當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 湖南OA系統(tǒng) > 長沙OA系統(tǒng) > 長沙OA信息化
信息安全治理(六)——創(chuàng)造新的戰(zhàn)略競爭機(jī)遇
信息安全治理(六)
——創(chuàng)造新的戰(zhàn)略競爭機(jī)遇
孫強(qiáng) 左天祖 孟秀轉(zhuǎn)
6.
監(jiān)管和標(biāo)準(zhǔn)制定部門應(yīng)采取的行動
目前,金融業(yè)走在了所有行業(yè)的前頭,中國人民銀行在今年4月專門成立了“網(wǎng)上銀行發(fā)展與監(jiān)管工作組”,希望促進(jìn)國內(nèi)商業(yè)銀行加強(qiáng)網(wǎng)上銀行業(yè)務(wù)風(fēng)險管理,安全和IT是此風(fēng)險地重要方面。而過去主要的風(fēng)險是由內(nèi)部控制、疏忽和IT造成的。
首先,我們回顧一下國際信息安全的發(fā)展過程:
經(jīng)濟(jì)合作和發(fā)展組織,《信息系統(tǒng)安全指南》(1992)
經(jīng)濟(jì)合作和發(fā)展組織的《信息系統(tǒng)安全指南》用于協(xié)助國家和企業(yè)構(gòu)建信息系統(tǒng)安全框架。美國、OECD的其他23個成員國,以及十幾個非OECD成員國家都批準(zhǔn)了這一指南。該指南旨在:
?
提高信息系統(tǒng)風(fēng)險意識和安全措施;
?
提供一個一般性的框架以輔助針對信息系統(tǒng)安全的有效的度量方法、實踐和程序的制定和實施,鼓勵關(guān)心信息系統(tǒng)安全的公共和私有部門間的合作;
?
促進(jìn)人們對信息系統(tǒng)的信心,促進(jìn)人們應(yīng)用和使用信息系統(tǒng);
?
方便國家間和國際間信息系統(tǒng)的開發(fā)、使用和安全防護(hù);
這個框架包括法律、行動準(zhǔn)則、技術(shù)評估、管理和用戶實踐,及公眾教育/宣傳活動。該指南的最終目的是作為政府、公眾和私有部門的標(biāo)桿,社會能通過此標(biāo)桿測量進(jìn)展。
國際會計師聯(lián)合會,《信息安全管理》(1998)
信息安全的目標(biāo)是“保護(hù)依靠信息、信息系統(tǒng)和傳送信息的通訊設(shè)施人的利益不受因為信息可用性、保密性和完整性導(dǎo)致故障的損害”。認(rèn)可組織在滿足下面3條準(zhǔn)則時可以認(rèn)為達(dá)到信息安全目標(biāo):信息系統(tǒng)在需要時可用和有用(可用性);數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人(保密性);數(shù)據(jù)和信息保護(hù)不受未經(jīng)授權(quán)的修改(完整性)。
可用性、保密性和完整性之間的相對優(yōu)先級和重要性根據(jù)信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境而不同。
信息安全因急速增長的事故和風(fēng)險種類而日益重要。對信息系統(tǒng)的威脅既有可能來自有意或無意的行動,也可能來自內(nèi)部或外部。信息安全事故的發(fā)生可能是因為技術(shù)方面的因素、自然災(zāi)害、環(huán)境方面、人的因素、非法訪問或病毒。另外,業(yè)務(wù)依賴性(依靠第三方通訊設(shè)施傳送信息,外包業(yè)務(wù)等等)可能潛在地導(dǎo)致管理控制的失效和監(jiān)督不力。
國際標(biāo)準(zhǔn)化組織,《ISO
17799國際標(biāo)準(zhǔn)》(2000)
ISO17799(根據(jù)BS7799第一部分制定)作為確定控制范圍的單一參考點,在大多數(shù)情況下,這些控制是使用商業(yè)信息系統(tǒng)所必須的。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。它把信息作為一種資產(chǎn),像其它重要商業(yè)資產(chǎn)一樣,這種資產(chǎn)對組織有價值,因此需要恰當(dāng)保護(hù)它。
ISO17799認(rèn)為信息安全有下列特征:
保密性——確保信息只被相應(yīng)的授權(quán)用戶訪問;
完整性——保護(hù)信息和處理信息程序的準(zhǔn)確性和完整性;
可用性——確保授權(quán)用戶在需要時能夠訪問信息和相關(guān)資產(chǎn);
信息安全保護(hù)信息不受廣泛威脅地?fù)p害,確保業(yè)務(wù)連貫性,將商業(yè)損失降至最小,使投資收益最大并抓住各種商業(yè)機(jī)遇。安全是通過實施一套恰當(dāng)?shù)目刂拼胧崿F(xiàn)的。該控制措施包括政策、實踐、程序、組織結(jié)構(gòu)和/或者軟件組成。
美國注冊會計師協(xié)會/加拿大特許會計師協(xié)會,《SysTrust?系統(tǒng)可靠性原理和準(zhǔn)則V2.0》(2001)
SysTrust服務(wù)是一種保證服務(wù),用于增強(qiáng)管理者、客戶和商業(yè)伙伴對支持業(yè)務(wù)或某種特別活動的系統(tǒng)的信任。SysTrust服務(wù)授權(quán)注冊會計師承擔(dān)如下保證服務(wù):注冊會計師從可用性、安全性、完整性和可維護(hù)性4個基本方面評估和測試系統(tǒng)是否可靠。
可用性——系統(tǒng)在服務(wù)水平聲明或協(xié)議規(guī)定的時間內(nèi)可以運行和使用;
安全性——確保系統(tǒng)拒絕未經(jīng)授權(quán)的物理的或邏輯的訪問;
完整性——系統(tǒng)的數(shù)據(jù)處理是完整的、準(zhǔn)確的、及時的和被授權(quán)的;
可維護(hù)性——必要時能夠升級系統(tǒng)而不影響系統(tǒng)或者與系統(tǒng)的可用性、安全性和完整性相沖突。
SysTrust定義在特定環(huán)境下及特定時期內(nèi),沒有重大錯誤、缺陷或故障地運行的系統(tǒng)為可靠系統(tǒng)。系統(tǒng)的界限由系統(tǒng)所有者確定,但必須包括以下幾個關(guān)鍵部分:基礎(chǔ)設(shè)施、軟件、人、程序和數(shù)據(jù)。
SysTrust的框架是可升級的,因此,企業(yè)能夠靈活選擇SysTrust標(biāo)準(zhǔn)的任何部分或全部來驗證系統(tǒng)的可靠性。對系統(tǒng)四個標(biāo)準(zhǔn)的判斷組成對系統(tǒng)整體可靠性的判斷。注冊會計師也能單獨判斷某一標(biāo)準(zhǔn)如可用性或安全性的可靠性狀況。但是這種判斷僅僅對特定標(biāo)準(zhǔn)的可靠性做出判斷,不是對系統(tǒng)整體可靠性的判斷。
信息系統(tǒng)審計和控制基金會/IT治理協(xié)會,《信息和相關(guān)技術(shù)的控制目標(biāo)》(CoBIT?)
CoBIT由信息系統(tǒng)審計和控制基金會與IT治理協(xié)會開發(fā)和推廣(第三版),CoBIT起源于IT需要傳遞組織為達(dá)到業(yè)務(wù)目標(biāo)所需的信息這個前提。除了鼓勵以業(yè)務(wù)流程為中心,實行業(yè)務(wù)流程負(fù)責(zé)制外,CoBIT還考慮到組織對信用、質(zhì)量和安全的需要,它提供了組織用于定義其對IT業(yè)務(wù)要求的幾條信息準(zhǔn)則:效率、效果、可用性、完整性、保密性、可靠性和一致性。
CoBIT進(jìn)一步把IT分成4個領(lǐng)域(計劃和組織,獲取和運用,傳送和支持,控制),共計34個IT業(yè)務(wù)流程。其中3個與信息安全直接密切相關(guān)的業(yè)務(wù)流程是:
?
計劃和組織流程9——評估風(fēng)險;
?
傳遞和支持流程4——確保連貫的服務(wù);
?
傳遞和支持流程5——保證系統(tǒng)安全。
每個流程定義了一個高級別的目標(biāo):
?
識別IT流程中最重要的信息準(zhǔn)則;
?
列出需要經(jīng)常調(diào)整的資源;
?
考慮控制IT流程的重要方面
CoBIT為正在尋求控制實施最佳實踐的管理者和IT實施人員提供了超過300個詳細(xì)的控制目標(biāo),以及建立在這些目標(biāo)上的廣泛的行動指南。后者是用來評估和審計對IT流程控制和治理的程度。
CoBIT最近增加了一個管理和治理層,該層提供給管理者一個工具箱,包括:
績效評估項目(所有IT流程的成果測量和改進(jìn)動力);
一個關(guān)鍵成功因素列表。該列表為每個IT流程提供了成功的、非技術(shù)的最佳實踐;
一個協(xié)助建立標(biāo)桿和做出進(jìn)行IT控制決策的成熟度模型。
總之,建立信息安全治理機(jī)制是一個動態(tài)的過程。結(jié)合國情,我們對建立我國信息安全治理機(jī)制有如下建議:
?
制定國家層面上的信息安全框架及安全組織機(jī)構(gòu)。從戰(zhàn)略視角來看,信息安全是一項包括技術(shù)層面、管理層面、法律層面的社會系統(tǒng)工程,延伸開來還應(yīng)該包括觀念和文化層面,例如從文化意義上構(gòu)建信息技術(shù)的行為準(zhǔn)則,培育網(wǎng)絡(luò)空間的道德規(guī)范。我國已經(jīng)頒布了一系列有關(guān)信息安全的管理條例,但較零散,尤為突出的是缺少國家級的統(tǒng)領(lǐng)全局的信息安全框架。信息安全的管理工作、標(biāo)準(zhǔn)的制定、安全產(chǎn)品評測與認(rèn)證等工作政出多門、各行其是,目前相關(guān)政府部門在網(wǎng)吧管理上的不一致就是這種情況的表現(xiàn)。因此要求政府部門必須采取相互協(xié)調(diào)、目標(biāo)明確的措施,以免在制訂和審定政策時發(fā)生拖杳、重復(fù)、甚至沖突的現(xiàn)象。
安全組織包括建立健全組織體系,明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳、保衛(wèi)部門。制定系統(tǒng)安全保障方案,實施安全宣傳教育、安全監(jiān)管和安全服務(wù)。發(fā)達(dá)國家一般都建立有信息安全管理機(jī)構(gòu),美國安全委員會下設(shè)了國家保密政策委員會和信息系統(tǒng)安全保密委員會;英、法等國家建立了“國家信息安全委員會”:德國成立了“國家信息安全局”。我國設(shè)置信息安全管理機(jī)構(gòu)可采用建立專門信息安全管理機(jī)構(gòu)或在現(xiàn)有的安全部門下設(shè)立信息安全管理分支機(jī)構(gòu)。
?
在條件較為成熟的地方試行建立安全治理的機(jī)制。信息安全安全不是個產(chǎn)品,它是一個完整的過程。作為一個過程,它有人、技術(shù)、流程這三個組成部分,這些組成部分匹配得越好,過程進(jìn)展得越順利。因此,如果要使我們的信息系統(tǒng)安全,在外部環(huán)境上亟需建立、健全統(tǒng)一指揮、統(tǒng)一步調(diào)的強(qiáng)有力的各級信息安全治理機(jī)制,這是實現(xiàn)信息安全目標(biāo)的基本組織保障;在內(nèi)部結(jié)構(gòu)上就必須建立一整套從組織最高管理層(董事會)到執(zhí)行管理層以及業(yè)務(wù)運營層的管理結(jié)構(gòu)來約束和保證這三個組成部分。
環(huán)境的動態(tài)性決定了信息安全工作將是一個長期的、無止境的攻防與挑戰(zhàn),但對于企業(yè)而言,除非碰到嚴(yán)重的安全問題,否則大都仍無法體會信息安全治理機(jī)制的重要性,甚至?xí)腥苏J(rèn)為即使碰上了,也損失不大的錯誤觀念。因此,我們建議在需求較為強(qiáng)烈的政府電子政務(wù)和金融業(yè)等條件較為成熟的地方試行建立安全治理的機(jī)制,達(dá)到預(yù)先防治、應(yīng)急處理及事后復(fù)原的基本要求,在長期的工作目標(biāo)上,逐步形成廣泛的安全文化和安全治理機(jī)制,建立與國際接軌的信息安全機(jī)制,推動國際化合作網(wǎng)絡(luò)的發(fā)展,以提升國內(nèi)企業(yè)在國際上的競爭力。
信息安全治理機(jī)制和策略的制定要建立在上下互動的基礎(chǔ)上(這就是為什么使用“治理”而不是監(jiān)管、監(jiān)控或其它詞語的原因)。加強(qiáng)信息安全治理實質(zhì)上是一個政府和企業(yè)機(jī)構(gòu)必須攜手面對的問題。政府必須扮演一個重要的推動角色,并且尤其需要強(qiáng)調(diào)的是政府制定規(guī)則比較合理的方法是通過上下協(xié)商、交互式地制定規(guī)則,這樣才能解決規(guī)則的充分合法性、可執(zhí)行性問題,“治理不是一種正式的制度,而是持續(xù)的互動”。對于企業(yè)的最高管理層(董事會)在制定信息安全策略時亦是如此,只有這樣才有可能制定出與企業(yè)需要相匹配的安全策略。另外,由于國家制定標(biāo)準(zhǔn)會出現(xiàn)滯后于信息技術(shù)的發(fā)展、把用戶“鎖定”在過時的技術(shù)上、有可能阻礙技術(shù)創(chuàng)新等問題,在對國內(nèi)外信息安全治理廣泛研究的基礎(chǔ)上,我們認(rèn)為與信息安全有關(guān)的產(chǎn)品或服務(wù)將不會只有一種標(biāo)準(zhǔn),技術(shù)標(biāo)準(zhǔn)也不必是強(qiáng)制性的。因此,國家應(yīng)該鼓勵協(xié)會等自愿性組織在制訂促進(jìn)可互操作的標(biāo)準(zhǔn)和行業(yè)自律規(guī)范方面發(fā)揮作用。在某些情況下,多個標(biāo)準(zhǔn)將在市場上競爭,看哪種標(biāo)準(zhǔn)能被大家認(rèn)可。在另一些情況下,不同的標(biāo)準(zhǔn)將應(yīng)用于不同的環(huán)境。簡言之,在市場競爭中勝出的標(biāo)準(zhǔn)將有利于促進(jìn)信息安全產(chǎn)業(yè)的發(fā)展。
很多這方面的安全策略和標(biāo)準(zhǔn)實際上是為
"理想環(huán)境"所寫的,在這種環(huán)境所有的標(biāo)準(zhǔn)和技術(shù)控制與整個組織匹配得天衣無縫。然而,這樣的策略在實際實施過程中必然會出現(xiàn)問題,組織或使用者會發(fā)現(xiàn)策略的定制者們并未理解他們真正的需要。這就產(chǎn)生了所謂的"一致性鴻溝"──組織或使用者希望在策略中體現(xiàn)的規(guī)則與實際制定出的規(guī)則的差異。當(dāng)"一致性鴻溝"在組織中出現(xiàn)并達(dá)到一定的程度時,如果這些策略過于理論化或限制性太強(qiáng),那么組織的執(zhí)行管理層人員和最終用戶就會漠視這這些策略。因此,我們認(rèn)為在策略定制、發(fā)展過程中需要體現(xiàn)所有信息擁有者和知識財產(chǎn)的管理者的心聲,并且這一點是非常重要的。
同時,在制定信息安全制度時要注意考慮組織文化。許多信息安全方面的規(guī)章制度都是參考制度模板或者以其他組織的規(guī)章制度為模板而制定出來的。與組織文化和組織業(yè)務(wù)活動不相適應(yīng)的信息安全制度往往會導(dǎo)致發(fā)生大范圍的不遵守現(xiàn)象。另外,規(guī)章制度還必須包括適當(dāng)?shù)谋O(jiān)督機(jī)制。
?
建議設(shè)立一年一度的"安全意識日",樹立信息安全第一的意識。目前,非常多的信息安全工作都將工作重點放在技術(shù)方面,而將員工的信息安全意識和安全教育放在次要的位置,這樣做的結(jié)果是企業(yè)不恰當(dāng)?shù)卦诩夹g(shù)方面花費太多的時間。但是信息并非只是一個技術(shù)問題,它也是一個關(guān)于人和管理的問題。縱觀各類的信息安全規(guī)則,我們會發(fā)現(xiàn)它們都具有一個共同點──進(jìn)行員工培訓(xùn)。一年一度的"安全意識日"應(yīng)當(dāng)通過講座、研討會、新聞媒體、網(wǎng)站和其它宣傳方式將安全意識擴(kuò)展為一種氛圍,努力提高和強(qiáng)化社會的信息安全觀念意識,確立信息安全管理的基本思想與政策,加快信息安全人才的培養(yǎng),同時倡導(dǎo)信息倫理,提高公務(wù)員和公民的信息安全自律水平。這就將焦點從強(qiáng)制性的安全策略轉(zhuǎn)換為自主接受的安全策略文化,這也是我們實現(xiàn)信息安全目標(biāo)的基本前提。
?
對信息系統(tǒng)進(jìn)行安全審計。信息系統(tǒng)審計是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測、評估和控制的過程,以完成組織的戰(zhàn)略目標(biāo),同時最經(jīng)濟(jì)的使用資源。它綜合運用IT技術(shù)與審計理論及方法為信息時代信息的使用者提供合理的保證。
信息安全審計工作可以分為兩大類:一種是組織自行完成的內(nèi)部審計,另一種是由會計師事務(wù)所或?qū)I(yè)技術(shù)服務(wù)提供商完成的外部審計。內(nèi)部審計的主要目的是檢查組織各部門對安防制度的遵守情況,外部審計通常是因為上市、并購、年終檢查或其它法規(guī)的要求而進(jìn)行,一般都很正規(guī),也非常深入。
?
把安全視為一種理念,不斷推進(jìn)。許多公司都把信息安全看成是一個項目,具有開始和結(jié)束,但是一旦將它看成一個動態(tài)的過程,就更容易分階段地引入一些更為全面的安全策略。還有安全策略必須變得更具用戶導(dǎo)向性和更加動態(tài)。技術(shù)發(fā)展日新月異,組織如果想繼續(xù)保持競爭力,就必須更多地承擔(dān)起教育員工、合作伙伴和客戶的責(zé)任。而這一切是一個沒有終點的過程,必須建立在一套好的信息安全治理機(jī)制的基礎(chǔ)上。
全文完
瀏覽:信息安全治理(一)
信息安全治理(二)
信息安全治理(三)
信息安全治理(四)
信息安全治理(五)
- 1IT治理 初級解惑——訪:AMT 鄧為民 博士
- 2我國電子商務(wù)發(fā)展現(xiàn)狀及對策
- 3IT治理:撥開IT混沌和迷茫
- 4信息安全治理:創(chuàng)造新的戰(zhàn)略競爭機(jī)遇之三
- 5長沙OA信息化技術(shù)的發(fā)展與現(xiàn)狀
- 6開展IT治理
- 7建立IT治理機(jī)制
- 8電子支付系統(tǒng)的IT治理(上)(By AMT 陳景璉 編譯)
- 9薩班斯法案的由來
- 10信息安全治理:創(chuàng)造新的戰(zhàn)略競爭機(jī)遇之一
- 11精益生產(chǎn)與6西格瑪(一)(AMT研究院 張艷)
- 12電子政務(wù)與政府治理
- 13國際賽事 足音已近
- 14從IT管理到IT治理:專家孫強(qiáng)談電信信息化管理建設(shè)
- 15長沙OA信息化平臺特點
- 16CMM綜合模型CMMI(AMT 研究院 張艷)
- 17OA集成余額及已發(fā)送量查詢接口與參數(shù)說明
- 18專題文章-G國稅局的IT治理咨詢案例(AMT 鄧為民)
- 19高效知識聚類的E-book系統(tǒng)
- 20信息化績效評價的意義(一)
- 21SOX法案對IT帶來的影響
- 22淺談信息系統(tǒng)開發(fā)中的差錯放大及其治理
- 23IT績效提高的幾大最佳實踐標(biāo)準(zhǔn)(一)(AMT研究院 張艷)
- 24高層經(jīng)理培訓(xùn)(AMT研究院 肖迪 編譯)
- 25敬請期待
- 26協(xié)同商務(wù)(二)(AMT研究院 鄭佳)
- 27完善信息系統(tǒng)跨過“SOX”這道坎
- 28智能BPM和面向服務(wù)的企業(yè)(上)(AMT研究院 周瑛)
- 29IT組織的平衡(AMT研究院 謝鈺鳳)
- 30從信息不對稱看審計風(fēng)險及由此帶來的無效率行為
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓
泛普長沙OA信息化其他應(yīng)用
長沙OA 長沙新聞動態(tài) 長沙OA信息化 長沙OA快博 長沙OA軟件行業(yè)資訊 長沙軟件開發(fā)公司 長沙門禁系統(tǒng) 長沙物業(yè)管理軟件 長沙倉庫管理軟件 長沙餐飲管理軟件 長沙網(wǎng)站建設(shè)公司
版權(quán)所有:泛普軟件 渝ICP備14008431號-2 渝公網(wǎng)安備50011202501700號 咨詢電話:400-8352-114