在 ASP 的安全管理過(guò)程中，必須有一個(gè)通道來(lái)及時(shí)地傳遞任何一個(gè)給定點(diǎn)的現(xiàn)有狀態(tài)。安全策略充當(dāng)了這一角色。它們是對(duì) ASP 一貫使用的當(dāng)前安全要求和指導(dǎo)方針以及步驟的書(shū)面表示。一致的策略將使 ASP 內(nèi)部清楚在安全方面必須做什么。如果 ASP 要看到在安全狀態(tài)上的迅速改進(jìn)，則建立安全策略是評(píng)估之后的邏輯步驟，并且應(yīng)當(dāng)啟動(dòng)而作為安全規(guī)劃的一個(gè)輔助因素。

當(dāng)安全管理的規(guī)劃展開(kāi)時(shí)，環(huán)境中的特定因素將會(huì)改變。出現(xiàn)變化時(shí)，策略將被檢查并修改，以確保它們傳遞的是保護(hù) ASP 環(huán)境的當(dāng)前規(guī)劃。在六到十二個(gè)月之間必須至少對(duì)安全策略檢查一次，當(dāng)然每當(dāng)由于各種原因需要對(duì)策略進(jìn)行更改時(shí)也要如此。因此，安全策略是一項(xiàng)持續(xù)進(jìn)行的工作。

開(kāi)發(fā) ASP 安全策略的步驟

下列步驟是定義安全策略中的基本步驟。

了解安全策略由什么組成。

安全策略定義 ASP 如何管理、保護(hù)和分配敏感的信息和資源
在連接到 Internet 之前，任何 ASP 都應(yīng)當(dāng)開(kāi)發(fā)出一個(gè)策略，其中要明確地指定將使用的解決方案以及如何使用這些解決方案
該策略應(yīng)當(dāng)明確、簡(jiǎn)潔并易于理解，同時(shí)有更改策略的內(nèi)置機(jī)制（靈活性）
默認(rèn)策略：除非明確允許，否則不使用它
理解安全策略必須要遵守什么要求。

在“服務(wù)級(jí)別協(xié)議”中定義的外部客戶要求
涉及安全性的外部法律要求
外部供應(yīng)商安全策略
內(nèi)部 ASP 安全策略
在 ASP 和客戶環(huán)境的集成情況下，內(nèi)部/外部的安全策略
理解應(yīng)如何考慮安全策略；確定要保護(hù)什么。

計(jì)算機(jī)資源
關(guān)鍵系統(tǒng)
敏感系統(tǒng)
客戶和公司數(shù)據(jù)
關(guān)鍵數(shù)據(jù)
敏感數(shù)據(jù)
公用數(shù)據(jù)
確定安全策略指導(dǎo)方針。

開(kāi)發(fā)一個(gè)雙級(jí)別的策略

高級(jí)別策略
從客戶的角度編寫(xiě)

保持簡(jiǎn)單

避免技術(shù)術(shù)語(yǔ)并包含對(duì)它的解釋

低級(jí)別策略
為實(shí)施者而編寫(xiě)

有關(guān)如何執(zhí)行的詳細(xì)技術(shù)說(shuō)明

包括篩選規(guī)則等

安全策略必須以 ASP 客戶的實(shí)際條件為基礎(chǔ)；它應(yīng)當(dāng)明確、一致、簡(jiǎn)潔和易于理解。
提供定期檢查和檢驗(yàn)
ASP 服務(wù)的管理
客戶關(guān)系管理
客戶關(guān)系管理的內(nèi)容是發(fā)展及培養(yǎng)客戶和 ASP 之間良好的職業(yè)工作關(guān)系?？蛻絷P(guān)系管理人員必須介入 MOF 的所有其它層面。例如，客戶關(guān)系管理人員在 SLA 協(xié)商期間促進(jìn) ASP 與客戶之間的互動(dòng)，并參與解決客戶對(duì)所提供服務(wù)的不滿。如果客戶關(guān)系管理人員提供給客戶的解決方案確實(shí)安全，那么這對(duì)客戶關(guān)系管理人員而言就是一個(gè)賣(mài)點(diǎn)。

與客戶的溝通是 CRM 進(jìn)行安全管理的的主要方面。

服務(wù)管理
在安全管理過(guò)程中采取的所有操作都取決于“服務(wù)級(jí)別協(xié)議”中協(xié)商一致的服務(wù)級(jí)別?！胺?wù)等級(jí)管理”確保指定并實(shí)現(xiàn)有關(guān)提供給客戶的服務(wù)方面的協(xié)議。目的是創(chuàng)建最優(yōu)的 IT 服務(wù)，使得客戶對(duì) IT 服務(wù)的期望和要求都能得到滿足，并且能為 ASP 和客戶雙方調(diào)整相關(guān)的成本。

因此 SLA 還必須包括一段內(nèi)容，規(guī)定有關(guān)要采取的安全措施的協(xié)議（參見(jiàn)附錄中有關(guān)安全部分的框架）。從安全的角度來(lái)看，對(duì)于“服務(wù)等級(jí)管理”，需要檢查某些活動(dòng)。

對(duì)客戶的安全要求和期望的認(rèn)定。
對(duì)客戶的這些安全要求和期望的可行性驗(yàn)證。
對(duì)建議和 IT 服務(wù)所需安全級(jí)別記錄的協(xié)商。
確定、起草和建立 IT 服務(wù)的安全標(biāo)準(zhǔn)。
監(jiān)視這些安全標(biāo)準(zhǔn)。
報(bào)告所提供服務(wù)在安全方面的有效性和狀態(tài)。
獲得安全方面的反饋和評(píng)估。
有關(guān) CRM 和“服務(wù)管理”之間關(guān)系方面的詳細(xì)信息，請(qǐng)參見(jiàn) ITIL Library： http://www.itil.co.uk/

更改管理
管理更改是維護(hù)系統(tǒng)正常運(yùn)行和完整性的重要方面。更改控制過(guò)程提供了批準(zhǔn)更改并對(duì)請(qǐng)求的更改進(jìn)行全面考慮的機(jī)會(huì)。這種分析可實(shí)現(xiàn)安全風(fēng)險(xiǎn)的評(píng)估。

已定義的更改和目的

對(duì)于所要進(jìn)行的工作或要實(shí)現(xiàn)的更改，應(yīng)當(dāng)完成其成文的定義。這應(yīng)包括更改的目的、更改將產(chǎn)生的結(jié)果以及預(yù)計(jì)對(duì)其它系統(tǒng)產(chǎn)生的影響。安全過(guò)程將通過(guò)該定義來(lái)確定安全的效果。

風(fēng)險(xiǎn)評(píng)估

對(duì)于將要進(jìn)行的更改，需要完成有關(guān)的風(fēng)險(xiǎn)評(píng)估。此安全風(fēng)險(xiǎn)評(píng)估的范圍可以從無(wú)風(fēng)險(xiǎn)到高風(fēng)險(xiǎn)。作為風(fēng)險(xiǎn)評(píng)估的一部分，安全風(fēng)險(xiǎn)也需要進(jìn)行評(píng)估，并需確定其對(duì) ASP 業(yè)務(wù)的影響。

批準(zhǔn)過(guò)程

安全管理員負(fù)責(zé)批準(zhǔn)更改的安全考慮事項(xiàng)。沒(méi)有他的批準(zhǔn)，更改將被拒絕（除非定義了可以滿足應(yīng)急條件的附加安全對(duì)策）。

驗(yàn)證更改的步驟

需要用有關(guān)步驟的信息來(lái)驗(yàn)證進(jìn)行的更改是否具有所需的安全性。實(shí)施更改后，應(yīng)當(dāng)執(zhí)行該步驟，并根據(jù)預(yù)先定義的結(jié)果采取措施。

安全事件管理
“安全事件管理”是常規(guī)“事件管理”的一個(gè)特殊部分。最重要的是 ASP 有一個(gè)安全事件的主要聯(lián)系位置。這意味著必須要有一個(gè)位置，所有的安全事件都在該位置注冊(cè)，而且所有的 ASP 雇員和客戶（在必要情況下）都必須知道此位置，這樣他們可在該位置處理安全事件。必須要有一個(gè)針對(duì)安全事件的步驟，使人明白當(dāng)宣稱(chēng)出現(xiàn)安全事件出現(xiàn)時(shí)究竟發(fā)生了什么情況。

事件控制員必須有一個(gè)任務(wù)報(bào)告腳本，其中描述安全事件問(wèn)題。依照此任務(wù)報(bào)告腳本，事件控制員將得出結(jié)論：這是安全事件、不是安全事件或者他不能斷定該事件。在肯定或不能斷定安全事件的情況下，必須執(zhí)行安全事件進(jìn)程和步驟。涉及安全事件時(shí)，不要冒險(xiǎn)。對(duì)安全事件進(jìn)程和步驟的說(shuō)明需要安全管理和事件管理的共同努力。

發(fā)現(xiàn)事件后需要采取的步驟為：

注冊(cè)；需要對(duì)基本的事件細(xì)節(jié)進(jìn)行注冊(cè)，并根據(jù)需要向?qū)＜医M發(fā)出警報(bào)。
分類(lèi)和初始支持；有必要獲得來(lái)自最新的“配置管理數(shù)據(jù)庫(kù)”(CMDB) 的信息，以確定正在發(fā)生的是何種類(lèi)型的安全事件。還將執(zhí)行對(duì)上次事件信息的檢查。
調(diào)查和診斷；如果較早的檢查沒(méi)有提供所需的信息，則開(kāi)始對(duì)更新后的安全事件細(xì)節(jié)和配置細(xì)節(jié)進(jìn)行更嚴(yán)格的調(diào)查，以確定這是什么類(lèi)型的安全事件。開(kāi)始診斷，并且必須制定出明確的解決方案。
解決和恢復(fù)；此時(shí)必須要有一個(gè)解決方案。當(dāng)解決安全事件需要進(jìn)行任何更改時(shí)，“更改過(guò)程”必須對(duì)更改請(qǐng)求作出緊急響應(yīng)。
事件結(jié)束；此時(shí)初始事件已經(jīng)得到解決。有關(guān)該事件的信息已經(jīng)正確地記錄下來(lái)，以備在該安全事件可能再次出現(xiàn)時(shí)使用。
此“安全事件管理過(guò)程”中涉及的人員（突發(fā)事件管理員、安全管理員、事件控制員、支持人員）必須都明白出現(xiàn)安全事件時(shí)需要如何去做。他們還必須意識(shí)到可用于解決安全事件的時(shí)限。在 ASP 和客戶規(guī)定的 SLA 中有這些時(shí)限（服務(wù)級(jí)別）的說(shuō)明。

應(yīng)急規(guī)劃
“應(yīng)急規(guī)劃”過(guò)程負(fù)責(zé)制定災(zāi)難恢復(fù)計(jì)劃。但是從安全的角度來(lái)看，ASP 希望確保出現(xiàn)災(zāi)難時(shí)采取準(zhǔn)確的行動(dòng)。因此，需要定義一些內(nèi)容，如應(yīng)急規(guī)劃的安全方面、ASP 或客戶組織中有可能被災(zāi)難摧毀的部分、組織中不允許被災(zāi)難摧毀的部分（因?yàn)檫@將意味著該組織不再存在）。SLA 對(duì)此有何規(guī)定？

該過(guò)程中關(guān)鍵是對(duì)應(yīng)急過(guò)程中所涉及的所有員工進(jìn)行培訓(xùn)。危機(jī)當(dāng)中，幾乎沒(méi)有時(shí)間作出決定，因此大家必須如熟悉日常工作一樣熟悉應(yīng)急過(guò)程。

有關(guān) ASP 應(yīng)急規(guī)劃的白皮書(shū)更深入地介紹了如何管理應(yīng)急過(guò)程。