20080325 - 801 - Scriptie - definitief - Vurore

More documents

Recommendations

Info

In ITIL wordt het perspectief gekozen van de IT-serviceorganisaties. Het doel van hetproces Security Management is tweeledig:1) het realiseren van de beveiligingseisen in de (verschillende) SLA’s en andereexterne vereisten in andere contracten, wetgeving en eventueel intern of externopgelegd beleid.2) Het realiseren van een basisniveau aan beveiliging. Dit is nodig om de eigencontinuïteit van de beheerorganisatie te waarborgen, maar ook om te komen toteen vereenvoudiging van het SLM voor informatiebeveiliging. Het beheer vaneen groot aantal verschillende SLA’s is complexer dan een beperkt aantal.Het proces Security Management heeft relaties met de meeste andere ITILprocessen.In de andere processen moeten namelijk activiteiten plaatsvinden tenbehoeve van beveiliging.De ITIL processen zijn tot op zekere hoogte toe te wijzen aan de drie besturingslagendie in organisaties kunnen worden herkend. In de bovenste laag wordt de strategievan het beheer uitgestippeld. Voor informatiebeveiliging is deze vooral van belangwaar het de organisatie van de beheerorganisatie betreft. De middelste laag(tactiek) bevinden zich de Service Delivery processen. Deze processen zorgen voorhet opstellen van SLA’s en die de dienstverlening verzorgen conform de afspraken indeze SLA’s. De beveiligingsafspraken worden ook in de SLA’s vastgelegd. Het procesSecurity Management bevindt zich ook in deze laag. Dit proces heeft relaties met deandere Service Delivery processen: Service Level Management; Availability Management; Capacity Management; Business Continuity Planning; Financial Management for IT.Tenslotte is er dan nog de onderste laag, de operationele laag. In deze laag zijn deService Support processen te vinden. De Service Support processen verzorgen hetdaadwerkelijk operationeel beheer van IT-middelen zelf. Het proces SecurityManagement is afhankelijk van deze processen omdat dezevoorwaardenscheppend zijn.In de SLA worden afspraken tussen de IT-serviceorganisatie en degebruikersorganisatie vastgelegd.De SLA is de verantwoordelijkheid van het Service Level Management en fungeertals belangrijkste sturingsinformatie voor de ITIL-processen.Beveiligingsparagraaf in de SLADe totstandkoming van de beveiligingsparagraaf in de SLA begint bij debeveiligingsbehoefte van de klant. De klant geeft uitdrukking aan de belangen vanzijn bedrijfsprocessen. Deze bedrijfsprocessen zijn afhankelijk van IT en daarom vande IT-beheerorganisatie. Hoe de beveiligingsbehoefte moet worden bepaald vormtgeen onderdeel van ITIL. Doorgaans wordt gebruik gemaakt van een risicoanalyse.Uit deze analyse komen dan de service level requirements voor beveiliging.De vertegenwoordiger van de gebruikersorganisatie en de accountmanager vande IT-serviceorganisatie treden hierover in onderhandeling. De IT-serviceorganisatielegt zijn standaard aanbod (vastgelegd in een Service Catalogus) naast de door deklant gedefinieerde service level requirements. In de Service Catalogus is hetbasisniveau van beveiliging ofwel security baseline weergegeven.Afstudeerscriptie team <strong>801</strong> blz. 40 van 49
De klant en de accountmanager stellen samen vast hoe de service levelrequirements en de service catalogus op elkaar passen.Relatie Security Management met Service Level Management.SLM zorgt ervoor dat afspraken worden vastgelegd en nagekomen over de dienstendie aan gebruikersorganisaties (klanten) worden geleverd. Het doel is te komen toteen optimaal niveau van IT-dienstverlening. SLM onderscheidt een aantalsamenhangende beveiligingsactiviteiten waarin Security Management eenbelangrijke rol speelt: identificatie van de beveiligingsbehoefte van de klant (het vaststellen van debeveiligingsbehoefte blijft de verantwoordelijkheid van de klant zelf omdat dezebehoefte voortkomt uit zijn bedrijfsbelangen); verifiëren van de haalbaarheid van deze beveiligingsbehoefte van de klant; voorstellen doen voor, onderhandelen over en vastleggen van het gewenstebeveiligingsniveau van de IT-diensten in de SLA; doen bepalen, opstellen en vastleggen van interne beveiligingsnormen voor deIT-dienstverlening; doen bewaken van die beveiligingsnormen; rapporteren over geleverde IT-diensten.Voor de eerste drie activiteiten levert Security Management input en ondersteuningaan SLM. Activiteiten vier en vijf worden uitgevoerd door Security Management.Voor activiteit zes levert onder andere Security Management input. Dedaadwerkelijke uitvoering van de werkzaamheden is een kwestie van overleg tussende SLM en de SM.Afstudeerscriptie team <strong>801</strong> blz. 41 van 49
Page 5 and 6: InhoudsopgaveColofon ______________
Page 7 and 8: De relatie tussen de gebruikersorga
Page 9 and 10: OnderzoeksmethodenDe methode van on
Page 11 and 12: 2 Theoretisch kader SLA’s en beve
Page 13 and 14: 2.2.2 Kenmerken/typering van de IT-
Page 15: Onderstaande figuur geeft de indeli
Page 18 and 19: 2.6.2 BetrokkenenHet is belangrijk
Page 20 and 21: 3 Uitkomsten praktijkonderzoek3.1 I
Page 22 and 23: Dit is aangegeven als vanzelfspreke
Page 24 and 25: 3.5 Inhoud van een SLA (beveiliging
Page 26 and 27: Er zijn ook enkele verschillen te c
Page 28 and 29: 5 Conclusies en aanbevelingenDit ho
Page 30 and 31: LiteratuurlijstDe opgenomen nummers
Page 32 and 33: 2.2.3 Onderwerp van overeenkomstAan
Page 34 and 35: 2.9 Aanpassingen van de SLA2.9.1 Wi
Page 36 and 37: 2.11.4 GeschillenBeschrijving van h
Page 38 and 39: VIR 2007 en beveiligingBij systemen
Page 42 and 43: Bijlage 3 - gehanteerde gestructure
Page 44 and 45: Inhoud specifiek m.b.t. beveiliging
Page 46 and 47: Inhoud van eenSLA (beveiliging)Begr
Page 48 and 49: Samenstellen SLAHet gebruik maken v

20080325 - 801 - Scriptie - definitief - Vurore

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?