信息安全治理（三）——創(chuàng)造新的戰(zhàn)略競爭機遇

申請免費試用、咨詢電話：400-8352-114

信息安全治理（三）

——創(chuàng)造新的戰(zhàn)略競爭機遇

孫強 左天祖 孟秀轉

3. 誰應該關注信息安全治理，關注什么？

信息安全經(jīng)常被看作只是一個技術問題，很少有組織認為其是組織必需的并優(yōu)先考慮它。所以，治理和管理安全提升的責任被限制在技術負責人。但是現(xiàn)在信息安全越來越成為業(yè)務成功的關鍵因素。組織最高管理層（董事會）和執(zhí)行管理層（如 CIO）越來越重視信息安全工作，他們關注的核心是安全性將如何幫助組織達到業(yè)務目標或創(chuàng)造新的戰(zhàn)略競爭機遇，而不僅僅是具體的技術環(huán)節(jié)。從安全性角度而言，高層關注的目標包括以下幾方面：

商務運作中斷：由于攻擊造成的停工會導致生產(chǎn)率降低和收入損失，而與恢復受攻擊的網(wǎng)絡相關的花費又會增加處理攻擊事件的總體財務成本。一旦受到攻擊，企業(yè)通常會部署解決團隊來幫助客戶、員工以及合作伙伴盡快恢復業(yè)務。在修復之前，不僅業(yè)務會停頓，而且解決團隊疲于應對，無法進行其日常工作，這些都造成了生產(chǎn)率的極大損失。

法律責任和潛在訴訟：受到攻擊的企業(yè)可能需要作為被告或關鍵證人出庭。要求遵守隱私和安全性法規(guī)的企業(yè)（如金融機構）可能需要證明其為將網(wǎng)絡攻擊的威脅降至最小而付出的艱辛努力。這一過程將極大地消耗員工的工作效率和企業(yè)的現(xiàn)金流。

競爭力下降：信息通常被認為是企業(yè)最寶貴的資產(chǎn)（70% 或更多公司的價值在于其知識產(chǎn)權資產(chǎn))，這部分數(shù)據(jù)的損失或被竊可能造成嚴重后果，甚至會威脅企業(yè)在市場中的地位。根據(jù) 2002 CSI/FBI 計算機犯罪與安全調(diào)查的調(diào)查結果，由于安全性被破壞而導致的最為嚴重的財務損失包括所有權信息的被竊(26個被訪者報告的損失超過$170,000,000)。

品牌資產(chǎn)被損害：對企業(yè)品牌的損害可能會有多種形式，但每種形式都會降低企業(yè)在市場中的地位。例如，如果企業(yè)的客戶數(shù)據(jù)（如信用卡信息）被竊并被公布到其他 Web 站點上，該企業(yè)可能會陷入難以使客戶對其品牌恢復信任的困境。

高層管理者有責任思考這些問題，最高管理層（董事會）也將被希望讓信息安全成為IT治理固有的一部分，最好與IT治理過程集成。

在這點上，IT治理委員會和執(zhí)行管理層將對以下幾個方面進行評審：

現(xiàn)在和未來投資于信息技術的規(guī)模和費用；

技術顯著改變組織和商業(yè)運作，創(chuàng)造新的機會，和降低成本的潛力；

同時，他們也應該考慮由此導致的后果：

更加依賴信息、系統(tǒng)和傳送信息的通訊系統(tǒng)；

對企業(yè)無法直接控制的外部組織的依賴；
 
由于IT故障對企業(yè)聲譽和價值的影響；

為了有效進行公司治理和IT治理，最高管理層（董事會）和執(zhí)行管理層必須對應從企業(yè)的信息安全治理所抱的期望有一個清晰的了解。他們必須知道怎樣實施信息安全治理，怎樣評價其在安全治理過程中的恰當身份，和怎樣確定所需的安全程序。

鑒于安全從來就不是一種非黑即白的概念，其背景關系遠比技術更重要。因此，管理好信息安全需要最高管理層（董事會）、管理執(zhí)行層和業(yè)務流程所有者的更多參與；貫徹好信息安全需要信息系統(tǒng)審計師、安全專家、技術和業(yè)務等各方面的專家，所有相關各方應參與這個過程。

今年的9月17日，美國聯(lián)邦政府公布了由關鍵基礎設施委員會（CIPB）制訂的保障網(wǎng)絡安全計劃——《國家保障網(wǎng)絡安全策略》。根據(jù)該計劃，美國政府將在網(wǎng)絡安全中發(fā)揮主導作用，同時會要求所有用戶采取措施，但沒有通過加強立法強制采取行動。美國總統(tǒng)的網(wǎng)絡安全特別顧問、CIPB主席Richard Clarke表示，安全策略不會成為靜態(tài)的文件，而是將不斷變化和更新，以適應環(huán)境的變化。這份計劃顯示，美國政府不會制訂法律強制私有企業(yè)采取行動。但美國政府會在面臨重大事故時尋求通過立法，以保護美國人民的健康、安全和幸福。根據(jù)這份65頁的文件，政府應該首先采用安全的網(wǎng)絡協(xié)議、對IT企業(yè)進行認證、擴大安全評估和政策工具的適用范圍，并考慮安全與應急準備演習。該文件還要求上市公司發(fā)布經(jīng)過獨立審計的安全報告，建議公司成立公司安全委員會，選用多家IT企業(yè)的產(chǎn)品以降低風險。該文件要求一直是網(wǎng)絡攻擊溫床的大學，與Internet服務提供商和執(zhí)法機構建立24小時的聯(lián)系。發(fā)電廠、水處理設施和其他部門應認真審核將系統(tǒng)與Internet連接的風險，并在兩年內(nèi)采取實施安全認證等措施。CIPB建議成立網(wǎng)絡運營中心（NOC），由IT行業(yè)、計算機應急反應小組和信息共享與分析中心（ISAC）共同參與。

根據(jù)我國的國情，我們認為有效的信息安全治理需要最高管理層（董事會）和管理執(zhí)行層：

理解信息安全治理的必要性

風險和威脅真實存在并有可能給組織造成重大影響；

有效的信息安全需要上層管理者到下層員工一致的、統(tǒng)一的行動；

IT投資額巨大但容易投向錯誤方向；

文化和組織因素同等重要；

必須建立并執(zhí)行準則和優(yōu)先級；

必須向電子交易對方證實自己的信用；

需要向與系統(tǒng)有利害關系的各方證實系統(tǒng)安全的可靠性；

安全事故可能暴露于公眾；

可能導致相當大的對公司聲譽的損害。

確保根據(jù)IT治理框架進行信息安全治理

隨著與黑客相關的非法侵入和損失、計算機病毒和其它的以因特網(wǎng)為基礎的威脅之類報道的頻繁出現(xiàn)，組織的利益相關者開始關心與信息安全相關的風險、管理規(guī)定和投資。這使信息安全治理成為組織管理執(zhí)行層和最高管理層（董事會）必須經(jīng)常關注的工作。
有效的安全防衛(wèi)不僅是技術問題，它也是一個管理問題。管理相關的風險必須考慮公司文化、管理者的安全意識和行為，同時，負責治理的各方共享信息對成功的安全治理也極為重要。

信息安全管理，像其它控制和管理活動一樣，是一種轉移風險的方法，因此，它應該與公司治理協(xié)調(diào)一致。事實上，IT治理本身正形成一個獨立的分支，成為公司治理必不可少的一部分，它的目標是保證：

IT與商業(yè)緊密相連，實現(xiàn)商業(yè)目標，最大化商業(yè)收益；
 
IT資源被可靠地使用；

正確管理與IT相關的風險。

在IT治理中，信息安全治理受到密切的關注，特別是信息完整性、持續(xù)服務和信息資產(chǎn)保護幾個方面。

長期以來，信息安全被看作消極因素，不產(chǎn)生價值。然而，全球網(wǎng)絡的出現(xiàn)和企業(yè)傳統(tǒng)邊界地延伸，使其成為價值和機會的創(chuàng)造者，特別在提升IT利益各方的信任感方面。

因此，信息安全治理必將成為IT治理的一個重要且必不可少的部分，忽略信息安全治理將使IT價值的創(chuàng)造無法持久。

采取最高管理層（董事會）級的行動

及時了解信息安全狀況；

確定方向，驅動方針和戰(zhàn)略，定義全局風險概況；

提供進行信息安全治理所需的資源；

賦予管理者以責任；

確定優(yōu)先級；

支持變革；

定義有關風險意識的文化價值；

獲得內(nèi)部和外部審計師的保證；

要求管理層進行信息安全方面的投資，確定可測量的安全提升措施，并監(jiān)督和報告其執(zhí)行效果。

采取管理執(zhí)行層級的行動

編制信息安全方針政策；（制定方針政策）；

確保每個人清楚知道并了解各自的角色、責任和權力。這對有效的安全是必要的；（角色與責任）

識別威脅，分析弱點和適度關注本行業(yè)的慣例；

建立安全基礎設施；

在公司治理委員會批準，確定相關角色和賦予責任后，開發(fā)安全和控制框架。該框架由標準、評測措施、實務和規(guī)程組成；（設計）

決定可用的資源，對可能的對策排序，實施組織可以承受的最優(yōu)先的對策。及時實施并維護解決方案；（實施）

建立評估措施，查明安全隱患并糾正它們；做到及時發(fā)現(xiàn)、審查所有已存在的或被懷疑的不安全之處并按規(guī)定處理它們；確保采取的行動符合政策、標準和可接受的最低的安全級別；（控制）

定期評審和測試；

實施入侵檢測和突發(fā)事故演習；

宣貫保護信息的必要性，提供安全運作信息系統(tǒng)所需技巧的培訓，對安全事故的快速反應。安全評測和實務方面的教育對組織安全程序的成功特別重要；（宣貫，培訓和教育）

確保安全被作為系統(tǒng)開發(fā)生命周期過程必不可少的一部分考慮，并在這個過程的每個階段明確考慮安全問題。

未完待續(xù)