IT治理十問十答之十——IT治理中的信息安全問題（下）

 在最高管理層（董事會）層

•  將信息安全及其持續(xù)性落實到業(yè)務管理者；
• 建立審計委員會。該委員會清楚理解其信息安全任務，知道怎樣與管理層和審計師合作；
•  確保內部和外部審計師同意，審計中包括信息安全審計委員會和管理執(zhí)行層要求的信息安全審計內容；
• 要求信息安全負責人向審計委員會報告信息安全治理的進展和問題；
• 建立危機處理機制，該機制要求執(zhí)行管理層和最高管理層（董事會）最初就開始參與。

 在執(zhí)行管理層

• 建立安全職責，協助管理者制定政策，并幫助組織實現這些政策
•  建立可測量的和易于管理的安全戰(zhàn)略。該戰(zhàn)略以標桿、成熟度模型、差距分析和持續(xù)報告績效為基礎
• 由安全和審計專家（內部的和外部的）籌辦，進行年度的業(yè)務風險頭腦風暴法會議
• 得出風險現狀評估結論，產生行動建議，并用持續(xù)的行動強化執(zhí)行效果
•  綜合運用專家的知識，制訂信息安全與風險應急方案
• 建立清晰實用的企業(yè)和技術持續(xù)性方案，不斷評估和更新該方案
•  根據清楚的程序進行信息安全審計，管理層有責任跟蹤審計結論執(zhí)行情況
•  制定清晰的方針政策和詳細的指南，多和員工就該計劃進行溝通，使每個人認可該計劃，這就是善治的安全治理
• 經常性的評估監(jiān)控系統所發(fā)現的系統弱點（CERT），評估非法入侵，壓力測試和業(yè)務持續(xù)計劃
• 使業(yè)務流程和支持流程的基礎設施能夠在故障后恢復，特別是遇到一般的故障時
• 建立安全基準線，并嚴格監(jiān)控其不被違反
• 實施安全事故響應制度，并經常進行入侵測試
• 通過高標準的控制來強化所有安全設施、重要的服務器和通訊平臺
• 基于管理規(guī)則授權，授權方式與業(yè)務風險管理相配合
• 工作績效評估包含安全績效評估，并對此采取適當的獎罰措施

 思考并分析關鍵成功因素：

• 認識到好的安全方案需要時間發(fā)展和完善
• 組織安全責任人直接向高層領導報告并負責安全方案的執(zhí)行
• 管理層和員工共同理解安全的重要性、必要性、弱點和威脅，理解并接受他們自己的安全責任
•  定期由第三方來評估安全政策和安全的體系結構
• 安全負責人有管理安全的方法和能力，特別是在通過采取入侵測試和主動監(jiān)控措施時，能將發(fā)生事故的可能性降至最低，但事故不可避免發(fā)生時，對事故偵查、記錄、分析嚴重性、報告和采取行動的能力
• 清楚定義風險管理責任人的任務和職責及管理層的責任
• 建立定義風險界限和容許的最大風險的政策
• 存在定義、協商和資助風險管理改善行動的職責和程序
• 每隔一段時期由第三方進行更客觀的安全戰(zhàn)略審查
• 識別并持續(xù)監(jiān)控關鍵的基礎設施
• 使用服務水平協議提高認識，增加與安全和持續(xù)性需求提供商間的合作
• 在制定政策時就考慮和確定政策的強制執(zhí)行
• 適當的測量對政策認識、理解和遵循的程序
• 保證部署前的應用軟件的安全
• 信息控制策略與公司整體戰(zhàn)略規(guī)劃相一致
• 管理層確信和認可信息安全、控制政策，強調溝通、理解和遵循這些政策的必要性
•  采用一致的政策制定框架，指導政策的構思、制定、理解和遵循
• 意識到雖然熟悉內幕的專業(yè)人士是絕大部分安全風險的根源，但有組織犯罪性質的攻擊和其他沒有專業(yè)知識人員的攻擊正在增加
• 適當關注數據保密性、版權和其它與數字時代有關的法律
• 組織高層支持確保員工以合乎道德、安全的方式履行責任的行動
•  榜樣的力量是無窮的。管理層必須明白信息安全對于組織成功的關鍵意義，帶頭遵守有關規(guī)章制度，為所有員工樹立起安全意識的榜樣

 績效測量標準

（1）確定信息安全是否成功

•  沒有引起公眾困惑的事故
• 減少因為安全問題延遲新行動計劃的數量
• 有保持依賴IT的關鍵業(yè)務流程連貫性的計劃
•  自動監(jiān)控重要的信息基礎設施

（2）確定信息安全治理是否成功

• 全面遵循最低安全要求，或者記錄違背最低安全要求的行為；
•  制定和確認的與IT有關的規(guī)劃和政策包含IT安全的任務、遠景、目標、價值和行為守則
•  IT安全規(guī)劃和政策傳達到所有相關各方

1.什么是IT治理？