監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

IT治理十問十答之九—— IT治理中的信息安全問題(上)

申請免費試用、咨詢電話:400-8352-114

AMTeam.org

 
引言:由于IT治理中的信息安全問題,多數(shù)企業(yè)機(jī)構(gòu)正在制定符合不同業(yè)務(wù)信息系統(tǒng)和網(wǎng)絡(luò)安全等級需要的綜合性安全策略和計劃。然而,我們依然沒有安全感,什么才是信息安全治理?高層管理在信息安全治理中應(yīng)扮演什么角色?

 在當(dāng)今的全球商業(yè)環(huán)境中,信息的重要性被廣泛接受,信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對其信息系統(tǒng)不斷增長的依賴性,加上在信息系統(tǒng)上運作業(yè)務(wù)的風(fēng)險、收益和機(jī)會,使IT治理成為企業(yè)治理越來越關(guān)鍵的一部分。最高管理層(董事會)和執(zhí)行管理層同樣需要確保IT適應(yīng)企業(yè)戰(zhàn)略,企業(yè)戰(zhàn)略也恰當(dāng)利用IT的優(yōu)勢。為了更有效的進(jìn)行公司治理和IT治理,最高管理層也越來越希望將信息安全治理成為IT治理中必不可少的一個環(huán)節(jié),與IT治理集成。

 信息安全治理的內(nèi)容

信息安全治理是指最高管理層(董事會)利用它來監(jiān)督管理層在信息安全戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系,以確保這種運營處于正確的軌道之上。缺乏良好信息安全治理機(jī)制的組織,也就是說缺乏健全的制度安排,因而不可能很好的信息安全管理體系,進(jìn)而也不可能取得信息化的成功;同樣,沒有信息安全管理體系的暢通,單純的治理機(jī)制也只能是一個美好的藍(lán)圖,而缺乏實際的內(nèi)容。

正確實施信息安全治理4個基本成果:

(1)戰(zhàn)略聯(lián)盟

  • 業(yè)務(wù)需求驅(qū)動安全需求;
  • 安全方案適應(yīng)業(yè)務(wù)流程;
  • 信息安全投資與企業(yè)戰(zhàn)略和最大風(fēng)險狀況密切相關(guān)。

(2) 價值傳遞

  • 一套安全實務(wù)標(biāo)準(zhǔn),即最佳安全實務(wù)基準(zhǔn);
  • 正確區(qū)分行動的優(yōu)先次序并分配給有最大影響和商業(yè)利益的地方;
  • 規(guī)范的、商業(yè)化的解決方案;
  • 完整的解決方案,包括組織、流程和技術(shù);
  • 持續(xù)改進(jìn)的文化。

(3) 風(fēng)險管理

  • 最大風(fēng)險狀況;
  • 了解風(fēng)險暴露程度;
  • 告知管理風(fēng)險的優(yōu)先行動。

(4) 績效測量

  •  定義測量標(biāo)準(zhǔn);
  • 反饋進(jìn)展的測量程序;
  • 獨立性保證。

高層應(yīng)該關(guān)注的信息安全問題

信息安全經(jīng)常被看作只是一個技術(shù)問題,很少有組織認(rèn)為其是組織必需的并優(yōu)先考慮它。但是現(xiàn)在信息安全越來越成為業(yè)務(wù)成功的關(guān)鍵因素。組織最高管理層(董事會)和執(zhí)行管理層(如CIO)越來越重視信息安全工作,他們關(guān)注的核心是安全性將如何幫助組織達(dá)到業(yè)務(wù)目標(biāo)或創(chuàng)造新的戰(zhàn)略競爭機(jī)遇,而不僅僅是具體的技術(shù)環(huán)節(jié)。

從安全性角度而言,高層關(guān)注的信息安全問題包括以下幾方面:

  • 商務(wù)運作中斷:由于攻擊造成的停工會導(dǎo)致生產(chǎn)率降低和收入損失,而與恢復(fù)受攻擊的網(wǎng)絡(luò)相關(guān)的花費又會增加處理攻擊事件的總體財務(wù)成本。
  • 法律責(zé)任和潛在訴訟:受到攻擊的企業(yè)可能需要作為被告或關(guān)鍵證人出庭。
  • 競爭力下降:信息通常被認(rèn)為是企業(yè)最寶貴的資產(chǎn)(70%或更多公司的價值在于其知識產(chǎn)權(quán)資產(chǎn)),這部分?jǐn)?shù)據(jù)的損失或被竊可能造成嚴(yán)重后果,甚至?xí){企業(yè)在市場中的地位。
  • 品牌資產(chǎn)被損害:對企業(yè)品牌的損害可能會有多種形式,但每種形式都會降低企業(yè)在市場中的地位。

 高層管理者有責(zé)任思考這些問題,最高管理層(董事會)也將被希望讓信息安全成為IT治理固有的一部分,最好與IT治理過程集成。

 在這點上,IT治理委員會和執(zhí)行管理層將對以下幾個方面進(jìn)行評審:

  • 現(xiàn)在和未來投資于信息技術(shù)的規(guī)模和費用;
  • 技術(shù)顯著改變組織和商業(yè)運作,創(chuàng)造新的機(jī)會,和降低成本的潛力;
  • 同時,他們也應(yīng)該考慮由此導(dǎo)致的后果:
  • 更加依賴信息、系統(tǒng)和傳送信息的通訊系統(tǒng);
  •  對企業(yè)無法直接控制的外部組織的依賴;
  • 由于IT故障對企業(yè)聲譽和價值的影響;

為了有效進(jìn)行公司治理和IT治理,最高管理層(董事會)和執(zhí)行管理層必須對應(yīng)從企業(yè)的信息安全治理所抱的期望有一個清晰的了解。他們必須知道怎樣實施信息安全治理,怎樣評價其在安全治理過程中的恰當(dāng)身份,和怎樣確定所需的安全程序。

鑒于安全從來就不是一種非黑即白的概念,其背景關(guān)系遠(yuǎn)比技術(shù)更重要。因此,管理好信息安全需要最高管理層(董事會)、管理執(zhí)行層和業(yè)務(wù)流程所有者的更多參與;貫徹好信息安全需要信息系統(tǒng)審計師、安全專家、技術(shù)和業(yè)務(wù)等各方面的專家,所有相關(guān)各方應(yīng)參與這個過程。

IT治理十問十答

1.什么是IT治理?

2.IT治理在國內(nèi)的現(xiàn)狀

3.IT治理的目標(biāo)及解決的問題

4.怎樣建立動態(tài)的IT治理機(jī)制?

5.IT治理和公司治理的關(guān)系

6.怎樣確定IT治理結(jié)構(gòu)?

7.IT治理架構(gòu)COBIT

8.IT治理績效評估

9.IT治理中的信息安全問題(上)

10.IT治理中的信息安全問題(下)

國內(nèi)外關(guān)于“公司治理”的研究熱潮始于亞洲金融危機(jī)(建立公司治理機(jī)制的公司能為其股東制造更高的獲利機(jī)會,并且得以在金融危機(jī)中擁有較高的存活率),目前世界各國和國際相關(guān)經(jīng)濟(jì)組織例如ADEC,PECC,ADB和WB等都有大量的理論和實踐,并在各國極力建議推行公司治理。而“IT治理”開始于1999年下半年的美國,盡管已迅速成為熱點,并細(xì)分到安全治理領(lǐng)域,但國際上這方面的文獻(xiàn)資料非常之少,在加上要切合中國國情,盡管我們從去年年底開始這方面的研究工作,但仍需要克服不少的困難和障礙。

當(dāng)前,業(yè)界在總結(jié)一些具有典型意義的問題,例如:在IT設(shè)備配置水平相近的企業(yè),IT應(yīng)用水平卻相去甚遠(yuǎn)等,這表明當(dāng)前這個階段國民經(jīng)濟(jì)和社會信息化已發(fā)展到對 “IT治理”有迫切需求的階段,這要求中國的信息化推動者借鑒和創(chuàng)新。
發(fā)布:2007-03-25 10:10    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
長沙OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢