信息安全治理（六）——創(chuàng)造新的戰(zhàn)略競爭機(jī)遇

申請免費(fèi)試用、咨詢電話：400-8352-114

信息安全治理（六）

——創(chuàng)造新的戰(zhàn)略競爭機(jī)遇

孫強(qiáng) 左天祖 孟秀轉(zhuǎn)

6. 監(jiān)管和標(biāo)準(zhǔn)制定部門應(yīng)采取的行動

目前，金融業(yè)走在了所有行業(yè)的前頭，中國人民銀行在今年4月專門成立了“網(wǎng)上銀行發(fā)展與監(jiān)管工作組”，希望促進(jìn)國內(nèi)商業(yè)銀行加強(qiáng)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理，安全和IT是此風(fēng)險(xiǎn)地重要方面。而過去主要的風(fēng)險(xiǎn)是由內(nèi)部控制、疏忽和IT造成的。

首先，我們回顧一下國際信息安全的發(fā)展過程：

經(jīng)濟(jì)合作和發(fā)展組織，《信息系統(tǒng)安全指南》（1992）

經(jīng)濟(jì)合作和發(fā)展組織的《信息系統(tǒng)安全指南》用于協(xié)助國家和企業(yè)構(gòu)建信息系統(tǒng)安全框架。美國、OECD的其他23個成員國，以及十幾個非OECD成員國家都批準(zhǔn)了這一指南。該指南旨在：
? 
提高信息系統(tǒng)風(fēng)險(xiǎn)意識和安全措施；
? 
提供一個一般性的框架以輔助針對信息系統(tǒng)安全的有效的度量方法、實(shí)踐和程序的制定和實(shí)施，鼓勵關(guān)心信息系統(tǒng)安全的公共和私有部門間的合作；
? 
促進(jìn)人們對信息系統(tǒng)的信心，促進(jìn)人們應(yīng)用和使用信息系統(tǒng)；
? 
方便國家間和國際間信息系統(tǒng)的開發(fā)、使用和安全防護(hù)；

這個框架包括法律、行動準(zhǔn)則、技術(shù)評估、管理和用戶實(shí)踐，及公眾教育/宣傳活動。該指南的最終目的是作為政府、公眾和私有部門的標(biāo)桿，社會能通過此標(biāo)桿測量進(jìn)展。

國際會計(jì)師聯(lián)合會，《信息安全管理》（1998）

信息安全的目標(biāo)是“保護(hù)依靠信息、信息系統(tǒng)和傳送信息的通訊設(shè)施人的利益不受因?yàn)樾畔⒖捎眯?、保密性和完整性?dǎo)致故障的損害”。認(rèn)可組織在滿足下面3條準(zhǔn)則時可以認(rèn)為達(dá)到信息安全目標(biāo)：信息系統(tǒng)在需要時可用和有用（可用性）；數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人（保密性）；數(shù)據(jù)和信息保護(hù)不受未經(jīng)授權(quán)的修改（完整性）。

可用性、保密性和完整性之間的相對優(yōu)先級和重要性根據(jù)信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境而不同。

信息安全因急速增長的事故和風(fēng)險(xiǎn)種類而日益重要。對信息系統(tǒng)的威脅既有可能來自有意或無意的行動，也可能來自內(nèi)部或外部。信息安全事故的發(fā)生可能是因?yàn)榧夹g(shù)方面的因素、自然災(zāi)害、環(huán)境方面、人的因素、非法訪問或病毒。另外，業(yè)務(wù)依賴性（依靠第三方通訊設(shè)施傳送信息，外包業(yè)務(wù)等等）可能潛在地導(dǎo)致管理控制的失效和監(jiān)督不力。

國際標(biāo)準(zhǔn)化組織，《ISO 17799國際標(biāo)準(zhǔn)》（2000）

ISO17799（根據(jù)BS7799第一部分制定）作為確定控制范圍的單一參考點(diǎn)，在大多數(shù)情況下，這些控制是使用商業(yè)信息系統(tǒng)所必須的。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。它把信息作為一種資產(chǎn)，像其它重要商業(yè)資產(chǎn)一樣，這種資產(chǎn)對組織有價值，因此需要恰當(dāng)保護(hù)它。

ISO17799認(rèn)為信息安全有下列特征：

保密性——確保信息只被相應(yīng)的授權(quán)用戶訪問；

完整性——保護(hù)信息和處理信息程序的準(zhǔn)確性和完整性；

可用性——確保授權(quán)用戶在需要時能夠訪問信息和相關(guān)資產(chǎn)；

信息安全保護(hù)信息不受廣泛威脅地?fù)p害，確保業(yè)務(wù)連貫性，將商業(yè)損失降至最小，使投資收益最大并抓住各種商業(yè)機(jī)遇。安全是通過實(shí)施一套恰當(dāng)?shù)目刂拼胧?shí)現(xiàn)的。該控制措施包括政策、實(shí)踐、程序、組織結(jié)構(gòu)和/或者軟件組成。

美國注冊會計(jì)師協(xié)會/加拿大特許會計(jì)師協(xié)會，《SysTrust?系統(tǒng)可靠性原理和準(zhǔn)則V2.0》（2001）

SysTrust服務(wù)是一種保證服務(wù)，用于增強(qiáng)管理者、客戶和商業(yè)伙伴對支持業(yè)務(wù)或某種特別活動的系統(tǒng)的信任。SysTrust服務(wù)授權(quán)注冊會計(jì)師承擔(dān)如下保證服務(wù)：注冊會計(jì)師從可用性、安全性、完整性和可維護(hù)性4個基本方面評估和測試系統(tǒng)是否可靠。

可用性——系統(tǒng)在服務(wù)水平聲明或協(xié)議規(guī)定的時間內(nèi)可以運(yùn)行和使用；

安全性——確保系統(tǒng)拒絕未經(jīng)授權(quán)的物理的或邏輯的訪問；

完整性——系統(tǒng)的數(shù)據(jù)處理是完整的、準(zhǔn)確的、及時的和被授權(quán)的；

可維護(hù)性——必要時能夠升級系統(tǒng)而不影響系統(tǒng)或者與系統(tǒng)的可用性、安全性和完整性相沖突。

SysTrust定義在特定環(huán)境下及特定時期內(nèi)，沒有重大錯誤、缺陷或故障地運(yùn)行的系統(tǒng)為可靠系統(tǒng)。系統(tǒng)的界限由系統(tǒng)所有者確定，但必須包括以下幾個關(guān)鍵部分：基礎(chǔ)設(shè)施、軟件、人、程序和數(shù)據(jù)。

SysTrust的框架是可升級的，因此，企業(yè)能夠靈活選擇SysTrust標(biāo)準(zhǔn)的任何部分或全部來驗(yàn)證系統(tǒng)的可靠性。對系統(tǒng)四個標(biāo)準(zhǔn)的判斷組成對系統(tǒng)整體可靠性的判斷。注冊會計(jì)師也能單獨(dú)判斷某一標(biāo)準(zhǔn)如可用性或安全性的可靠性狀況。但是這種判斷僅僅對特定標(biāo)準(zhǔn)的可靠性做出判斷，不是對系統(tǒng)整體可靠性的判斷。

信息系統(tǒng)審計(jì)和控制基金會/IT治理協(xié)會，《信息和相關(guān)技術(shù)的控制目標(biāo)》（CoBIT?）

CoBIT由信息系統(tǒng)審計(jì)和控制基金會與IT治理協(xié)會開發(fā)和推廣（第三版），CoBIT起源于IT需要傳遞組織為達(dá)到業(yè)務(wù)目標(biāo)所需的信息這個前提。除了鼓勵以業(yè)務(wù)流程為中心，實(shí)行業(yè)務(wù)流程負(fù)責(zé)制外，CoBIT還考慮到組織對信用、質(zhì)量和安全的需要，它提供了組織用于定義其對IT業(yè)務(wù)要求的幾條信息準(zhǔn)則：效率、效果、可用性、完整性、保密性、可靠性和一致性。

CoBIT進(jìn)一步把IT分成4個領(lǐng)域（計(jì)劃和組織，獲取和運(yùn)用，傳送和支持，控制），共計(jì)34個IT業(yè)務(wù)流程。其中3個與信息安全直接密切相關(guān)的業(yè)務(wù)流程是：
? 
計(jì)劃和組織流程9——評估風(fēng)險(xiǎn)；
? 
傳遞和支持流程4——確保連貫的服務(wù)；
? 
傳遞和支持流程5——保證系統(tǒng)安全。

每個流程定義了一個高級別的目標(biāo)：
? 
識別IT流程中最重要的信息準(zhǔn)則；
? 
列出需要經(jīng)常調(diào)整的資源；
? 
考慮控制IT流程的重要方面

CoBIT為正在尋求控制實(shí)施最佳實(shí)踐的管理者和IT實(shí)施人員提供了超過300個詳細(xì)的控制目標(biāo)，以及建立在這些目標(biāo)上的廣泛的行動指南。后者是用來評估和審計(jì)對IT流程控制和治理的程度。

CoBIT最近增加了一個管理和治理層，該層提供給管理者一個工具箱，包括：

績效評估項(xiàng)目（所有IT流程的成果測量和改進(jìn)動力）；

一個關(guān)鍵成功因素列表。該列表為每個IT流程提供了成功的、非技術(shù)的最佳實(shí)踐；

一個協(xié)助建立標(biāo)桿和做出進(jìn)行IT控制決策的成熟度模型。

總之，建立信息安全治理機(jī)制是一個動態(tài)的過程。結(jié)合國情，我們對建立我國信息安全治理機(jī)制有如下建議：
?    
制定國家層面上的信息安全框架及安全組織機(jī)構(gòu)。從戰(zhàn)略視角來看，信息安全是一項(xiàng)包括技術(shù)層面、管理層面、法律層面的社會系統(tǒng)工程，延伸開來還應(yīng)該包括觀念和文化層面，例如從文化意義上構(gòu)建信息技術(shù)的行為準(zhǔn)則，培育網(wǎng)絡(luò)空間的道德規(guī)范。我國已經(jīng)頒布了一系列有關(guān)信息安全的管理?xiàng)l例，但較零散，尤為突出的是缺少國家級的統(tǒng)領(lǐng)全局的信息安全框架。信息安全的管理工作、標(biāo)準(zhǔn)的制定、安全產(chǎn)品評測與認(rèn)證等工作政出多門、各行其是，目前相關(guān)政府部門在網(wǎng)吧管理上的不一致就是這種情況的表現(xiàn)。因此要求政府部門必須采取相互協(xié)調(diào)、目標(biāo)明確的措施，以免在制訂和審定政策時發(fā)生拖杳、重復(fù)、甚至沖突的現(xiàn)象。

安全組織包括建立健全組織體系，明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳、保衛(wèi)部門。制定系統(tǒng)安全保障方案，實(shí)施安全宣傳教育、安全監(jiān)管和安全服務(wù)。發(fā)達(dá)國家一般都建立有信息安全管理機(jī)構(gòu)，美國安全委員會下設(shè)了國家保密政策委員會和信息系統(tǒng)安全保密委員會；英、法等國家建立了“國家信息安全委員會”：德國成立了“國家信息安全局”。我國設(shè)置信息安全管理機(jī)構(gòu)可采用建立專門信息安全管理機(jī)構(gòu)或在現(xiàn)有的安全部門下設(shè)立信息安全管理分支機(jī)構(gòu)。
?    
在條件較為成熟的地方試行建立安全治理的機(jī)制。信息安全安全不是個產(chǎn)品，它是一個完整的過程。作為一個過程，它有人、技術(shù)、流程這三個組成部分，這些組成部分匹配得越好，過程進(jìn)展得越順利。因此，如果要使我們的信息系統(tǒng)安全，在外部環(huán)境上亟需建立、健全統(tǒng)一指揮、統(tǒng)一步調(diào)的強(qiáng)有力的各級信息安全治理機(jī)制，這是實(shí)現(xiàn)信息安全目標(biāo)的基本組織保障；在內(nèi)部結(jié)構(gòu)上就必須建立一整套從組織最高管理層（董事會）到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營層的管理結(jié)構(gòu)來約束和保證這三個組成部分。

環(huán)境的動態(tài)性決定了信息安全工作將是一個長期的、無止境的攻防與挑戰(zhàn)，但對于企業(yè)而言，除非碰到嚴(yán)重的安全問題，否則大都仍無法體會信息安全治理機(jī)制的重要性，甚至?xí)腥苏J(rèn)為即使碰上了，也損失不大的錯誤觀念。因此，我們建議在需求較為強(qiáng)烈的政府電子政務(wù)和金融業(yè)等條件較為成熟的地方試行建立安全治理的機(jī)制，達(dá)到預(yù)先防治、應(yīng)急處理及事后復(fù)原的基本要求，在長期的工作目標(biāo)上，逐步形成廣泛的安全文化和安全治理機(jī)制，建立與國際接軌的信息安全機(jī)制，推動國際化合作網(wǎng)絡(luò)的發(fā)展，以提升國內(nèi)企業(yè)在國際上的競爭力。
   
信息安全治理機(jī)制和策略的制定要建立在上下互動的基礎(chǔ)上（這就是為什么使用“治理”而不是監(jiān)管、監(jiān)控或其它詞語的原因）。加強(qiáng)信息安全治理實(shí)質(zhì)上是一個政府和企業(yè)機(jī)構(gòu)必須攜手面對的問題。政府必須扮演一個重要的推動角色，并且尤其需要強(qiáng)調(diào)的是政府制定規(guī)則比較合理的方法是通過上下協(xié)商、交互式地制定規(guī)則，這樣才能解決規(guī)則的充分合法性、可執(zhí)行性問題，“治理不是一種正式的制度，而是持續(xù)的互動”。對于企業(yè)的最高管理層（董事會）在制定信息安全策略時亦是如此，只有這樣才有可能制定出與企業(yè)需要相匹配的安全策略。另外，由于國家制定標(biāo)準(zhǔn)會出現(xiàn)滯后于信息技術(shù)的發(fā)展、把用戶“鎖定”在過時的技術(shù)上、有可能阻礙技術(shù)創(chuàng)新等問題，在對國內(nèi)外信息安全治理廣泛研究的基礎(chǔ)上，我們認(rèn)為與信息安全有關(guān)的產(chǎn)品或服務(wù)將不會只有一種標(biāo)準(zhǔn)，技術(shù)標(biāo)準(zhǔn)也不必是強(qiáng)制性的。因此，國家應(yīng)該鼓勵協(xié)會等自愿性組織在制訂促進(jìn)可互操作的標(biāo)準(zhǔn)和行業(yè)自律規(guī)范方面發(fā)揮作用。在某些情況下，多個標(biāo)準(zhǔn)將在市場上競爭，看哪種標(biāo)準(zhǔn)能被大家認(rèn)可。在另一些情況下，不同的標(biāo)準(zhǔn)將應(yīng)用于不同的環(huán)境。簡言之，在市場競爭中勝出的標(biāo)準(zhǔn)將有利于促進(jìn)信息安全產(chǎn)業(yè)的發(fā)展。
   
很多這方面的安全策略和標(biāo)準(zhǔn)實(shí)際上是為 "理想環(huán)境"所寫的，在這種環(huán)境所有的標(biāo)準(zhǔn)和技術(shù)控制與整個組織匹配得天衣無縫。然而，這樣的策略在實(shí)際實(shí)施過程中必然會出現(xiàn)問題，組織或使用者會發(fā)現(xiàn)策略的定制者們并未理解他們真正的需要。這就產(chǎn)生了所謂的"一致性鴻溝"──組織或使用者希望在策略中體現(xiàn)的規(guī)則與實(shí)際制定出的規(guī)則的差異。當(dāng)"一致性鴻溝"在組織中出現(xiàn)并達(dá)到一定的程度時，如果這些策略過于理論化或限制性太強(qiáng)，那么組織的執(zhí)行管理層人員和最終用戶就會漠視這這些策略。因此，我們認(rèn)為在策略定制、發(fā)展過程中需要體現(xiàn)所有信息擁有者和知識財(cái)產(chǎn)的管理者的心聲，并且這一點(diǎn)是非常重要的。

同時，在制定信息安全制度時要注意考慮組織文化。許多信息安全方面的規(guī)章制度都是參考制度模板或者以其他組織的規(guī)章制度為模板而制定出來的。與組織文化和組織業(yè)務(wù)活動不相適應(yīng)的信息安全制度往往會導(dǎo)致發(fā)生大范圍的不遵守現(xiàn)象。另外，規(guī)章制度還必須包括適當(dāng)?shù)谋O(jiān)督機(jī)制。
?    
建議設(shè)立一年一度的"安全意識日"，樹立信息安全第一的意識。目前，非常多的信息安全工作都將工作重點(diǎn)放在技術(shù)方面，而將員工的信息安全意識和安全教育放在次要的位置，這樣做的結(jié)果是企業(yè)不恰當(dāng)?shù)卦诩夹g(shù)方面花費(fèi)太多的時間。但是信息并非只是一個技術(shù)問題，它也是一個關(guān)于人和管理的問題?？v觀各類的信息安全規(guī)則，我們會發(fā)現(xiàn)它們都具有一個共同點(diǎn)──進(jìn)行員工培訓(xùn)。一年一度的"安全意識日"應(yīng)當(dāng)通過講座、研討會、新聞媒體、網(wǎng)站和其它宣傳方式將安全意識擴(kuò)展為一種氛圍，努力提高和強(qiáng)化社會的信息安全觀念意識，確立信息安全管理的基本思想與政策，加快信息安全人才的培養(yǎng)，同時倡導(dǎo)信息倫理，提高公務(wù)員和公民的信息安全自律水平。這就將焦點(diǎn)從強(qiáng)制性的安全策略轉(zhuǎn)換為自主接受的安全策略文化，這也是我們實(shí)現(xiàn)信息安全目標(biāo)的基本前提。
?    
對信息系統(tǒng)進(jìn)行安全審計(jì)。信息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測、評估和控制的過程，以完成組織的戰(zhàn)略目標(biāo)，同時最經(jīng)濟(jì)的使用資源。它綜合運(yùn)用IT技術(shù)與審計(jì)理論及方法為信息時代信息的使用者提供合理的保證。

信息安全審計(jì)工作可以分為兩大類：一種是組織自行完成的內(nèi)部審計(jì)，另一種是由會計(jì)師事務(wù)所或?qū)I(yè)技術(shù)服務(wù)提供商完成的外部審計(jì)。內(nèi)部審計(jì)的主要目的是檢查組織各部門對安防制度的遵守情況，外部審計(jì)通常是因?yàn)樯鲜小⒉①?、年終檢查或其它法規(guī)的要求而進(jìn)行，一般都很正規(guī)，也非常深入。
?   
把安全視為一種理念，不斷推進(jìn)。許多公司都把信息安全看成是一個項(xiàng)目，具有開始和結(jié)束，但是一旦將它看成一個動態(tài)的過程，就更容易分階段地引入一些更為全面的安全策略。還有安全策略必須變得更具用戶導(dǎo)向性和更加動態(tài)。技術(shù)發(fā)展日新月異，組織如果想繼續(xù)保持競爭力，就必須更多地承擔(dān)起教育員工、合作伙伴和客戶的責(zé)任。而這一切是一個沒有終點(diǎn)的過程，必須建立在一套好的信息安全治理機(jī)制的基礎(chǔ)上。

全文完

瀏覽：信息安全治理（一）

信息安全治理（二）

信息安全治理（三）

信息安全治理（四）

信息安全治理（五）