信息安全治理（二）——創(chuàng)造新的戰(zhàn)略競爭機遇

申請免費試用、咨詢電話：400-8352-114

信息安全治理（二）

——創(chuàng)造新的戰(zhàn)略競爭機遇

孫強 左天祖 孟秀轉(zhuǎn)

2. 信息安全治理的定義

安全涉及保護(hù)有價值的資產(chǎn)不被遺失、濫用、泄露或者損害。我們此處的“有價值的資產(chǎn)”特指從電子媒介上記錄、處理、存儲、共享、傳送和接受的信息。信息必須保護(hù)不被導(dǎo)致不同類型的弱點如損失、不能訪問、改變和故意泄露的威脅的損害，這些威脅包括錯誤、遺漏、欺詐、意外和故意損害。相應(yīng)的保護(hù)是一系列分級的技術(shù)和非技術(shù)的安全措施，如物理安全措施、背景審查、用戶識別、密碼保護(hù)、智能卡、生物測定和防火墻。這些措施將確定信息系統(tǒng)的弱點和面臨的威脅。

在不斷變化的技術(shù)環(huán)境中，今天最好的安全措施在明天可能過時。安全措施必須緊跟這些變化，必須被作為系統(tǒng)開發(fā)生命周期過程整體的一部分加以考慮，并在過程的每一階段明確定位。有效的安全需要主動及時的制度安排。

信息安全的目標(biāo)是“保護(hù)依靠信息的人、系統(tǒng)和傳輸信息的通訊系統(tǒng)不受損害，這種損害來源于信息可用性、機密性和完整性的失效”。目前新出現(xiàn)的定義又增加信息有效性和占有性之類的概念－后者與偷竊、欺詐和舞弊相對應(yīng)－網(wǎng)絡(luò)經(jīng)濟當(dāng)然增加了電子交易信用和責(zé)任的需要。依據(jù)國際上一般公認(rèn)的準(zhǔn)則，對大部分組織來說，滿足安全目標(biāo)必須做到：

可用性：信息在需要時可用和有用，提供信息的系統(tǒng)能適當(dāng)?shù)爻惺芄舨⒃谑r恢復(fù)；

保密性：信息只能被有相應(yīng)權(quán)限的人看到，或透露給他們；

完整性：未經(jīng)授權(quán)，信息不能被修改；

真實性和不可否認(rèn)性：組織之間或組織與合作伙伴間的商業(yè)交易和信息交換是可信賴的。

可用性、保密性、完整性、真實性和不可否認(rèn)性之間的相對優(yōu)先級和重要性根據(jù)信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境的不同而不同，例如，當(dāng)信息影響與戰(zhàn)略相關(guān)的關(guān)鍵決策時，管理信息的完整性就特別重要。

根據(jù)國際會計師聯(lián)合會發(fā)布的管理信息和通訊系統(tǒng)風(fēng)險國際指南第一號報告《管理信息安全》，與信息安全相關(guān)的6個主要活動是：

政策制定——使用安全目標(biāo)和核心原理作為框架，圍繞這個框架制定安全政策；

角色和責(zé)任——確保每個人清楚知道和理解各自的角色、責(zé)任和權(quán)力；

設(shè)計——開發(fā)由標(biāo)準(zhǔn)、評測措施、實務(wù)和規(guī)程組成的安全與控制框架；

實施——適時應(yīng)用方案，并且維護(hù)實施的方案；

控制——建立控制措施，查明安全隱患，并確保其得到改正；

安全意識，培訓(xùn)和教育——安全意識的養(yǎng)成，宣貫保護(hù)信息的必要性，提供安全運作信息系統(tǒng)所需技巧的培訓(xùn)，提供安全評估和實務(wù)教育。

最后一點還要加上激勵，因為人們可能有這種有意識，但需要激發(fā)其行動。

然而，制定一項政策，使人們接受它，然后希望每個人遵守這項政策的日子已一去不復(fù)返了。風(fēng)險出現(xiàn)的速度和變化的速度需要一種不同于以前的、連貫的方法，我們稱之為“測試和修補”。它通過執(zhí)行安全管理職能，提高防衛(wèi)能力和完善政策建立安全機制，來連續(xù)地監(jiān)控和測試基礎(chǔ)設(shè)施和環(huán)境的隱患和響應(yīng)速度，如下圖所示：

新興的信息安全方法就像門衛(wèi)在晚上穿行走廊，檢查門把柄來了解房間的安全狀況。如果有人認(rèn)為技術(shù)能夠解決安全性問題，那么他就不理解安全性問題，也不理解技術(shù)。

美國明尼蘇達(dá)大學(xué)Bush-Kugel的研究報告中指出，企業(yè)在沒有信息資料可用的情況下，金融業(yè)至多只能運作2天，商業(yè)則為3.3天，工業(yè)則為5天，保險業(yè)約為5.6天。而以經(jīng)濟情況來看，有25%的企業(yè)，因為數(shù)據(jù)的損毀可能立即破產(chǎn)，40%會在兩年內(nèi)宣布破產(chǎn)，只有7%不到的企業(yè)在五年內(nèi)后能夠繼續(xù)存活。

信息系統(tǒng)可能產(chǎn)生許多直接或間接的好處，但也有可能產(chǎn)生許多直接或間接的風(fēng)險。這些風(fēng)險已使系統(tǒng)所需要受到的保護(hù)與已受到的保護(hù)之間產(chǎn)生差距，這種差距是由下列因素形成：

技術(shù)的廣泛使用；

系統(tǒng)的互連互通；

距離、時間和空間限制的消失；

技術(shù)變革的不均衡；

管理和控制權(quán)的下放；

對進(jìn)行反傳統(tǒng)的電子攻擊的吸引力；

外部因素如立法機關(guān)、法規(guī)的要求或技術(shù)的發(fā)展。

這意味著存在一個新的對重要的商業(yè)運作有重大影響的風(fēng)險區(qū)，如：

要求更高的系統(tǒng)可用性和強壯性；

更可能的誤用或濫用信息系統(tǒng)而影響隱私和道德；

來自黑客的外部危險，導(dǎo)致拒絕服務(wù)、病毒攻擊、盜用和泄漏公司信息。

新的技術(shù)提供了顯著加強經(jīng)營業(yè)績的潛力，提高和宣傳信息安全能夠為組織帶來實在的價值，包括促進(jìn)與商業(yè)伙伴之間的交互，更緊密的客戶關(guān)系，提高競爭優(yōu)勢和保護(hù)企業(yè)聲譽，還能使新的和更方便的電子交易方式成為可能并得到信任。可見，信息安全問題并不總是一個需要我們規(guī)避的風(fēng)險，事實上，安全可以為我們創(chuàng)造新的戰(zhàn)略機遇。以招商銀行一卡通為例，正是因為招行的安全防護(hù)體系足以保護(hù)自己的利益，所以才能無所顧忌地放手實施網(wǎng)上銀行計劃，創(chuàng)造出可以和四大國有銀行競爭的戰(zhàn)略機遇。

未完待續(xù)