當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 湖南OA系統(tǒng) > 長沙OA系統(tǒng) > 長沙OA信息化
IT治理十問十答之十——IT治理中的信息安全問題(下)
在最高管理層(董事會)層
- 將信息安全及其持續(xù)性落實到業(yè)務(wù)管理者;
- 建立審計委員會。該委員會清楚理解其信息安全任務(wù),知道怎樣與管理層和審計師合作;
- 確保內(nèi)部和外部審計師同意,審計中包括信息安全審計委員會和管理執(zhí)行層要求的信息安全審計內(nèi)容;
- 要求信息安全負(fù)責(zé)人向?qū)徲嬑瘑T會報告信息安全治理的進展和問題;
- 建立危機處理機制,該機制要求執(zhí)行管理層和最高管理層(董事會)最初就開始參與。
在執(zhí)行管理層
- 建立安全職責(zé),協(xié)助管理者制定政策,并幫助組織實現(xiàn)這些政策
- 建立可測量的和易于管理的安全戰(zhàn)略。該戰(zhàn)略以標(biāo)桿、成熟度模型、差距分析和持續(xù)報告績效為基礎(chǔ)
- 由安全和審計專家(內(nèi)部的和外部的)籌辦,進行年度的業(yè)務(wù)風(fēng)險頭腦風(fēng)暴法會議
- 得出風(fēng)險現(xiàn)狀評估結(jié)論,產(chǎn)生行動建議,并用持續(xù)的行動強化執(zhí)行效果
- 綜合運用專家的知識,制訂信息安全與風(fēng)險應(yīng)急方案
- 建立清晰實用的企業(yè)和技術(shù)持續(xù)性方案,不斷評估和更新該方案
- 根據(jù)清楚的程序進行信息安全審計,管理層有責(zé)任跟蹤審計結(jié)論執(zhí)行情況
- 制定清晰的方針政策和詳細(xì)的指南,多和員工就該計劃進行溝通,使每個人認(rèn)可該計劃,這就是善治的安全治理
- 經(jīng)常性的評估監(jiān)控系統(tǒng)所發(fā)現(xiàn)的系統(tǒng)弱點(CERT),評估非法入侵,壓力測試和業(yè)務(wù)持續(xù)計劃
- 使業(yè)務(wù)流程和支持流程的基礎(chǔ)設(shè)施能夠在故障后恢復(fù),特別是遇到一般的故障時
- 建立安全基準(zhǔn)線,并嚴(yán)格監(jiān)控其不被違反
- 實施安全事故響應(yīng)制度,并經(jīng)常進行入侵測試
- 通過高標(biāo)準(zhǔn)的控制來強化所有安全設(shè)施、重要的服務(wù)器和通訊平臺
- 基于管理規(guī)則授權(quán),授權(quán)方式與業(yè)務(wù)風(fēng)險管理相配合
- 工作績效評估包含安全績效評估,并對此采取適當(dāng)?shù)莫劻P措施
思考并分析關(guān)鍵成功因素:
- 認(rèn)識到好的安全方案需要時間發(fā)展和完善
- 組織安全責(zé)任人直接向高層領(lǐng)導(dǎo)報告并負(fù)責(zé)安全方案的執(zhí)行
- 管理層和員工共同理解安全的重要性、必要性、弱點和威脅,理解并接受他們自己的安全責(zé)任
- 定期由第三方來評估安全政策和安全的體系結(jié)構(gòu)
- 安全負(fù)責(zé)人有管理安全的方法和能力,特別是在通過采取入侵測試和主動監(jiān)控措施時,能將發(fā)生事故的可能性降至最低,但事故不可避免發(fā)生時,對事故偵查、記錄、分析嚴(yán)重性、報告和采取行動的能力
- 清楚定義風(fēng)險管理責(zé)任人的任務(wù)和職責(zé)及管理層的責(zé)任
- 建立定義風(fēng)險界限和容許的最大風(fēng)險的政策
- 存在定義、協(xié)商和資助風(fēng)險管理改善行動的職責(zé)和程序
- 每隔一段時期由第三方進行更客觀的安全戰(zhàn)略審查
- 識別并持續(xù)監(jiān)控關(guān)鍵的基礎(chǔ)設(shè)施
- 使用服務(wù)水平協(xié)議提高認(rèn)識,增加與安全和持續(xù)性需求提供商間的合作
- 在制定政策時就考慮和確定政策的強制執(zhí)行
- 適當(dāng)?shù)臏y量對政策認(rèn)識、理解和遵循的程序
- 保證部署前的應(yīng)用軟件的安全
- 信息控制策略與公司整體戰(zhàn)略規(guī)劃相一致
- 管理層確信和認(rèn)可信息安全、控制政策,強調(diào)溝通、理解和遵循這些政策的必要性
- 采用一致的政策制定框架,指導(dǎo)政策的構(gòu)思、制定、理解和遵循
- 意識到雖然熟悉內(nèi)幕的專業(yè)人士是絕大部分安全風(fēng)險的根源,但有組織犯罪性質(zhì)的攻擊和其他沒有專業(yè)知識人員的攻擊正在增加
- 適當(dāng)關(guān)注數(shù)據(jù)保密性、版權(quán)和其它與數(shù)字時代有關(guān)的法律
- 組織高層支持確保員工以合乎道德、安全的方式履行責(zé)任的行動
- 榜樣的力量是無窮的。管理層必須明白信息安全對于組織成功的關(guān)鍵意義,帶頭遵守有關(guān)規(guī)章制度,為所有員工樹立起安全意識的榜樣
績效測量標(biāo)準(zhǔn)
(1)確定信息安全是否成功
- 沒有引起公眾困惑的事故
- 減少因為安全問題延遲新行動計劃的數(shù)量
- 有保持依賴IT的關(guān)鍵業(yè)務(wù)流程連貫性的計劃
- 自動監(jiān)控重要的信息基礎(chǔ)設(shè)施
(2)確定信息安全治理是否成功
- 全面遵循最低安全要求,或者記錄違背最低安全要求的行為;
- 制定和確認(rèn)的與IT有關(guān)的規(guī)劃和政策包含IT安全的任務(wù)、遠(yuǎn)景、目標(biāo)、價值和行為守則
- IT安全規(guī)劃和政策傳達(dá)到所有相關(guān)各方
1.什么是IT治理?
2.IT治理在國內(nèi)的現(xiàn)狀
3.IT治理的目標(biāo)及解決的問題
4.怎樣建立動態(tài)的IT治理機制?
5.IT治理和公司治理的關(guān)系
6.怎樣確定IT治理結(jié)構(gòu)?
7.IT治理架構(gòu)COBIT
8.IT治理績效評估
9.IT治理中的信息安全問題(上)
10.IT治理中的信息安全問題(下)
當(dāng)前,業(yè)界在總結(jié)一些具有典型意義的問題,例如:在IT設(shè)備配置水平相近的企業(yè),IT應(yīng)用水平卻相去甚遠(yuǎn)等,這表明當(dāng)前這個階段國民經(jīng)濟和社會信息化已發(fā)展到對 “IT治理”有迫切需求的階段,這要求中國的信息化推動者借鑒和創(chuàng)新。
- 1根據(jù)需求層次管理IT(一)(AMT研究院 張艷)
- 2優(yōu)秀現(xiàn)代民企治理:回報社會VS企業(yè)文化
- 3物料需求計劃MRP(一)主生產(chǎn)計劃
- 4物料需求計劃MRP(三)MRP運行管理
- 5IT治理:中國信息化的必由之道(二)
- 6SOX法案:點燃加強IT控制的星星之火Ⅰ
- 7擁有免責(zé)權(quán)? 當(dāng)好CIO離不開IT治理機制
- 8長沙OA信息化的四大癥結(jié)及治理對策
- 9信息技術(shù)與公司治理
- 10本周封面專題:信息安全治理(孫強 左天祖 孟秀轉(zhuǎn))
- 11信息安全治理(六)——創(chuàng)造新的戰(zhàn)略競爭機遇
- 12服務(wù)生命周期管理(一)(AMT研究院 周瑛)
- 13State Street公司進化中的IT治理(AMT研究院 黃慶揚 編譯)
- 14國內(nèi)外機構(gòu)知識庫的發(fā)展現(xiàn)狀
- 15ITSM 中國信達(dá)資產(chǎn)管理公司IT服務(wù)管理
- 16論公司治理的需求、誤區(qū)與對策
- 17協(xié)同OA對短信中非法關(guān)鍵詞查詢與參數(shù)說明
- 18泛普軟件ThinkOne-CRM用戶可以精準(zhǔn)把握客戶需求,根據(jù)細(xì)分市場
- 19中國建立信息化治理機構(gòu)須建立CIO機制
- 20控制業(yè)務(wù):遵守SOX法案-IBM的解決之道
- 21如何開發(fā)互聯(lián)網(wǎng)產(chǎn)品的規(guī)劃和設(shè)計符合社交化的未來
- 22[原創(chuàng)]如何構(gòu)建更為高效的信息部門
- 23走有中國特色的IT治理之路
- 24戰(zhàn)略化IT:簡化今天,建設(shè)明天(AMT 研究院高欣 編譯)
- 25IT企業(yè)如何實施長沙OA信息化(一)
- 26淺析長沙OA信息化成熟度模型(下)(AMT研究院 管燦)
- 27成本動因理論和作業(yè)分析(上)(王廣宇丁華明)
- 28[原創(chuàng)]信息部門的定位分析[本文被AMT公共知識庫收錄,獎勵200金幣,祝賀]
- 29IT治理——概念、模型與框架
- 30SOX法案對IT帶來的影響
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓
泛普長沙OA信息化其他應(yīng)用
長沙OA 長沙新聞動態(tài) 長沙OA信息化 長沙OA快博 長沙OA軟件行業(yè)資訊 長沙軟件開發(fā)公司 長沙門禁系統(tǒng) 長沙物業(yè)管理軟件 長沙倉庫管理軟件 長沙餐飲管理軟件 長沙網(wǎng)站建設(shè)公司
版權(quán)所有:泛普軟件 渝ICP備14008431號-2 渝公網(wǎng)安備50011202501700號 咨詢電話:400-8352-114