信息安全治理（四）——創(chuàng)造新的戰(zhàn)略競爭機(jī)遇

申請免費試用、咨詢電話：400-8352-114

信息安全治理（四）

——創(chuàng)造新的戰(zhàn)略競爭機(jī)遇

孫強(qiáng) 左天祖 孟秀轉(zhuǎn)

4. 全面理解信息安全治理

正確實施信息安全治理將提供4個基本成果：

戰(zhàn)略聯(lián)盟

業(yè)務(wù)需求驅(qū)動安全需求；

安全方案適應(yīng)業(yè)務(wù)流程；

信息安全投資與企業(yè)戰(zhàn)略和最大風(fēng)險狀況密切相關(guān)。

價值傳遞

一套安全實務(wù)標(biāo)準(zhǔn)，即最佳安全實務(wù)基準(zhǔn)；

正確區(qū)分行動的優(yōu)先次序并分配給有最大影響和商業(yè)利益的地方；

規(guī)范的、商業(yè)化的解決方案；

完整的解決方案，包括組織、流程和技術(shù)；

持續(xù)改進(jìn)的文化。

風(fēng)險管理

最大風(fēng)險狀況；

了解風(fēng)險暴露程度；

告知管理風(fēng)險的優(yōu)先行動。

績效測量

定義測量標(biāo)準(zhǔn)；

反饋進(jìn)展的測量程序；

獨立性保證。

安全治理負(fù)責(zé)人需要提出一些問題，以幫助人們思考和提高安全意識，發(fā)現(xiàn)信息安全問題，并初步了解解決這些問題的方法。

用來發(fā)現(xiàn)信息安全狀況的問題

上一次管理執(zhí)行層關(guān)注安全相關(guān)的決定是什么時候？管理執(zhí)行層多長時間參與一次安全方案的改進(jìn)？

管理執(zhí)行層知道誰負(fù)責(zé)安全嗎？負(fù)責(zé)人自己知道嗎？其他人都知道嗎？

當(dāng)碰到安全事故時，人們這么認(rèn)為嗎？人們忽視它嗎？他們知道怎樣處理它嗎？

每個人知道公司有多少臺計算機(jī)嗎？管理執(zhí)行層知道計算機(jī)的遺失嗎？

管理執(zhí)行層識別了泄漏后造成困難或競爭劣勢的所有信息（客戶資料，戰(zhàn)略規(guī)劃，研究報告等）嗎？

公司最近遭到病毒攻擊是什么時候？上一年受到多少次病毒攻擊？

有否有人探測公司的網(wǎng)絡(luò)？有過非法入侵嗎？頻率是多少？對公司有什么影響？

是否每個人都知道有多少人使用公司的系統(tǒng)？知道他們能否使用，或使用其做什么嗎？

事后處理還是事前預(yù)防安全問題？

根據(jù)損失的收入，丟失的客戶和投資者的信心，評估一次嚴(yán)重的安全事故的后果是什么？

用來發(fā)現(xiàn)管理執(zhí)行層怎樣看待信息安全的問題：

企業(yè)明確信息安全相對于IT和安全風(fēng)險的定位嗎？企業(yè)趨向于避免風(fēng)險還是接受風(fēng)險？

用于信息安全的費用是多少？用于哪些方面？怎樣花費的？上一年進(jìn)行了什么項目提高信息安全？

上一年多少員工接受了安全培訓(xùn)？管理層多少人接受了培訓(xùn)？

組織怎樣發(fā)現(xiàn)安全事故？怎樣向上級匯報這些事故？管理執(zhí)行層采取什么行動?

管理執(zhí)行層如何準(zhǔn)備從主要的安全事故中恢復(fù)嗎？

有否涉及所有上述問題的安全工作程序？負(fù)責(zé)人的職責(zé)清楚嗎？

自我評價信息安全的實務(wù)準(zhǔn)則

管理執(zhí)行層可以確信在公司安全得到足夠考慮嗎？

管理執(zhí)行層知道最新的安全問題和最佳實踐嗎？

其他人在做什么，企業(yè)怎樣正確處理與他們的關(guān)系？

行業(yè)最佳實踐是什么，本企業(yè)怎樣與其比較？

管理執(zhí)行層清楚表明和宣貫企業(yè)對信息安全的需求嗎？

管理執(zhí)行層認(rèn)為企業(yè)將投資多少用于信息安全的提升？

在制定商業(yè)和IT戰(zhàn)略時考慮了信息安全嗎？

公司跟蹤安全風(fēng)險和可用的技術(shù)方案嗎？

管理執(zhí)行層定期獲得安全狀況和安全提升項目效果的報告嗎？

管理執(zhí)行層建立了獨立的IT安全審計程序嗎？他們關(guān)注審計結(jié)論的執(zhí)行效果嗎？

下列問題為最高管理層（董事會）和管理執(zhí)行層開始實施有效的信息安全治理提供了一種的正確的方法，也是負(fù)責(zé)信息安全治理的人將要提的問題：

需要最高管理層（董事會）回答的問題

信息和信息安全對組織重要嗎？如果是的，最高管理層（董事會）理解信息安全的重要性嗎？

最高管理層（董事會）制定了信息安全政策嗎？如果有，該政策得到持續(xù)的更新嗎？如果沒有制定該政策，原因是什么？

組織哪三項信息資產(chǎn)最關(guān)鍵？

最高管理層（董事會）對這三項關(guān)鍵的信息資產(chǎn)的可用性、保密性和完整性的置信度有多高？

最高管理層（董事會）知道組織最有價值的IT基礎(chǔ)設(shè)施嗎？

在關(guān)鍵信息不可用、受到損害或遺失時，組織能繼續(xù)運作嗎？

根據(jù)損失的收入，丟失的客戶和投資者的信心評估，一次嚴(yán)重的安全事故的后果是什么？IT基礎(chǔ)設(shè)施失效的后果是什么？

信息資產(chǎn)管理要遵循哪些法規(guī)？最高管理層（董事會）是否建立確保他們一致的制度？

信息安全政策要求最高管理層（董事會）和管理執(zhí)行層關(guān)注信息安全（“高層重視”），包括發(fā)現(xiàn)的風(fēng)險，建立恰當(dāng)?shù)幕A(chǔ)設(shè)施管理和控制風(fēng)險，并建立適當(dāng)?shù)目刂坪头答伋绦騿幔?BR>
組織的網(wǎng)絡(luò)經(jīng)由第三方檢測過嗎？ 

組織給所有人提供信息安全意識培訓(xùn)，安全是員工和管理者業(yè)績評估的一部分嗎？

最高管理層（董事會）確信組織足夠重視安全嗎？

需要管理執(zhí)行層回答的問題

怎樣向最高管理層（董事會）通報信息安全問題？最近一次報給最高管理層（董事會）關(guān)于安全風(fēng)險和安全提升狀況簡報是何時？

最近一次評估關(guān)鍵信息安全資產(chǎn)是何時？計劃下一次是什么時候？

風(fēng)險評估是否考慮在關(guān)鍵信息不可用、泄密或遺失時，組織能繼續(xù)運作？它包括從收入損失、失去客戶和投資者信息幾方面考慮的安全事故的后果嗎？它測定信息基礎(chǔ)設(shè)施失效的后果嗎？

風(fēng)險評估考慮哪些信息資產(chǎn)受到法規(guī)的監(jiān)管嗎？它有適當(dāng)?shù)某绦虼_保其符合這些法規(guī)嗎？

IT安全風(fēng)險是IT管理會議的常規(guī)議題嗎？管理層一直在跟蹤改進(jìn)活動嗎？

其他人在做什么，組織怎樣保持與他們的關(guān)系？本行業(yè)最佳實務(wù)是什么？組織怎樣與其對比？

最近一次發(fā)布信息安全政策聲明是什么時候？

政策聲明包括：

——哪些是關(guān)鍵的信息資產(chǎn)？

——最高管理層（董事會）和管理執(zhí)行層對信息安全的重視（“高層重視”）？

——已發(fā)現(xiàn)了什么風(fēng)險？

——是否建立了管理風(fēng)險的控制機(jī)制？

——控制和反饋程序？

最近一次評審信息安全負(fù)責(zé)人業(yè)績是什么時候？信息安全負(fù)責(zé)人有向上層報告安全問題的合適途徑嗎？

建立了何種安全措施保護(hù)連接到因特網(wǎng)的系統(tǒng)不受病毒和其它攻擊？有效監(jiān)控系統(tǒng)并向管理執(zhí)行層報告監(jiān)控結(jié)果了嗎？

最后一次審計信息安全是什么時候？管理執(zhí)行層跟蹤審計結(jié)果的執(zhí)行效果了嗎？

有包含所有上述問題的安全方案嗎？是否清楚地指定該方案的責(zé)任承擔(dān)人？

有些基本的措施可讓最高管理層（董事會）和管理執(zhí)行層采用，以確保他們在組織實施了有效的信息安全治理。這些措施是：

采用最佳實踐

在最高管理層（董事會）層

將信息安全及其持續(xù)性落實到業(yè)務(wù)管理者；

建立審計委員會。該委員會清楚理解其信息安全任務(wù)，知道怎樣與管理層和審計師合作；

確保內(nèi)部和外部審計師同意，審計中包括信息安全審計委員會和管理執(zhí)行層要求的信息安全審計內(nèi)容；

要求信息安全負(fù)責(zé)人向?qū)徲嬑瘑T會報告信息安全治理的進(jìn)展和問題；

建立危機(jī)處理機(jī)制，該機(jī)制要求執(zhí)行管理層和最高管理層（董事會）最初就開始參與。

在執(zhí)行管理層

建立安全職責(zé)，協(xié)助管理者制定政策，并幫助組織實現(xiàn)這些政策；

建立可測量的和易于管理的安全戰(zhàn)略。該戰(zhàn)略以標(biāo)桿、成熟度模型、差距分析和持續(xù)報告績效為基礎(chǔ)；

由安全和審計專家（內(nèi)部的和外部的）籌辦，進(jìn)行年度的業(yè)務(wù)風(fēng)險頭腦風(fēng)暴法會議，得出風(fēng)險現(xiàn)狀評估結(jié)論，產(chǎn)生行動建議，并用持續(xù)的行動強(qiáng)化執(zhí)行效果；

綜合運用專家的知識，制訂信息安全與風(fēng)險應(yīng)急方案；

建立清晰實用的企業(yè)和技術(shù)持續(xù)性方案，不斷評估和更新該方案；

根據(jù)清楚的程序進(jìn)行信息安全審計，管理層有責(zé)任跟蹤審計結(jié)論執(zhí)行情況；

制定清晰的方針政策和詳細(xì)的指南，多和員工就該計劃進(jìn)行溝通，使每個人認(rèn)可該計劃，這就是善治的安全治理；

經(jīng)常性的評估監(jiān)控系統(tǒng)所發(fā)現(xiàn)的系統(tǒng)弱點（CERT），評估非法入侵，壓力測試和業(yè)務(wù)持續(xù)計劃；

使業(yè)務(wù)流程和支持流程的基礎(chǔ)設(shè)施能夠在故障后恢復(fù)，特別是遇到一般的故障時；

建立安全基準(zhǔn)線，并嚴(yán)格監(jiān)控其不被違反；

實施安全事故響應(yīng)制度，并經(jīng)常進(jìn)行入侵測試；

通過高標(biāo)準(zhǔn)的控制來強(qiáng)化所有安全設(shè)施、重要的服務(wù)器和通訊平臺；

基于管理規(guī)則授權(quán)，授權(quán)方式與業(yè)務(wù)風(fēng)險管理相配合；

工作績效評估包含安全績效評估，并對此采取適當(dāng)?shù)莫劻P措施。

思考并分析關(guān)鍵成功因素

確保：

認(rèn)識到好的安全方案需要時間發(fā)展和完善； 

組織安全責(zé)任人直接向高層領(lǐng)導(dǎo)報告并負(fù)責(zé)安全方案的執(zhí)行；

管理層和員工共同理解安全的重要性、必要性、弱點和威脅，理解并接受他們自己的安全責(zé)任；

定期由第三方來評估安全政策和安全的體系結(jié)構(gòu)；

安全負(fù)責(zé)人有管理安全的方法和能力，特別是在通過采取入侵測試和主動監(jiān)控措施時，能將發(fā)生事故的可能性降至最低，但事故不可避免發(fā)生時，對事故偵查、記錄、分析嚴(yán)重性、報告和采取行動的能力；

清楚定義風(fēng)險管理責(zé)任人的任務(wù)和職責(zé)及管理層的責(zé)任；

建立定義風(fēng)險界限和容許的最大風(fēng)險的政策；

存在定義、協(xié)商和資助風(fēng)險管理改善行動的職責(zé)和程序；

每隔一段時期由第三方進(jìn)行更客觀的安全戰(zhàn)略審查；

識別并持續(xù)監(jiān)控關(guān)鍵的基礎(chǔ)設(shè)施；

使用服務(wù)水平協(xié)議提高認(rèn)識，增加與安全和持續(xù)性需求提供商間的合作；

在制定政策時就考慮和確定政策的強(qiáng)制執(zhí)行；

適當(dāng)?shù)臏y量對政策認(rèn)識、理解和遵循的程序；

保證好部署前的應(yīng)用軟件的安全；

信息控制策略與公司整體戰(zhàn)略規(guī)劃相一致；

管理層確信和認(rèn)可信息安全、控制政策，強(qiáng)調(diào)溝通、理解和遵循這些政策的必要性；

采用一致的政策制定框架，指導(dǎo)政策的構(gòu)思、制定、理解和遵循；

意識到雖然熟悉內(nèi)幕的專業(yè)人士是絕大部分安全風(fēng)險的根源，但有組織犯罪性質(zhì)的攻擊和其他沒有專業(yè)知識人員的攻擊正在增加；

適當(dāng)關(guān)注數(shù)據(jù)保密性、版權(quán)和其它與數(shù)字時代有關(guān)的法律；

組織高層支持確保員工以合乎道德、安全的方式履行責(zé)任的行動；

榜樣的力量是無窮的。管理層必須明白信息安全對于組織成功的關(guān)鍵意義，帶頭遵守有關(guān)規(guī)章制度，為所有員工樹立起安全意識的榜樣。

介紹績效測量標(biāo)準(zhǔn)

通過以下方面確定在信息安全上是否成功：

沒有引起公眾困惑的事故；

減少因為安全問題延遲新行動計劃的數(shù)量；

有保持依賴IT的關(guān)鍵業(yè)務(wù)流程連貫性的計劃；

自動監(jiān)控重要的信息基礎(chǔ)設(shè)施；

員工在以下方面的進(jìn)步可以測量：認(rèn)識有道德的行為的必要性、系統(tǒng)安全原理和以道德的及安全的方式評估業(yè)績；

通過以下方面確定信息安全治理是否成功：

全面遵循最低安全要求，或者記錄違背最低安全要求的行為；

制定和確認(rèn)的與IT有關(guān)的規(guī)劃和政策包含IT安全的任務(wù)、遠(yuǎn)景、目標(biāo)、價值和行為守則；

IT安全規(guī)劃和政策傳達(dá)到所有相關(guān)各方。

未完待續(xù)