管理安全性相关的信息技术服务制造技术

公开了一种用于管理信息技术服务的方法、设备和系统。基于关于信息技术服务的安全因素的评估信息和关于信息技术服务的当前安全控件组的性能信息，确定与组织中的安全性相关的信息技术服务的当前安全保证级别。基于信息技术服务的关键性确定信息技术服务的目标安全保证级别。在显示系统上显示当前安全保证级别和目标安全保证级别之间的差异的图形表示。当差异大于阈值时，显示附加安全控件的图形指示，该附加安全控件如果为信息技术服务实现，则导致当前安全保证级别和目标安全保证级别之间的差异在用于保护信息技术服务的所期望安全保证级别之内。安全保证级别之内。

【技术实现步骤摘要】
管理安全性相关的信息技术服务


[0001]本公开总体上涉及一种改进的计算机系统，并且尤其涉及一种用于在信息技术服务包括物理部件的组织中管理与安全性相关的信息技术服务的方法、设备、系统和计算机程序产品。

技术介绍

[0002]关于与安全性相关的信息技术服务，发布了网络安全标准以用于提供保护组织环境的标准。该环境包括用户、网络、装置、软件和可操作以对与安全性相关的信息技术服务提供一定水平的保护的其他部件。
[0003]可以使用行业标准方法来计算网络安全保证级别(SAL)，以客观地代表目前对于保护组织中的信息和部件的相对安全性。当前，诸如完整性、机密性和可用性之类的因素用于计算组织的安全保证级别。可以向组织中的个人提出问题，从中可以使用答案来计算组织的安全保证级别。可以生成描述需要改进的一个或更多个区域的报告。
[0004]然而，用于计算组织的安全保证级别的通用行业技术比期望的要困难得多。当前技术难以应用于不同的组织，并且在进行这些计算时需要广泛的学科专长(SME)。例如，如果没有组织中的个人具有关于组织环境中使用的不同硬件和软件部件本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于管理信息技术服务(102)的方法，所述方法包括：由计算机系统(112)接收(1200)关于与组织(104)中的安全性(106)相关的信息技术服务(108)的关键性(116)和安全因素(118)组的评估信息(114)；由所述计算机系统(112)基于关于所述信息技术服务(108)的所述安全因素(118)组的所述评估信息(114)和关于所述信息技术服务(108)的当前安全控件(124)组的性能信息(122)，确定(1202)所述信息技术服务(108)的当前安全保证级别(120)；由所述计算机系统(112)基于关于所述信息技术服务(108)的所述关键性(116)的所述评估信息(114)确定(1204)所述信息技术服务(108)的目标安全保证级别(130)；由所述计算机系统(112)确定(1206)所述当前安全保证级别(120)和所述目标安全保证级别(130)之间的差异(132)；由所述计算机系统(112)将所述差异(132)与用于防止对所述信息技术服务(108)的攻击的所期望安全保证级别(136)的阈值(134)进行比较；以及当所述差异(132)大于所述阈值(134)时，由所述计算机系统(112)显示(1210)附加安全控件(140)组的图形指示(138)，所述附加安全控件(140)组如果为所述信息技术服务(108)实现，则导致所述当前安全保证级别(120)和所述目标安全保证级别(130)之间的所述差异(132)在防止对所述信息技术服务(108)的所述攻击的所述所期望安全保证级别(136)之内。2.根据权利要求1所述的方法，还包括：由所述计算机系统(112)在显示系统(142)上显示所述当前安全保证级别(120)和所述目标安全保证级别(130)之间的所述差异(132)的图形表示(208)。3.根据权利要求2所述的方法，其中所述图形表示(208)选自蜘蛛图表、雷达图表、雷达图、面积图、直方图、条形图、折线图或组合图表中的至少一个。4.根据权利要求2所述的方法，其中，当所述差异(132)大于所述阈值(134)时，由所述计算机系统(112)显示所述附加安全控件(140)组的所述图形指示(138)，所述附加安全控件(140)组如果为所述信息技术服务(108)实现，则导致所述当前安全保证级别(120)和所述目标安全保证级别(130)之间的所述差异(132)在用于防止对所述信息技术服务(108)的所述攻击的所述所期望安全保证级别(136)之内，所述方法包括：当所述差异(132)大于所述阈值(134)时，由所述计算机系统(112)显示所述附加安全控件(140)组的所述图形指示(138)，所述附加安全控件(140)组如果为所述信息技术服务(108)实现，则导致所述当前安全保证级别(120)和所述目标安全保证级别(130)之间的所述差异(132)在用于防止对所述信息技术服务(108)的所述攻击的所述所期望安全保证级别(136)之内；以及由所述计算机系统(112)在显示系统(142)上显示经调整的安全保证级别与所述当前安全保证级别(120)或所述目标安全保证级别(130)中的至少一个之间的所述差异(132)的图形表示(208)。5.根据权利要求1至4中任一项所述的方法，其中，当所述差异(132)大于所述阈值(134)时，由所述计算机系统(112)显示所述附加安全控件(140)组的所述图形指示(138)，所述附加安全控件(140)组如果为所述信息技术服务(108)实现，则导致所述当前安全保证级别(120)和所述目标安全保证级别(130)之间的所述差异(132)在用于防止对所述信息技
术服务(108)的所述攻击的所述所期望安全保证级别(136)之内，所述方法包括：当所述差异(132)大于所述阈值(134)时，由所述计算机系统(112)显示具有与所述附加安全控件(140)组相关联的链接(210)组的所述图形指示(138)，所述附加安全控件(140)组如果为所述信息技术服务(108)实现，则导致所述当前安全保证级别(120)和所述目标安全保证级别(130)之间的所述差异(132)在用于防止对所述信息技术服务(108)的所述攻击的所述所期望安全保证级别(136)之内，其中对所述链接(210)组中的链接(212)的选择启动了与所述链接(212)对应的安全控件(214)的实施方式。6.根据权利要求1至5中任一项所述的方法，还包括：由所述计算机系统(112)确定所述附加安全控件(140)组，所述附加安全控件(140)组如果为所述信息技术服务(108)实现，则导致所述当前安全保证级别(120)和所述目标安全保证级别(130)之间的所述差异(132)在用于防止对所述信息技术服务(108)的所述攻击的所述所期望安全保证级别(136)之内。7.根据权利要求6所述的方法，其中由所述计算机系统(112)确定所述附加安全控件(140)组，所述附加安全控件(140)组如果为所述信息技术服务(108)实现，则导致所述当前安全保证级别(120)和所述目标安全保证级别(130)之间的所述差异(132)在用于防止对所述信息技术服务(108)的所述攻击的所述所期望安全保证级别(136)之内，所述方法包括：由所述计算机系统(112)从安全控件列表中确定所述附加安全控件(140)组，所述安全控件列表基于安全投资回报来进行优先级排序，其中，所述附加安全控件(140)组如果为所述信息技术服务(108)实现，则导致所述当前安全保证级别(120)和所述目标安全保证级别(130)之间的所述差异(132)在用于防止对所述信息技术服务(108)的所述攻击的所述所期望安全保证级别(136)之内。8.根据权利要求1至7中任一项所述的方法，其中所述当前安全控件(124)组包括软件安全产品(302)，并且其中由所述计算机系统(112)基于关于所述信息技术服务(108)的所述安全因素(118)组的所述评估信息(114)和关于所述信息技术服务(108)的所述当前安全控件(124)组的性能信息(122)，...

【专利技术属性】
技术研发人员：T，
申请(专利权)人：波音公司，
类型：发明
国别省市：