監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

IT治理十問十答之十——IT治理中的信息安全問題(下)

申請免費試用、咨詢電話:400-8352-114

AMTeam.org

 
引言:信息安全治理必將成為IT治理中一個重要且必不可少的部分,缺乏信息安全治理將使IT價值的創(chuàng)造無法持久。所以對于公司的管理層來說,應(yīng)該怎樣實施信息安全治理?實施后怎樣進行績效評估呢?

 在最高管理層(董事會)層

  •  將信息安全及其持續(xù)性落實到業(yè)務(wù)管理者;
  • 建立審計委員會。該委員會清楚理解其信息安全任務(wù),知道怎樣與管理層和審計師合作;
  •  確保內(nèi)部和外部審計師同意,審計中包括信息安全審計委員會和管理執(zhí)行層要求的信息安全審計內(nèi)容;
  • 要求信息安全負(fù)責(zé)人向?qū)徲嬑瘑T會報告信息安全治理的進展和問題;
  • 建立危機處理機制,該機制要求執(zhí)行管理層和最高管理層(董事會)最初就開始參與。

 在執(zhí)行管理層

  • 建立安全職責(zé),協(xié)助管理者制定政策,并幫助組織實現(xiàn)這些政策
  •  建立可測量的和易于管理的安全戰(zhàn)略。該戰(zhàn)略以標(biāo)桿、成熟度模型、差距分析和持續(xù)報告績效為基礎(chǔ)
  • 由安全和審計專家(內(nèi)部的和外部的)籌辦,進行年度的業(yè)務(wù)風(fēng)險頭腦風(fēng)暴法會議
  • 得出風(fēng)險現(xiàn)狀評估結(jié)論,產(chǎn)生行動建議,并用持續(xù)的行動強化執(zhí)行效果
  •  綜合運用專家的知識,制訂信息安全與風(fēng)險應(yīng)急方案
  • 建立清晰實用的企業(yè)和技術(shù)持續(xù)性方案,不斷評估和更新該方案
  •  根據(jù)清楚的程序進行信息安全審計,管理層有責(zé)任跟蹤審計結(jié)論執(zhí)行情況
  •  制定清晰的方針政策和詳細(xì)的指南,多和員工就該計劃進行溝通,使每個人認(rèn)可該計劃,這就是善治的安全治理
  • 經(jīng)常性的評估監(jiān)控系統(tǒng)所發(fā)現(xiàn)的系統(tǒng)弱點(CERT),評估非法入侵,壓力測試和業(yè)務(wù)持續(xù)計劃
  • 使業(yè)務(wù)流程和支持流程的基礎(chǔ)設(shè)施能夠在故障后恢復(fù),特別是遇到一般的故障時
  • 建立安全基準(zhǔn)線,并嚴(yán)格監(jiān)控其不被違反
  • 實施安全事故響應(yīng)制度,并經(jīng)常進行入侵測試
  • 通過高標(biāo)準(zhǔn)的控制來強化所有安全設(shè)施、重要的服務(wù)器和通訊平臺
  • 基于管理規(guī)則授權(quán),授權(quán)方式與業(yè)務(wù)風(fēng)險管理相配合
  • 工作績效評估包含安全績效評估,并對此采取適當(dāng)?shù)莫劻P措施

 思考并分析關(guān)鍵成功因素:

  • 認(rèn)識到好的安全方案需要時間發(fā)展和完善
  • 組織安全責(zé)任人直接向高層領(lǐng)導(dǎo)報告并負(fù)責(zé)安全方案的執(zhí)行
  • 管理層和員工共同理解安全的重要性、必要性、弱點和威脅,理解并接受他們自己的安全責(zé)任
  •  定期由第三方來評估安全政策和安全的體系結(jié)構(gòu)
  • 安全負(fù)責(zé)人有管理安全的方法和能力,特別是在通過采取入侵測試和主動監(jiān)控措施時,能將發(fā)生事故的可能性降至最低,但事故不可避免發(fā)生時,對事故偵查、記錄、分析嚴(yán)重性、報告和采取行動的能力
  • 清楚定義風(fēng)險管理責(zé)任人的任務(wù)和職責(zé)及管理層的責(zé)任
  • 建立定義風(fēng)險界限和容許的最大風(fēng)險的政策
  • 存在定義、協(xié)商和資助風(fēng)險管理改善行動的職責(zé)和程序
  • 每隔一段時期由第三方進行更客觀的安全戰(zhàn)略審查
  • 識別并持續(xù)監(jiān)控關(guān)鍵的基礎(chǔ)設(shè)施
  • 使用服務(wù)水平協(xié)議提高認(rèn)識,增加與安全和持續(xù)性需求提供商間的合作
  • 在制定政策時就考慮和確定政策的強制執(zhí)行
  • 適當(dāng)?shù)臏y量對政策認(rèn)識、理解和遵循的程序
  • 保證部署前的應(yīng)用軟件的安全
  • 信息控制策略與公司整體戰(zhàn)略規(guī)劃相一致
  • 管理層確信和認(rèn)可信息安全、控制政策,強調(diào)溝通、理解和遵循這些政策的必要性
  •  采用一致的政策制定框架,指導(dǎo)政策的構(gòu)思、制定、理解和遵循
  • 意識到雖然熟悉內(nèi)幕的專業(yè)人士是絕大部分安全風(fēng)險的根源,但有組織犯罪性質(zhì)的攻擊和其他沒有專業(yè)知識人員的攻擊正在增加
  • 適當(dāng)關(guān)注數(shù)據(jù)保密性、版權(quán)和其它與數(shù)字時代有關(guān)的法律
  • 組織高層支持確保員工以合乎道德、安全的方式履行責(zé)任的行動
  •  榜樣的力量是無窮的。管理層必須明白信息安全對于組織成功的關(guān)鍵意義,帶頭遵守有關(guān)規(guī)章制度,為所有員工樹立起安全意識的榜樣

 績效測量標(biāo)準(zhǔn)

(1)確定信息安全是否成功

  •  沒有引起公眾困惑的事故
  • 減少因為安全問題延遲新行動計劃的數(shù)量
  • 有保持依賴IT的關(guān)鍵業(yè)務(wù)流程連貫性的計劃
  •  自動監(jiān)控重要的信息基礎(chǔ)設(shè)施

(2)確定信息安全治理是否成功

  • 全面遵循最低安全要求,或者記錄違背最低安全要求的行為;
  •  制定和確認(rèn)的與IT有關(guān)的規(guī)劃和政策包含IT安全的任務(wù)、遠(yuǎn)景、目標(biāo)、價值和行為守則
  •  IT安全規(guī)劃和政策傳達(dá)到所有相關(guān)各方
IT治理十問十答

1.什么是IT治理?

2.IT治理在國內(nèi)的現(xiàn)狀

3.IT治理的目標(biāo)及解決的問題

4.怎樣建立動態(tài)的IT治理機制?

5.IT治理和公司治理的關(guān)系

6.怎樣確定IT治理結(jié)構(gòu)?

7.IT治理架構(gòu)COBIT

8.IT治理績效評估

9.IT治理中的信息安全問題(上)

10.IT治理中的信息安全問題(下)

國內(nèi)外關(guān)于“公司治理”的研究熱潮始于亞洲金融危機(建立公司治理機制的公司能為其股東制造更高的獲利機會,并且得以在金融危機中擁有較高的存活率),目前世界各國和國際相關(guān)經(jīng)濟組織例如ADEC,PECC,ADB和WB等都有大量的理論和實踐,并在各國極力建議推行公司治理。而“IT治理”開始于1999年下半年的美國,盡管已迅速成為熱點,并細(xì)分到安全治理領(lǐng)域,但國際上這方面的文獻資料非常之少,在加上要切合中國國情,盡管我們從去年年底開始這方面的研究工作,但仍需要克服不少的困難和障礙。

當(dāng)前,業(yè)界在總結(jié)一些具有典型意義的問題,例如:在IT設(shè)備配置水平相近的企業(yè),IT應(yīng)用水平卻相去甚遠(yuǎn)等,這表明當(dāng)前這個階段國民經(jīng)濟和社會信息化已發(fā)展到對 “IT治理”有迫切需求的階段,這要求中國的信息化推動者借鑒和創(chuàng)新。
發(fā)布:2007-03-25 10:10    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
長沙OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢