ITIL 保證信息安全措施切實(shí)在戰(zhàn)略、戰(zhàn)術(shù)和運(yùn)行三個(gè)層次得到有效的實(shí)施。信息安全被認(rèn)為是 一個(gè)控制、計(jì)劃、實(shí)施、評(píng)估和維護(hù)反復(fù)的過(guò)程。 

 ITIL 把信息安全分解為：

   策略：組織要達(dá)到的總體目標(biāo) 

   過(guò)程：要實(shí)現(xiàn)目標(biāo)采取的行為 

   程序：何人、何時(shí)、如何實(shí)現(xiàn)目標(biāo) 

   規(guī)程：采取具體行為的規(guī)程 

ITIL 定義信息安全為一個(gè)不斷的檢查和改進(jìn)的循環(huán)過(guò)程，鑒于一些組織把實(shí)施和監(jiān)控作為一個(gè)步驟，ITIL 信息安全過(guò)程可以描述7 個(gè)步驟： 

    1.  IT 客戶通過(guò)風(fēng)險(xiǎn)分析識(shí)別其安全需求； 

    2.  IT 部門分析這些安全需求的可行性，并且把其和組織最小信息安全基線相比較； 

    3.  客戶和IT 組織協(xié)商確定服務(wù)級(jí)別協(xié)議(SLA)，SLA 包括以可測(cè)量的目標(biāo)描述的信息安 全需求和驗(yàn)證其是否達(dá)到的方法。 

    4.  在IT 組織內(nèi)協(xié)商和定義運(yùn)行級(jí)別協(xié)議（OLA），詳細(xì)描述如何提供信息安全服務(wù)。 

    5.  實(shí)現(xiàn)和監(jiān)控SLA 和OLA； 

    6.  定期向客戶報(bào)告所提供的信息安全服務(wù)的有效性和狀態(tài)； 

    7.  有必要的條件下更改SLA 和OLA。 

 服務(wù)級(jí)別協(xié)議 

 SLA 是ITIL 信息安全過(guò)程中一個(gè)關(guān)鍵的部分，是一個(gè)描述服務(wù)級(jí)別的書面正式協(xié)議，包括IT 負(fù)責(zé)提供的信息安全。SAL 應(yīng)該包括關(guān)鍵的性能指標(biāo)和性能評(píng)價(jià)準(zhǔn)則，通常SLA 中信息安全陳述包括下面幾個(gè)方面： 

•     允許的訪問(wèn)手段 

•     允許審計(jì)和記錄日志 

•     物理安全措施 

•     用戶信息安全培訓(xùn) 

•     用戶訪問(wèn)授權(quán)規(guī)程 

•     報(bào)告和調(diào)查信息安全事故 

•     期望的報(bào)告和審計(jì) 

 上述過(guò)程的詳細(xì)信息和服務(wù)桌面的功能可以在本文后面的參考文獻(xiàn)中找到。 

 除了SLA 和OLA，ITIL 定義了其他三個(gè)信息安全文檔： 

•      信息安全策略：ITIL 指出信息安全策略應(yīng)該來(lái)高級(jí)管理層，包括下面內(nèi)容： 

      1. 組織信息安全的目標(biāo)和范圍 

        2. 信心安全管理的目的和制度 

         3. 信息安全角色和職責(zé) 

•     信息安全計(jì)劃：描述安全策略在一個(gè)特定的信息系統(tǒng)和/或業(yè)務(wù)部門如何實(shí)現(xiàn)； 

•     信息安全手冊(cè)：日常的操作文檔，給出具體的詳細(xì)的工作規(guī)程。