示。一致的策略將使 ASP 內部清楚在安全方面必須做什么。如果 ASP 要看到在安全狀態上的迅速改進,則建立安全策略是評估之后的邏輯步驟,并且應當啟動而作為安全規劃的一個輔助因素。
當安全管理的規劃展開時,環境中的特定因素將會改變。出現變化時,策略將被檢查并修改,以確保它們傳遞的是保護 ASP 環境的當前規劃。在六到十二個月之間必須至少對安全策略檢查一次,當然每當由于各種原因需要對策略進行更改時也要如此。因此,安全策略是一項持續進行的工作。
開發 ASP 安全策略的步驟
下列步驟是定義安全策略中的基本步驟。
了解安全策略由什么組成。
安全策略定義 ASP 如何管理、保護和分配敏感的信息和資源 在連接到 Internet 之前,任何 ASP 都應當開發出一個策略,其中要明確地指定將使用的解決方案以及如何使用這些解決方案 該策略應當明確、簡潔并易于理解,同時有更改策略的內置機制(靈活性) 默認策略:除非明確允許,否則不使用它 理解安全策略必須要遵守什么要求。
在“服務級別協議”中定義的外部客戶要求 涉及安全性的外部法律要求 外部供應商安全策略 內部 ASP 安全策略 在 ASP 和客戶環境的集成情況下,內部/外部的安全策略 理解應如何考慮安全策略;確定要保護什么。
安全策略必須以 ASP 客戶的實際條件為基礎;它應當明確、一致、簡潔和易于理解。 提供定期檢查和檢驗 ASP 服務的管理 客戶關系管理 客戶關系管理的內容是發展及培養客戶和 ASP 之間良好的職業工作關系。客戶關系管理人員必須介入 MOF 的所有其它層面。例如,客戶關系管理人員在 SLA 協商期間促進 ASP 與客戶之間的互動,并參與解決客戶對所提供服務的不滿。如果客戶關系管理人員提供給客戶的解決方案確實安全,那么這對客戶關系管理人員而言就是一個賣點。
與客戶的溝通是 CRM 進行安全管理的的主要方面。
服務管理 在安全管理過程中采取的所有操作都取決于“服務級別協議”中協商一致的服務級別。“服務等級管理”確保指定并實現有關提供給客戶的服務方面的協議。目的是創建最優的 IT 服務,使得客戶對 IT 服務的期望和要求都能得到滿足,并且能為 ASP 和客戶雙方調整相關的成本。
安全事件管理 “安全事件管理”是常規“事件管理”的一個特殊部分。最重要的是 ASP 有一個安全事件的主要聯系位置。這意味著必須要有一個位置,所有的安全事件都在該位置注冊,而且所有的 ASP 雇員和客戶(在必要情況下)都必須知道此位置,這樣他們可在該位置處理安全事件。必須要有一個針對安全事件的步驟,使人明白當宣稱出現安全事件出現時究竟發生了什么情況。
