ITIL 保證信息安全措施切實在戰(zhàn)略、戰(zhàn)術(shù)和運行三個層次得到有效的實施。信息安全被認為是 一個控制、計劃、實施、評估和維護反復(fù)的過程。 

 ITIL 把信息安全分解為：

   策略：組織要達到的總體目標 

   過程：要實現(xiàn)目標采取的行為 

   程序：何人、何時、如何實現(xiàn)目標 

   規(guī)程：采取具體行為的規(guī)程 

ITIL 定義信息安全為一個不斷的檢查和改進的循環(huán)過程，鑒于一些組織把實施和監(jiān)控作為一個步驟，ITIL 信息安全過程可以描述7 個步驟： 

    1.  IT 客戶通過風(fēng)險分析識別其安全需求； 

    2.  IT 部門分析這些安全需求的可行性，并且把其和組織最小信息安全基線相比較； 

    3.  客戶和IT 組織協(xié)商確定服務(wù)級別協(xié)議(SLA)，SLA 包括以可測量的目標描述的信息安 全需求和驗證其是否達到的方法。 

    4.  在IT 組織內(nèi)協(xié)商和定義運行級別協(xié)議（OLA），詳細描述如何提供信息安全服務(wù)。 

    5.  實現(xiàn)和監(jiān)控SLA 和OLA； 

    6.  定期向客戶報告所提供的信息安全服務(wù)的有效性和狀態(tài)； 

    7.  有必要的條件下更改SLA 和OLA。 

 服務(wù)級別協(xié)議 

 SLA 是ITIL 信息安全過程中一個關(guān)鍵的部分，是一個描述服務(wù)級別的書面正式協(xié)議，包括IT 負責(zé)提供的信息安全。SAL 應(yīng)該包括關(guān)鍵的性能指標和性能評價準則，通常SLA 中信息安全陳述包括下面幾個方面： 

•     允許的訪問手段 

•     允許審計和記錄日志 

•     物理安全措施 

•     用戶信息安全培訓(xùn) 

•     用戶訪問授權(quán)規(guī)程 

•     報告和調(diào)查信息安全事故 

•     期望的報告和審計 

 上述過程的詳細信息和服務(wù)桌面的功能可以在本文后面的參考文獻中找到。 

 除了SLA 和OLA，ITIL 定義了其他三個信息安全文檔： 

•      信息安全策略：ITIL 指出信息安全策略應(yīng)該來高級管理層，包括下面內(nèi)容： 

      1. 組織信息安全的目標和范圍 

        2. 信心安全管理的目的和制度 

         3. 信息安全角色和職責(zé) 

•     信息安全計劃：描述安全策略在一個特定的信息系統(tǒng)和/或業(yè)務(wù)部門如何實現(xiàn)； 

•     信息安全手冊：日常的操作文檔，給出具體的詳細的工作規(guī)程。