办事级别办理。平安办理撑持办事级别办理,以确保在平安方面知足客户需求(依照 SLA)。
剖析 ASP 平安风险
平安办理目标是包管信息的平安。更详细地说,就是必需回护信息的价值。价值经由过程以下方面肯定:
秘密性。回护敏感信息不被非受权地公然或侦听。
完全性。回护信息和软件的正确性和完全性。
可用性。确保信息和 ASP 处理计划在需求的时分可用。
回护信息的价值要花钱,不回护也要花钱。若要肯定回护的级别,则需求明白平安办法。因而,无效的平安办理取决于正确的风险剖析,如许可懂得风险的影响和防止风险所需的本钱。风险在生涯中是必定存在的,但只能答应存在可办理的风险。平安办理与某些举动相干,经由过程这些举动将风险坚持在可办理的程度。
顶部代表资产 ― 假如 ASP 的资产很轻易遭到进击而且平安损坏的威逼很大而且影响严重,则平安的风险就很高。如许,办理 ASP 风险的对策就能够采取回护资产的办法。
最少,应该停止以下风险评价举动:
肯定平安风险,如关于撑持 ASP 传递进程的特定 IT 办事组件(资产)的平安风险。典范的风险包含:
损坏客户或用户的隐私(如信誉卡信息、团体设置装备摆设文件、购物举动、帐户数据)
损坏匿名(关于匿名信息源的信息,如暗码)
损坏可验证性(例如不克不及验证正在利用的数据是不是平安)
客户或外部数据的丧失或数据完全性的丧失
病毒(例如 Melissa 和 I Love You 病毒)
物理损坏(例如装备的偷窃和举措措施的居心破坏)
将平安威逼和易受进击性级别分类 ― 评价每一个肯定出的威逼。依据所触及的资产,可在秘密性、完全性和可用性的基本上得出平安分类,此分类与肯定的威逼有关。分类体系必需一直依照客户组织的需求来详细制订。这些分类的示例以下:
ASP 的平安对策
对 ASP 来讲,平安对策可以下降或消弭与供应客户处理计划相干的平安风险。上面是 ASP 的一些好的出发点:
有一个明白的可积极投入利用和遭到监督的平安战略
有一个平安组织,具有明白的义务和义务、指点方针、呈报法式和办法,且这些可以合适 ASP 及其客户的请求
有物理上的平安办法,好比具有独自的盘算机房
有手艺上的平安办法,可供应 ASP 的盘算机体系和收集的平安
有法式化的平安办法,描写 ASP 员工在特定情形下应该若何去做
在“最好做法”一章中,更多地会商了手艺方面的对策。