監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

信息安全治理:創(chuàng)造新的戰(zhàn)略競爭機遇之二

申請免費試用、咨詢電話:400-8352-114

AMTeam.org

信息安全治理:創(chuàng)造新的戰(zhàn)略競爭機遇之二
作者:孫 強 郝亞斌 發(fā)表:2004.04.07 來源:賽迪網(wǎng)
 
  "沒有安全的工程就是豆腐渣工程"

     ?。炜锏?中國工程院院長

  "技術(shù)本身實際上是信息安全體系里最不重要的部分了。不管一項技術(shù)有多先進,都只不過是輔助實現(xiàn)信息安全的手段而已。我們并不是認為技術(shù)不重要,但在信息安全的架構(gòu)里,它一定要在好的信息安全治理的基礎(chǔ)上。"

- 作者題記

  賽迪顧問股份有限公司

  賽迪培訓中心

  孫 強 郝亞斌

 

  4. 誰應(yīng)該關(guān)注信息安全治理,關(guān)注什么?

  信息安全經(jīng)常被看作只是一個技術(shù)問題,很少有組織認為其是組織必需的并優(yōu)先考慮它。所以,治理和管理安全提升的責任被限制在技術(shù)負責人。但是現(xiàn)在信息安全越來越成為業(yè)務(wù)成功的關(guān)鍵因素。組織最高管理層(董事會)和執(zhí)行管理層(如 CIO)越來越重視信息安全工作,他們關(guān)注的核心是安全性將如何幫助組織達到業(yè)務(wù)目標或創(chuàng)造新的戰(zhàn)略競爭機遇,而不僅僅是具體的技術(shù)環(huán)節(jié)。從安全性角度而言,高層關(guān)注的目標包括以下幾方面:

·商務(wù)運作中斷:由于攻擊造成的停工會導(dǎo)致生產(chǎn)率降低和收入損失,而與恢復(fù)受攻擊的網(wǎng)絡(luò)相關(guān)的花費又會增加處理攻擊事件的總體財務(wù)成本。一旦受到攻擊,企業(yè)通常會部署解決團隊來幫助客戶、員工以及合作伙伴盡快恢復(fù)業(yè)務(wù)。在修復(fù)之前,不僅業(yè)務(wù)會停頓,而且解決團隊疲于應(yīng)對,無法進行其日常工作,這些都造成了生產(chǎn)率的極大損失。

·法律責任和潛在訴訟:受到攻擊的企業(yè)可能需要作為被告或關(guān)鍵證人出庭。要求遵守隱私和安全性法規(guī)的企業(yè)(如金融機構(gòu))可能需要證明其為將網(wǎng)絡(luò)攻擊的威脅降至最小而付出的艱辛努力。這一過程將極大地消耗員工的工作效率和企業(yè)的現(xiàn)金流。

·競爭力下降:信息通常被認為是企業(yè)最寶貴的資產(chǎn)(70% 或更多公司的價值在于其知識產(chǎn)權(quán)資產(chǎn)),這部分數(shù)據(jù)的損失或被竊可能造成嚴重后果,甚至會威脅企業(yè)在市場中的地位。根據(jù) 2002 CSI/FBI 計算機犯罪與安全調(diào)查的調(diào)查結(jié)果,由于安全性被破壞而導(dǎo)致的最為嚴重的財務(wù)損失包括所有權(quán)信息的被竊(26個被訪者報告的損失超過$170,000,000)。

·品牌資產(chǎn)被損害:對企業(yè)品牌的損害可能會有多種形式,但每種形式都會降低企業(yè)在市場中的地位。例如,如果企業(yè)的客戶數(shù)據(jù)(如信用卡信息)被竊并被公布到其他 Web 站點上,該企業(yè)可能會陷入難以使客戶對其品牌恢復(fù)信任的困境。

  高層管理者有責任思考這些問題,最高管理層(董事會)也將被希望讓信息安全成為IT治理固有的一部分,最好與IT治理過程集成。

  在這點上,IT治理委員會和執(zhí)行管理層將對以下幾個方面進行評審:

·現(xiàn)在和未來投資于信息技術(shù)的規(guī)模和費用;

·技術(shù)顯著改變組織和商業(yè)運作,創(chuàng)造新的機會,和降低成本的潛力;

  同時,他們也應(yīng)該考慮由此導(dǎo)致的后果:

·更加依賴信息、系統(tǒng)和傳送信息的通訊系統(tǒng);

·對企業(yè)無法直接控制的外部組織的依賴;

·由于IT故障對企業(yè)聲譽和價值的影響;

  為了有效進行公司治理和IT治理,最高管理層(董事會)和執(zhí)行管理層必須對應(yīng)從企業(yè)的信息安全治理所抱的期望有一個清晰的了解。他們必須知道怎樣實施信息安全治理,怎樣評價其在安全治理過程中的恰當身份,和怎樣確定所需的安全程序。

  鑒于安全從來就不是一種非黑即白的概念,其背景關(guān)系遠比技術(shù)更重要。因此,管理好信息安全需要最高管理層(董事會)、管理執(zhí)行層和業(yè)務(wù)流程所有者的更多參與;貫徹好信息安全需要信息系統(tǒng)審計師、安全專家、技術(shù)和業(yè)務(wù)等各方面的專家,所有相關(guān)各方應(yīng)參與這個過程。

  5. 最高管理層(董事會)和管理執(zhí)行層應(yīng)該做些什么?

  今年的9月17日,美國聯(lián)邦政府公布了由關(guān)鍵基礎(chǔ)設(shè)施委員會(CIPB)制訂的保障網(wǎng)絡(luò)安全計劃--《國家保障網(wǎng)絡(luò)安全策略》。根據(jù)該計劃,美國政府將在網(wǎng)絡(luò)安全中發(fā)揮主導(dǎo)作用,同時會要求所有用戶采取措施,但沒有通過加強立法強制采取行動。美國總統(tǒng)的網(wǎng)絡(luò)安全特別顧問、CIPB主席Richard Clarke表示,安全策略不會成為靜態(tài)的文件,而是將不斷變化和更新,以適應(yīng)環(huán)境的變化。這份計劃顯示,美國政府不會制訂法律強制私有企業(yè)采取行動。但美國政府會在面臨重大事故時尋求通過立法,以保護美國人民的健康、安全和幸福。根據(jù)這份65頁的文件,政府應(yīng)該首先采用安全的網(wǎng)絡(luò)協(xié)議、對IT企業(yè)進行認證、擴大安全評估和政策工具的適用范圍,并考慮安全與應(yīng)急準備演習。該文件還要求上市公司發(fā)布經(jīng)過獨立審計的安全報告,建議公司成立公司安全委員會,選用多家IT企業(yè)的產(chǎn)品以降低風險。該文件要求一直是網(wǎng)絡(luò)攻擊溫床的大學,與Internet服務(wù)提供商和執(zhí)法機構(gòu)建立24小時的聯(lián)系。發(fā)電廠、水處理設(shè)施和其他部門應(yīng)認真審核將系統(tǒng)與Internet連接的風險,并在兩年內(nèi)采取實施安全認證等措施。CIPB建議成立網(wǎng)絡(luò)運營中心(NOC),由IT行業(yè)、計算機應(yīng)急反應(yīng)小組和信息共享與分析中心(ISAC)共同參與。

·根據(jù)我國的國情,我們認為有效的信息安全治理需要最高管理層(董事會)和管理執(zhí)行層:

  理解信息安全治理的必要性

·風險和威脅真實存在并有可能給組織造成重大影響;

·有效的信息安全需要上層管理者到下層員工一致的、統(tǒng)一的行動;

·IT投資額巨大但容易投向錯誤方向;

·文化和組織因素同等重要;

·必須建立并執(zhí)行準則和優(yōu)先級;

·必須向電子交易對方證實自己的信用;

·需要向與系統(tǒng)有利害關(guān)系的各方證實系統(tǒng)安全的可靠性;

·安全事故可能暴露于公眾;

·可能導(dǎo)致相當大的對公司聲譽的損害。

  確保根據(jù)IT治理框架進行信息安全治理

  隨著與黑客相關(guān)的非法侵入和損失、計算機病毒和其它的以因特網(wǎng)為基礎(chǔ)的威脅之類報道的頻繁出現(xiàn),組織的利益相關(guān)者開始關(guān)心與信息安全相關(guān)的風險、管理規(guī)定和投資。這使信息安全治理成為組織管理執(zhí)行層和最高管理層(董事會)必須經(jīng)常關(guān)注的工作。

  有效的安全防衛(wèi)不僅是技術(shù)問題,它也是一個管理問題。管理相關(guān)的風險必須考慮公司文化、管理者的安全意識和行為,同時,負責治理的各方共享信息對成功的安全治理也極為重要。

  信息安全管理,像其它控制和管理活動一樣,是一種轉(zhuǎn)移風險的方法,因此,它應(yīng)該與公司治理協(xié)調(diào)一致。事實上,IT治理本身正形成一個獨立的分支,成為公司治理必不可少的一部分,它的目標是保證:

·IT與商業(yè)緊密相連,實現(xiàn)商業(yè)目標,最大化商業(yè)收益;

·IT資源被可靠地使用;

·正確管理與IT相關(guān)的風險。

  在IT治理中,信息安全治理受到密切的關(guān)注,特別是信息完整性、持續(xù)服務(wù)和信息資產(chǎn)保護幾個方面。

  長期以來,信息安全被看作消極因素,不產(chǎn)生價值。然而,全球網(wǎng)絡(luò)的出現(xiàn)和企業(yè)傳統(tǒng)邊界地延伸,使其成為價值和機會的創(chuàng)造者,特別在提升IT利益各方的信任感方面。

  因此,信息安全治理必將成為IT治理的一個重要且必不可少的部分,忽略信息安全治理將使IT價值的創(chuàng)造無法持久。

  采取最高管理層(董事會)級的行動

·及時了解信息安全狀況;

·確定方向,驅(qū)動方針和戰(zhàn)略,定義全局風險概況;

·提供進行信息安全治理所需的資源;

·賦予管理者以責任;

·確定優(yōu)先級;

·支持變革;

·定義有關(guān)風險意識的文化價值;

·獲得內(nèi)部和外部審計師的保證;

·要求管理層進行信息安全方面的投資,確定可測量的安全提升措施,并監(jiān)督和報告其執(zhí)行效果。

  采取管理執(zhí)行層級的行動

·編制信息安全方針政策;(制定方針政策);

·確保每個人清楚知道并了解各自的角色、責任和權(quán)力。這對有效的安全是必要的;(角色與責任)

·識別威脅,分析弱點和適度關(guān)注本行業(yè)的慣例;

·建立安全基礎(chǔ)設(shè)施;

·在公司治理委員會批準,確定相關(guān)角色和賦予責任后,開發(fā)安全和控制框架。該框架由標準、評測措施、實務(wù)和規(guī)程組成;(設(shè)計)

·決定可用的資源,對可能的對策排序,實施組織可以承受的最優(yōu)先的對策。及時實施并維護解決方案;(實施)

·建立評估措施,查明安全隱患并糾正它們;做到及時發(fā)現(xiàn)、審查所有已存在的或被懷疑的不安全之處并按規(guī)定處理它們;確保采取的行動符合政策、標準和可接受的最低的安全級別;(控制)

·定期評審和測試;

·實施入侵檢測和突發(fā)事故演習;

·宣貫保護信息的必要性,提供安全運作信息系統(tǒng)所需技巧的培訓,對安全事故的快速反應(yīng)。安全評測和實務(wù)方面的教育對組織安全程序的成功特別重要;(宣貫,培訓和教育)

·確保安全被作為系統(tǒng)開發(fā)生命周期過程必不可少的一部分考慮,并在這個過程的每個階段明確考慮安全問題。

  6. 怎樣全面理解信息安全治理?

  本文第八部分提供了一套完整的、結(jié)構(gòu)化的問題和實務(wù)準則,但是安全治理負責人需要提出一些問題,以幫助人們思考和提高安全意識,發(fā)現(xiàn)信息安全問題,并初步了解解決這些問題的方法。

  用來發(fā)現(xiàn)信息安全狀況的問題

·上一次管理執(zhí)行層關(guān)注安全相關(guān)的決定是什么時候?管理執(zhí)行層多常時間參與一次安全方案的改進?

·管理執(zhí)行層知道誰負責安全嗎?負責人自己知道嗎?其他人都知道嗎?

·當碰到安全事故時,人們這么認為嗎?人們忽視它嗎?他們知道怎樣處理它嗎?

·每個人知道公司有多少臺計算機嗎?管理執(zhí)行層知道計算機的遺失嗎?

·管理執(zhí)行層識別了泄漏后造成困難或競爭劣勢的所有信息(客戶資料,戰(zhàn)略規(guī)劃,研究報告等)嗎?

·公司最近遭到病毒攻擊是什么時候?上一年受到多少次病毒攻擊?

·有否有人探測公司的網(wǎng)絡(luò)?有過非法入侵嗎?頻率是多少?對公司有什么影響?

·是否每個人都知道有多少人使用公司的系統(tǒng)?知道他們能否使用,或使用其做什么嗎?

·事后處理還是事前預(yù)防安全問題?

·根據(jù)損失的收入,丟失的客戶和投資者的信心,評估一次嚴重的安全事故的后果是什么?

  用來發(fā)現(xiàn)管理執(zhí)行層怎樣看待信息安全的問題:

·企業(yè)明確信息安全相對于IT和安全風險的定位嗎?企業(yè)趨向于避免風險還是接受風險?

·用于信息安全的費用是多少?用于哪些方面?怎樣花費的?上一年進行了什么項目提高信息安全?

·上一年多少員工接受了安全培訓?管理層多少人接受了培訓?

·組織怎樣發(fā)現(xiàn)安全事故?怎樣向上級匯報這些事故?管理執(zhí)行層采取什么行動?

·管理執(zhí)行層如何準備從主要的安全事故中恢復(fù)嗎?

·有否涉及所有上述問題的安全工作程序?負責人的職責清楚嗎?

  自我評價信息安全的實務(wù)準則

·管理執(zhí)行層可以確信在公司安全得到足夠考慮嗎?

·管理執(zhí)行層知道最新的安全問題和最佳實踐嗎?

·其他人在做什么,企業(yè)怎樣正確處理與他們的關(guān)系?

·行業(yè)最佳實踐是什么,本企業(yè)怎樣與其比較?

·管理執(zhí)行層清楚表明和宣貫企業(yè)對信息安全的需求嗎?

·管理執(zhí)行層認為企業(yè)將投資多少用于信息安全的提升?

·在制定商業(yè)和IT戰(zhàn)略時考慮了信息安全嗎?

·公司跟蹤安全風險和可用的技術(shù)方案嗎?

·管理執(zhí)行層定期獲得安全狀況和安全提升項目效果的報告嗎?

·管理執(zhí)行層建立了獨立的IT安全審計程序嗎?他們關(guān)注審計結(jié)論的執(zhí)行效果嗎?

發(fā)布:2007-03-25 10:09    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
長沙OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢