信息安全治理（一）——創(chuàng)造新的戰(zhàn)略競爭機遇

申請免費試用、咨詢電話：400-8352-114

信息安全治理（一）

——創(chuàng)造新的戰(zhàn)略競爭機遇

孫強 左天祖 孟秀轉(zhuǎn)

“技術(shù)本身實際上是信息安全體系里最不重要的部分了。不管一項技術(shù)有多先進(jìn)，都只不過是輔助實現(xiàn)信息安全的手段而已。我們并不是認(rèn)為技術(shù)不重要，但在信息安全的架構(gòu)里，它一定要在好的信息安全治理的基礎(chǔ)上。”

－－作者題記

引言

各種各樣的資料都顯示著：安全缺陷、侵犯，信譽受損，以及災(zāi)難性事件的數(shù)量正隨著時間的推移而增加。我們學(xué)會有關(guān)安全的東西越多——如何設(shè)計系統(tǒng)安全架構(gòu)、如何建立安全的操作系統(tǒng)、采用先進(jìn)的安全技術(shù)和設(shè)備、增加在系統(tǒng)安全上的投資等，可是我們建立的系統(tǒng)越無法面對急劇變化的環(huán)境。Gartner Group最新的一份安全報告告訴我們："各類令企業(yè)損失慘重的安全違規(guī)事件追究到最后是人所造成的，并且發(fā)展成為物理安全和人員的問題。IT安全部門試圖用技術(shù)方法來解決這些安全問題，但這是行不通的。"

當(dāng)年的愛蟲病毒，曾導(dǎo)致了120億美元的損失。大多數(shù)受害組織吸取了教訓(xùn)。他們更新病毒庫、在未安裝掃描工具的郵件服務(wù)器上安裝掃描工具。但是在此事件發(fā)生不足十個月的時間之后，全球再次遭受了同一類型病毒Anna Kournikova的襲擊。直接從技術(shù)的角度去尋求安全問題解決方案，只是解決了問題的一半。

一項研究表明，15年來，每年在信息安全方面的預(yù)算上漲了17倍，但實際花費卻增長了120倍。但是有多少花費起到了作用？可以說直到現(xiàn)在,對于任何一個花費了大量資金在信息安全方面的管理者來說,其收效甚微。

為什么會這樣，組織的最高管理層和管理執(zhí)行層應(yīng)該怎么辦，這正是本文的主題。

組織的最高管理層和管理執(zhí)行層有責(zé)任思考并對以下問題做出答復(fù)：

什么是信息安全？
 
信息安全的重要性在哪里？
 
信息安全應(yīng)由誰負(fù)責(zé)？
 
如何發(fā)現(xiàn)潛在的系統(tǒng)安全弱點？
 
信息安全治理的內(nèi)容；
 
怎樣進(jìn)行信息安全治理；
 
怎樣設(shè)計一個明確的安全體系結(jié)構(gòu)圖和計劃藍(lán)圖來實施信息安全方案？
 
怎樣評估企業(yè)信息安全治理的成熟度級別；
 
信息安全如何為企業(yè)創(chuàng)造新的戰(zhàn)略競爭機遇？

1. 信息安全治理的產(chǎn)生背景

目前，信息系統(tǒng)已在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用，IT治理成為企業(yè)治理越來越關(guān)鍵的一部分。最高管理層（董事會）和執(zhí)行管理層同樣需要確保IT適應(yīng)企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也恰當(dāng)利用IT的優(yōu)勢。

但不安全因素總是存在。沒有一個系統(tǒng)是完美的，沒有一項技術(shù)是靈丹妙藥。

事實上針對系統(tǒng)安全的攻擊越來越普遍。早在1996年，美國會計總署（GAO）報告指出，美國國防部一年有15，000個系統(tǒng)遭到高達(dá)250，000次攻擊，其中65%攻擊成功，防范和彌補損失的費用高達(dá)數(shù)億美元。更值得注意的是，這些攻擊中只有400個被查明，20個被報告。如果說1996年很大程度上是一種系統(tǒng)的弱點，5年以后的今天，它已成為一種威脅，正如美國聯(lián)邦調(diào)查局對100個針對電子商務(wù)網(wǎng)站的敲詐案件調(diào)查表明，攻擊者不僅威脅公開客戶信息，并且實際上在要求得不到滿足時實現(xiàn)這種威脅。

許多國家的政府已經(jīng)認(rèn)識到安全的重要性，并積極采取措施提高信息安全。以美國政府為例，“9.11事件”后美國信息基礎(chǔ)設(shè)施保護(hù)委員會（PCIPB）列出了53個信息安全重點問題，把信息安全列入國家戰(zhàn)略。在這個戰(zhàn)略中，信息安全被分成5個等級；第一級是家庭用戶和小型商業(yè)機構(gòu)，第二級是大型企業(yè)，第三級是高等教育、聯(lián)邦政府、州與地方政府等關(guān)鍵部門，第四級是國家優(yōu)先任務(wù)，第五級是全球性合作網(wǎng)絡(luò)。

但是，在今年Gartner舉辦的研討會上，與會人士普遍認(rèn)為9.11后企業(yè)依然沒有提高警惕。Gartner 研究主管Donna Scott的調(diào)查報告顯示全球2000強企業(yè)中只有不到25%在全面的業(yè)務(wù)連續(xù)性計劃上進(jìn)行了投資，而就在這些進(jìn)行了投資的企業(yè)當(dāng)中，只有50%對自己的恢復(fù)計劃進(jìn)行了全面的測試。 針對嚴(yán)峻的現(xiàn)狀，Scott警告說：“隨著實時企業(yè)觀念的推進(jìn)，即使是最小的中斷——關(guān)鍵業(yè)務(wù)系統(tǒng)幾分鐘或是幾小時的儲運損耗、關(guān)鍵供應(yīng)商或是外部服務(wù)供應(yīng)商服務(wù)的中斷、整個經(jīng)濟形勢可能引發(fā)的潛在業(yè)務(wù)沖擊及其對客戶/供應(yīng)商所產(chǎn)生的影響——都可能帶來極為嚴(yán)重的商業(yè)后果。”

美國政府將在2003年投資五百多億美元，用于改造IT基礎(chǔ)設(shè)施及其性能。其中政府機構(gòu)用于網(wǎng)絡(luò)安全的支出將增長64%，達(dá)到約30億美元。看到上面的數(shù)字，你一定會認(rèn)為，隨著網(wǎng)絡(luò)安全支出的增長，政府部門的計算機安全環(huán)境將會得到極大的改善，能夠抵御任何形式的網(wǎng)絡(luò)威脅。然而事實可能并非如此。Gartner的副總裁John Pescatore預(yù)言，政府網(wǎng)絡(luò)安全的顯著改善至少需要花費三年的時間。他認(rèn)為，與個人網(wǎng)絡(luò)安全相比，政府網(wǎng)絡(luò)安全現(xiàn)在還處于遠(yuǎn)遠(yuǎn)落后的狀態(tài)，要想解決一些比較大的問題，必須先要建立網(wǎng)絡(luò)安全的基礎(chǔ)和機制。

目前業(yè)界普遍認(rèn)為，信息安全是政府和企業(yè)必須攜手面對的問題。政府和企業(yè)管理執(zhí)行層（董事會）有責(zé)任確保為所有使用者提供一個安全的信息系統(tǒng)環(huán)境，而且，政府部門和企業(yè)在認(rèn)識到安全的信息系統(tǒng)好處的同時，應(yīng)該自我保護(hù)以避免使用信息系統(tǒng)時的固有風(fēng)險。

近期我國接連不斷地出現(xiàn)程度不同的信息系統(tǒng)安全事故，首都機場因電腦系統(tǒng)故障，6000多人滯留機場，150多駕飛機延誤；南京火車站電腦售票系統(tǒng)突然發(fā)生死機故障，整個車站售票處于癱瘓狀態(tài)；廣東省工行因系統(tǒng)故障，全線停業(yè)一個半小時；深交所證券交易系統(tǒng)宕機事件等等。這些事故不僅僅是簡單的信息系統(tǒng)癱瘓的問題，其直接后果是導(dǎo)致巨大的經(jīng)濟損失，還造成了不良的社會影響。如果說經(jīng)濟損失還能彌補，那么由于信息網(wǎng)絡(luò)的脆弱性而引起的公眾對網(wǎng)絡(luò)社會的誠信危機則不是短時期內(nèi)可能恢復(fù)的。

我國政府主管部門以及各行各業(yè)已經(jīng)認(rèn)識到了信息安全的重要性。政府部門開始出臺一系列相關(guān)政策，直接牽引、推進(jìn)信息安全的應(yīng)用和發(fā)展。由政府主導(dǎo)的各大信息系統(tǒng)工程和信息化程度要求非常高的相關(guān)行業(yè)，也開始出臺對信息安全技術(shù)產(chǎn)品的應(yīng)用標(biāo)準(zhǔn)和規(guī)范。國務(wù)院信息化領(lǐng)導(dǎo)小組最近頒布的《關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》也強調(diào)指出了電子政務(wù)建設(shè)中信息系統(tǒng)安全的重要性；中國人民銀行正在加緊制定網(wǎng)上銀行系統(tǒng)安全性評估指引，并明確提出對信息安全的投資要達(dá)到IT總投資的10%以上，而在其他一些關(guān)鍵行業(yè)，信息安全的投資甚至已經(jīng)超過了總IT預(yù)算的30-50%。

到底需要什么樣的方法或機制來管理或治理信息安全呢？經(jīng)過近一年對國內(nèi)外信息安全和最佳實務(wù)的研究，我們認(rèn)為關(guān)鍵是要建立一套能夠涵蓋組織信息安全的制度安排機制，它包括治理機制和治理結(jié)構(gòu)，這種制度安排通過建立和維護(hù)一個框架來保證信息安全戰(zhàn)略和組織的業(yè)務(wù)目標(biāo)精確校準(zhǔn)，并且和相關(guān)的法律和規(guī)范一致。

未完待續(xù)