[发明专利]管理安全性相关的信息技术服务

说明书

公开了一种用于管理信息技术服务的方法、设备和系统。基于关于信息技术服务的安全因素的评估信息和关于信息技术服务的当前安全控件组的性能信息，确定与组织中的安全性相关的信息技术服务的当前安全保证级别。基于信息技术服务的关键性确定信息技术服务的目标安全保证级别。在显示系统上显示当前安全保证级别和目标安全保证级别之间的差异的图形表示。当差异大于阈值时，显示附加安全控件的图形指示，该附加安全控件如果为信息技术服务实现，则导致当前安全保证级别和目标安全保证级别之间的差异在用于保护信息技术服务的所期望安全保证级别之内。

技术领域

本公开总体上涉及一种改进的计算机系统，并且尤其涉及一种用于在信息技术服务包括物理部件的组织中管理与安全性相关的信息技术服务的方法、设备、系统和计算机程序产品。

背景技术

关于与安全性相关的信息技术服务，发布了网络安全标准以用于提供保护组织环境的标准。该环境包括用户、网络、装置、软件和可操作以对与安全性相关的信息技术服务提供一定水平的保护的其他部件。

可以使用行业标准方法来计算网络安全保证级别(SAL)，以客观地代表目前对于保护组织中的信息和部件的相对安全性。当前，诸如完整性、机密性和可用性之类的因素用于计算组织的安全保证级别。可以向组织中的个人提出问题，从中可以使用答案来计算组织的安全保证级别。可以生成描述需要改进的一个或更多个区域的报告。

然而，用于计算组织的安全保证级别的通用行业技术比期望的要困难得多。当前技术难以应用于不同的组织，并且在进行这些计算时需要广泛的学科专长(SME)。例如，如果没有组织中的个人具有关于组织环境中使用的不同硬件和软件部件的专业知识，就无法做出关于组织的问题的答案。

因此，期望有一种方法和设备考虑到上述问题中的至少一些以及其他可能的问题。例如，期望有一种方法和设备克服确定组织的安全保证级别的技术问题。

发明内容

本公开的实施例提供了一种用于管理信息技术服务的方法。接收关于与组织中的安全性相关的信息技术服务的关键性和安全因素组的评估信息。基于关于信息技术服务的安全因素组的评估信息和关于信息技术服务的当前安全控件组的性能信息，确定信息技术服务的当前安全保证级别。基于关于信息技术服务的关键性的信息，确定信息技术服务的目标安全保证级别。确定当前安全保证级别和目标安全保证级别之间的差异。将该差异与用于防止对信息技术服务的攻击的所期望安全保证级别的阈值进行比较。当差异大于阈值时，显示附加安全控件组的图形指示，附加安全控件组如果为信息技术服务实现，则导致当前安全保证级别和目标安全保证级别之间的差异在防止对信息技术服务的攻击的所期望安全保证级别之内。

本公开的另一个实施例提供了一种管理信息技术服务的方法。基于与信息技术服务的安全因素组有关的评估信息和与信息技术服务的当前安全控件组有关的性能信息，确定与组织中的安全性相关的信息技术服务的当前安全保证级别。基于关于信息技术服务的关键性的评估信息，确定信息技术服务的目标安全保证级别。在显示系统上显示当前安全保证级别和目标安全保证级别之间的差异的图形表示。当差异大于阈值时，显示附加安全控件组的图形指示，附加安全控件组如果为信息技术服务实现，则导致当前安全保证级别和目标安全保证级别之间的差异在防止对信息技术服务的攻击的所期望安全保证级别之内。