信息安全治理（四）——?jiǎng)?chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

信息安全治理（四）

——?jiǎng)?chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇

孫強(qiáng) 左天祖 孟秀轉(zhuǎn)

4. 全面理解信息安全治理

正確實(shí)施信息安全治理將提供4個(gè)基本成果：

戰(zhàn)略聯(lián)盟

業(yè)務(wù)需求驅(qū)動(dòng)安全需求；

安全方案適應(yīng)業(yè)務(wù)流程；

信息安全投資與企業(yè)戰(zhàn)略和最大風(fēng)險(xiǎn)狀況密切相關(guān)。

價(jià)值傳遞

一套安全實(shí)務(wù)標(biāo)準(zhǔn)，即最佳安全實(shí)務(wù)基準(zhǔn)；

正確區(qū)分行動(dòng)的優(yōu)先次序并分配給有最大影響和商業(yè)利益的地方；

規(guī)范的、商業(yè)化的解決方案；

完整的解決方案，包括組織、流程和技術(shù)；

持續(xù)改進(jìn)的文化。

風(fēng)險(xiǎn)管理

最大風(fēng)險(xiǎn)狀況；

了解風(fēng)險(xiǎn)暴露程度；

告知管理風(fēng)險(xiǎn)的優(yōu)先行動(dòng)。

績(jī)效測(cè)量

定義測(cè)量標(biāo)準(zhǔn)；

反饋進(jìn)展的測(cè)量程序；

獨(dú)立性保證。

安全治理負(fù)責(zé)人需要提出一些問題，以幫助人們思考和提高安全意識(shí)，發(fā)現(xiàn)信息安全問題，并初步了解解決這些問題的方法。

用來發(fā)現(xiàn)信息安全狀況的問題

上一次管理執(zhí)行層關(guān)注安全相關(guān)的決定是什么時(shí)候？管理執(zhí)行層多長(zhǎng)時(shí)間參與一次安全方案的改進(jìn)？

管理執(zhí)行層知道誰(shuí)負(fù)責(zé)安全嗎？負(fù)責(zé)人自己知道嗎？其他人都知道嗎？

當(dāng)碰到安全事故時(shí)，人們這么認(rèn)為嗎？人們忽視它嗎？他們知道怎樣處理它嗎？

每個(gè)人知道公司有多少臺(tái)計(jì)算機(jī)嗎？管理執(zhí)行層知道計(jì)算機(jī)的遺失嗎？

管理執(zhí)行層識(shí)別了泄漏后造成困難或競(jìng)爭(zhēng)劣勢(shì)的所有信息（客戶資料，戰(zhàn)略規(guī)劃，研究報(bào)告等）嗎？

公司最近遭到病毒攻擊是什么時(shí)候？上一年受到多少次病毒攻擊？

有否有人探測(cè)公司的網(wǎng)絡(luò)？有過非法入侵嗎？頻率是多少？對(duì)公司有什么影響？

是否每個(gè)人都知道有多少人使用公司的系統(tǒng)？知道他們能否使用，或使用其做什么嗎？

事后處理還是事前預(yù)防安全問題？

根據(jù)損失的收入，丟失的客戶和投資者的信心，評(píng)估一次嚴(yán)重的安全事故的后果是什么？

用來發(fā)現(xiàn)管理執(zhí)行層怎樣看待信息安全的問題：

企業(yè)明確信息安全相對(duì)于IT和安全風(fēng)險(xiǎn)的定位嗎？企業(yè)趨向于避免風(fēng)險(xiǎn)還是接受風(fēng)險(xiǎn)？

用于信息安全的費(fèi)用是多少？用于哪些方面？怎樣花費(fèi)的？上一年進(jìn)行了什么項(xiàng)目提高信息安全？

上一年多少員工接受了安全培訓(xùn)？管理層多少人接受了培訓(xùn)？

組織怎樣發(fā)現(xiàn)安全事故？怎樣向上級(jí)匯報(bào)這些事故？管理執(zhí)行層采取什么行動(dòng)?

管理執(zhí)行層如何準(zhǔn)備從主要的安全事故中恢復(fù)嗎？

有否涉及所有上述問題的安全工作程序？負(fù)責(zé)人的職責(zé)清楚嗎？

自我評(píng)價(jià)信息安全的實(shí)務(wù)準(zhǔn)則

管理執(zhí)行層可以確信在公司安全得到足夠考慮嗎？

管理執(zhí)行層知道最新的安全問題和最佳實(shí)踐嗎？

其他人在做什么，企業(yè)怎樣正確處理與他們的關(guān)系？

行業(yè)最佳實(shí)踐是什么，本企業(yè)怎樣與其比較？

管理執(zhí)行層清楚表明和宣貫企業(yè)對(duì)信息安全的需求嗎？

管理執(zhí)行層認(rèn)為企業(yè)將投資多少用于信息安全的提升？

在制定商業(yè)和IT戰(zhàn)略時(shí)考慮了信息安全嗎？

公司跟蹤安全風(fēng)險(xiǎn)和可用的技術(shù)方案嗎？

管理執(zhí)行層定期獲得安全狀況和安全提升項(xiàng)目效果的報(bào)告嗎？

管理執(zhí)行層建立了獨(dú)立的IT安全審計(jì)程序嗎？他們關(guān)注審計(jì)結(jié)論的執(zhí)行效果嗎？

下列問題為最高管理層（董事會(huì)）和管理執(zhí)行層開始實(shí)施有效的信息安全治理提供了一種的正確的方法，也是負(fù)責(zé)信息安全治理的人將要提的問題：

需要最高管理層（董事會(huì)）回答的問題

信息和信息安全對(duì)組織重要嗎？如果是的，最高管理層（董事會(huì)）理解信息安全的重要性嗎？

最高管理層（董事會(huì)）制定了信息安全政策嗎？如果有，該政策得到持續(xù)的更新嗎？如果沒有制定該政策，原因是什么？

組織哪三項(xiàng)信息資產(chǎn)最關(guān)鍵？

最高管理層（董事會(huì)）對(duì)這三項(xiàng)關(guān)鍵的信息資產(chǎn)的可用性、保密性和完整性的置信度有多高？

最高管理層（董事會(huì)）知道組織最有價(jià)值的IT基礎(chǔ)設(shè)施嗎？

在關(guān)鍵信息不可用、受到損害或遺失時(shí)，組織能繼續(xù)運(yùn)作嗎？

根據(jù)損失的收入，丟失的客戶和投資者的信心評(píng)估，一次嚴(yán)重的安全事故的后果是什么？IT基礎(chǔ)設(shè)施失效的后果是什么？

信息資產(chǎn)管理要遵循哪些法規(guī)？最高管理層（董事會(huì)）是否建立確保他們一致的制度？

信息安全政策要求最高管理層（董事會(huì)）和管理執(zhí)行層關(guān)注信息安全（“高層重視”），包括發(fā)現(xiàn)的風(fēng)險(xiǎn)，建立恰當(dāng)?shù)幕A(chǔ)設(shè)施管理和控制風(fēng)險(xiǎn)，并建立適當(dāng)?shù)目刂坪头答伋绦騿幔?BR>
組織的網(wǎng)絡(luò)經(jīng)由第三方檢測(cè)過嗎？ 

組織給所有人提供信息安全意識(shí)培訓(xùn)，安全是員工和管理者業(yè)績(jī)?cè)u(píng)估的一部分嗎？

最高管理層（董事會(huì)）確信組織足夠重視安全嗎？

需要管理執(zhí)行層回答的問題

怎樣向最高管理層（董事會(huì)）通報(bào)信息安全問題？最近一次報(bào)給最高管理層（董事會(huì)）關(guān)于安全風(fēng)險(xiǎn)和安全提升狀況簡(jiǎn)報(bào)是何時(shí)？

最近一次評(píng)估關(guān)鍵信息安全資產(chǎn)是何時(shí)？計(jì)劃下一次是什么時(shí)候？

風(fēng)險(xiǎn)評(píng)估是否考慮在關(guān)鍵信息不可用、泄密或遺失時(shí)，組織能繼續(xù)運(yùn)作？它包括從收入損失、失去客戶和投資者信息幾方面考慮的安全事故的后果嗎？它測(cè)定信息基礎(chǔ)設(shè)施失效的后果嗎？

風(fēng)險(xiǎn)評(píng)估考慮哪些信息資產(chǎn)受到法規(guī)的監(jiān)管嗎？它有適當(dāng)?shù)某绦虼_保其符合這些法規(guī)嗎？

IT安全風(fēng)險(xiǎn)是IT管理會(huì)議的常規(guī)議題嗎？管理層一直在跟蹤改進(jìn)活動(dòng)嗎？

其他人在做什么，組織怎樣保持與他們的關(guān)系？本行業(yè)最佳實(shí)務(wù)是什么？組織怎樣與其對(duì)比？

最近一次發(fā)布信息安全政策聲明是什么時(shí)候？

政策聲明包括：

——哪些是關(guān)鍵的信息資產(chǎn)？

——最高管理層（董事會(huì)）和管理執(zhí)行層對(duì)信息安全的重視（“高層重視”）？

——已發(fā)現(xiàn)了什么風(fēng)險(xiǎn)？

——是否建立了管理風(fēng)險(xiǎn)的控制機(jī)制？

——控制和反饋程序？

最近一次評(píng)審信息安全負(fù)責(zé)人業(yè)績(jī)是什么時(shí)候？信息安全負(fù)責(zé)人有向上層報(bào)告安全問題的合適途徑嗎？

建立了何種安全措施保護(hù)連接到因特網(wǎng)的系統(tǒng)不受病毒和其它攻擊？有效監(jiān)控系統(tǒng)并向管理執(zhí)行層報(bào)告監(jiān)控結(jié)果了嗎？

最后一次審計(jì)信息安全是什么時(shí)候？管理執(zhí)行層跟蹤審計(jì)結(jié)果的執(zhí)行效果了嗎？

有包含所有上述問題的安全方案嗎？是否清楚地指定該方案的責(zé)任承擔(dān)人？

有些基本的措施可讓最高管理層（董事會(huì)）和管理執(zhí)行層采用，以確保他們?cè)诮M織實(shí)施了有效的信息安全治理。這些措施是：

采用最佳實(shí)踐

在最高管理層（董事會(huì)）層

將信息安全及其持續(xù)性落實(shí)到業(yè)務(wù)管理者；

建立審計(jì)委員會(huì)。該委員會(huì)清楚理解其信息安全任務(wù)，知道怎樣與管理層和審計(jì)師合作；

確保內(nèi)部和外部審計(jì)師同意，審計(jì)中包括信息安全審計(jì)委員會(huì)和管理執(zhí)行層要求的信息安全審計(jì)內(nèi)容；

要求信息安全負(fù)責(zé)人向?qū)徲?jì)委員會(huì)報(bào)告信息安全治理的進(jìn)展和問題；

建立危機(jī)處理機(jī)制，該機(jī)制要求執(zhí)行管理層和最高管理層（董事會(huì)）最初就開始參與。

在執(zhí)行管理層

建立安全職責(zé)，協(xié)助管理者制定政策，并幫助組織實(shí)現(xiàn)這些政策；

建立可測(cè)量的和易于管理的安全戰(zhàn)略。該戰(zhàn)略以標(biāo)桿、成熟度模型、差距分析和持續(xù)報(bào)告績(jī)效為基礎(chǔ)；

由安全和審計(jì)專家（內(nèi)部的和外部的）籌辦，進(jìn)行年度的業(yè)務(wù)風(fēng)險(xiǎn)頭腦風(fēng)暴法會(huì)議，得出風(fēng)險(xiǎn)現(xiàn)狀評(píng)估結(jié)論，產(chǎn)生行動(dòng)建議，并用持續(xù)的行動(dòng)強(qiáng)化執(zhí)行效果；

綜合運(yùn)用專家的知識(shí)，制訂信息安全與風(fēng)險(xiǎn)應(yīng)急方案；

建立清晰實(shí)用的企業(yè)和技術(shù)持續(xù)性方案，不斷評(píng)估和更新該方案；

根據(jù)清楚的程序進(jìn)行信息安全審計(jì)，管理層有責(zé)任跟蹤審計(jì)結(jié)論執(zhí)行情況；

制定清晰的方針政策和詳細(xì)的指南，多和員工就該計(jì)劃進(jìn)行溝通，使每個(gè)人認(rèn)可該計(jì)劃，這就是善治的安全治理；

經(jīng)常性的評(píng)估監(jiān)控系統(tǒng)所發(fā)現(xiàn)的系統(tǒng)弱點(diǎn)（CERT），評(píng)估非法入侵，壓力測(cè)試和業(yè)務(wù)持續(xù)計(jì)劃；

使業(yè)務(wù)流程和支持流程的基礎(chǔ)設(shè)施能夠在故障后恢復(fù)，特別是遇到一般的故障時(shí)；

建立安全基準(zhǔn)線，并嚴(yán)格監(jiān)控其不被違反；

實(shí)施安全事故響應(yīng)制度，并經(jīng)常進(jìn)行入侵測(cè)試；

通過高標(biāo)準(zhǔn)的控制來強(qiáng)化所有安全設(shè)施、重要的服務(wù)器和通訊平臺(tái)；

基于管理規(guī)則授權(quán)，授權(quán)方式與業(yè)務(wù)風(fēng)險(xiǎn)管理相配合；

工作績(jī)效評(píng)估包含安全績(jī)效評(píng)估，并對(duì)此采取適當(dāng)?shù)莫?jiǎng)罰措施。

思考并分析關(guān)鍵成功因素

確保：

認(rèn)識(shí)到好的安全方案需要時(shí)間發(fā)展和完善； 

組織安全責(zé)任人直接向高層領(lǐng)導(dǎo)報(bào)告并負(fù)責(zé)安全方案的執(zhí)行；

管理層和員工共同理解安全的重要性、必要性、弱點(diǎn)和威脅，理解并接受他們自己的安全責(zé)任；

定期由第三方來評(píng)估安全政策和安全的體系結(jié)構(gòu)；

安全負(fù)責(zé)人有管理安全的方法和能力，特別是在通過采取入侵測(cè)試和主動(dòng)監(jiān)控措施時(shí)，能將發(fā)生事故的可能性降至最低，但事故不可避免發(fā)生時(shí)，對(duì)事故偵查、記錄、分析嚴(yán)重性、報(bào)告和采取行動(dòng)的能力；

清楚定義風(fēng)險(xiǎn)管理責(zé)任人的任務(wù)和職責(zé)及管理層的責(zé)任；

建立定義風(fēng)險(xiǎn)界限和容許的最大風(fēng)險(xiǎn)的政策；

存在定義、協(xié)商和資助風(fēng)險(xiǎn)管理改善行動(dòng)的職責(zé)和程序；

每隔一段時(shí)期由第三方進(jìn)行更客觀的安全戰(zhàn)略審查；

識(shí)別并持續(xù)監(jiān)控關(guān)鍵的基礎(chǔ)設(shè)施；

使用服務(wù)水平協(xié)議提高認(rèn)識(shí)，增加與安全和持續(xù)性需求提供商間的合作；

在制定政策時(shí)就考慮和確定政策的強(qiáng)制執(zhí)行；

適當(dāng)?shù)臏y(cè)量對(duì)政策認(rèn)識(shí)、理解和遵循的程序；

保證好部署前的應(yīng)用軟件的安全；

信息控制策略與公司整體戰(zhàn)略規(guī)劃相一致；

管理層確信和認(rèn)可信息安全、控制政策，強(qiáng)調(diào)溝通、理解和遵循這些政策的必要性；

采用一致的政策制定框架，指導(dǎo)政策的構(gòu)思、制定、理解和遵循；

意識(shí)到雖然熟悉內(nèi)幕的專業(yè)人士是絕大部分安全風(fēng)險(xiǎn)的根源，但有組織犯罪性質(zhì)的攻擊和其他沒有專業(yè)知識(shí)人員的攻擊正在增加；

適當(dāng)關(guān)注數(shù)據(jù)保密性、版權(quán)和其它與數(shù)字時(shí)代有關(guān)的法律；

組織高層支持確保員工以合乎道德、安全的方式履行責(zé)任的行動(dòng)；

榜樣的力量是無窮的。管理層必須明白信息安全對(duì)于組織成功的關(guān)鍵意義，帶頭遵守有關(guān)規(guī)章制度，為所有員工樹立起安全意識(shí)的榜樣。

介紹績(jī)效測(cè)量標(biāo)準(zhǔn)

通過以下方面確定在信息安全上是否成功：

沒有引起公眾困惑的事故；

減少因?yàn)榘踩珕栴}延遲新行動(dòng)計(jì)劃的數(shù)量；

有保持依賴IT的關(guān)鍵業(yè)務(wù)流程連貫性的計(jì)劃；

自動(dòng)監(jiān)控重要的信息基礎(chǔ)設(shè)施；

員工在以下方面的進(jìn)步可以測(cè)量：認(rèn)識(shí)有道德的行為的必要性、系統(tǒng)安全原理和以道德的及安全的方式評(píng)估業(yè)績(jī)；

通過以下方面確定信息安全治理是否成功：

全面遵循最低安全要求，或者記錄違背最低安全要求的行為；

制定和確認(rèn)的與IT有關(guān)的規(guī)劃和政策包含IT安全的任務(wù)、遠(yuǎn)景、目標(biāo)、價(jià)值和行為守則；

IT安全規(guī)劃和政策傳達(dá)到所有相關(guān)各方。

未完待續(xù)