信息安全治理：創(chuàng)造新的戰(zhàn)略競爭機遇之三

申請免費試用、咨詢電話：400-8352-114

信息安全治理：創(chuàng)造新的戰(zhàn)略競爭機遇之三
作者：孫 強 郝亞斌 發(fā)表：2004.04.07 來源：賽迪網(wǎng) 
 
"沒有安全的工程就是豆腐渣工程"

－徐匡迪 中國工程院院長

"技術(shù)本身實際上是信息安全體系里最不重要的部分了。不管一項技術(shù)有多先進(jìn)，都只不過是輔助實現(xiàn)信息安全的手段而已。我們并不是認(rèn)為技術(shù)不重要，但在信息安全的架構(gòu)里，它一定要在好的信息安全治理的基礎(chǔ)上。"

－ 作者題記

賽迪顧問股份有限公司

賽迪培訓(xùn)中心

孫 強 郝亞斌

7. 信息安全管理和信息安全治理

信息安全管理提供管理程序、技術(shù)和保證措施，使商業(yè)管理者確信商業(yè)交易的可信性；確保信息技術(shù)服務(wù)的可用性，能適當(dāng)?shù)氐挚共徽?dāng)操作、蓄意攻擊或者自然災(zāi)害，并從這些故障中恢復(fù)；確保拒絕沒經(jīng)授權(quán)的訪問重要的機密信息。信息安全管理的目標(biāo)是公司的信息及信息系統(tǒng)的安全運營，確定IT目標(biāo)以及實現(xiàn)此目標(biāo)所采取的行動。

信息安全治理是指最高管理層（董事會）利用它來監(jiān)督管理層在信息安全戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運營處于正確的軌道之上。缺乏良好信息安全治理機制的組織，也就是說缺乏健全的制度安排，因而不可能很好的信息安全管理體系，進(jìn)而也不可能取得信息化的成功；同樣，沒有信息安全管理體系的暢通，單純的治理機制也只能是一個美好的藍(lán)圖，而缺乏實際的內(nèi)容。就目前我國信息化建設(shè)的現(xiàn)狀而言，無論是信息安全治理，還是信息安全管理都是我們所迫切需要健全的。

通俗地講，安全是一種"買不到"的東西。打開包裝箱后即插即用并提供足夠安全水平的安全防護(hù)體系是不存在的。建立一個有效的信息安全體系首先需要在好的信息安全治理的基礎(chǔ)上，其次要制定出相關(guān)的管理策略和規(guī)章制度，然后才是在安全產(chǎn)品的幫助下搭建起整個架構(gòu)。相反，就不可能得到一個真正意義上的安全防護(hù)體系。這些單位可能安裝了一些安全產(chǎn)品，但并沒有一個安全的體系，因為沒有建立它的基礎(chǔ)。

8．信息安全治理的內(nèi)容是什么？

正確實施信息安全治理將提供4個基本成果：

戰(zhàn)略聯(lián)盟

·業(yè)務(wù)需求驅(qū)動安全需求；

·安全方案適應(yīng)業(yè)務(wù)流程；

·信息安全投資與企業(yè)戰(zhàn)略和最大風(fēng)險狀況密切相關(guān)。

價值傳遞

·一套安全實務(wù)標(biāo)準(zhǔn)，即最佳安全實務(wù)基準(zhǔn)；

·正確區(qū)分行動的優(yōu)先次序并分配給有最大影響和商業(yè)利益的地方；

·規(guī)范的、商業(yè)化的解決方案；

·完整的解決方案，包括組織、流程和技術(shù)；

·持續(xù)改進(jìn)的文化。

風(fēng)險管理

·最大風(fēng)險狀況；

·了解風(fēng)險暴露程度；

·告知管理風(fēng)險的優(yōu)先行動。

績效測量

·定義測量標(biāo)準(zhǔn)；

·反饋進(jìn)展的測量程序；

·獨立性保證。

9. 怎樣成功實現(xiàn)信息安全治理？

下列問題為最高管理層（董事會）和管理執(zhí)行層開始實施有效的信息安全治理提供了一種的正確的方法，也是負(fù)責(zé)信息安全治理的人將要提的問題：

需要最高管理層（董事會）回答的問題

·信息和信息安全對組織重要嗎？如果是的，最高管理層（董事會）理解信息安全的重要性嗎？

·最高管理層（董事會）制定了信息安全政策嗎？如果有，該政策得到持續(xù)的更新嗎？如果沒有制定該政策，原因是什么？

·組織哪三項信息資產(chǎn)最關(guān)鍵？

·最高管理層（董事會）對這三項關(guān)鍵的信息資產(chǎn)的可用性、保密性和完整性的置信度有多高？

·最高管理層（董事會）知道組織最有價值的IT基礎(chǔ)設(shè)施嗎？

·在關(guān)鍵信息不可用、受到損害或遺失時，組織能繼續(xù)運作嗎？

·根據(jù)損失的收入，丟失的客戶和投資者的信心評估，一次嚴(yán)重的安全事故的后果是什么？IT基礎(chǔ)設(shè)施失效的后果是什么？

·信息資產(chǎn)管理要遵循哪些法規(guī)？最高管理層（董事會）是否建立確保他們一致的制度？

·信息安全政策要求最高管理層（董事會）和管理執(zhí)行層關(guān)注信息安全（"高層重視"），包括發(fā)現(xiàn)的風(fēng)險，建立恰當(dāng)?shù)幕A(chǔ)設(shè)施管理和控制風(fēng)險，并建立適當(dāng)?shù)目刂坪头答伋绦騿幔?

·組織的網(wǎng)絡(luò)經(jīng)由第三方檢測過嗎？

·組織給所有人提供信息安全意識培訓(xùn)，安全是員工和管理者業(yè)績評估的一部分嗎？

·最高管理層（董事會）確信組織足夠重視安全嗎？

需要管理執(zhí)行層回答的問題

·怎樣向最高管理層（董事會）通報信息安全問題？最近一次報給最高管理層（董事會）關(guān)于安全風(fēng)險和安全提升狀況簡報是何時？

·最近一次評估關(guān)鍵信息安全資產(chǎn)是何時？計劃下一次是什么時候？

·風(fēng)險評估是否考慮在關(guān)鍵信息不可用、泄密或遺失時，組織能繼續(xù)運作？它包括從收入損失、失去客戶和投資者信息幾方面考慮的安全事故的后果嗎？它測定信息基礎(chǔ)設(shè)施失效的后果嗎？

·風(fēng)險評估考慮哪些信息資產(chǎn)受到法規(guī)的監(jiān)管嗎？它有適當(dāng)?shù)某绦虼_保其符合這些法規(guī)嗎？

·IT安全風(fēng)險是IT管理會議的常規(guī)議題嗎？管理層一直在跟蹤改進(jìn)活動嗎？

·其他人在做什么，組織怎樣保持與他們的關(guān)系？本行業(yè)最佳實務(wù)是什么？組織怎樣與其對比？

·最近一次發(fā)布信息安全政策聲明是什么時候？

·政策聲明包括：

--哪些是關(guān)鍵的信息資產(chǎn)？

--最高管理層（董事會）和管理執(zhí)行層對信息安全的重視（"高層重視"）？

--已發(fā)現(xiàn)了什么風(fēng)險？

--是否建立了管理風(fēng)險的控制機制？

--控制和反饋程序？

·最近一次評審信息安全負(fù)責(zé)人業(yè)績是什么時候？信息安全負(fù)責(zé)人有向上層報告安全問題的合適途徑嗎？

·建立了何種安全措施保護(hù)連接到因特網(wǎng)的系統(tǒng)不受病毒和其它攻擊？有效監(jiān)控系統(tǒng)并向管理執(zhí)行層報告監(jiān)控結(jié)果了嗎？

·最后一次審計信息安全是什么時候？管理執(zhí)行層跟蹤審計結(jié)果的執(zhí)行效果了嗎？

·有包含所有上述問題的安全方案嗎？是否清楚地指定該方案的責(zé)任承擔(dān)人？

有些基本的措施可讓最高管理層（董事會）和管理執(zhí)行層采用，以確保他們在組織實施了有效的信息安全治理。這些措施是：

采用最佳實踐

在最高管理層（董事會）層

將信息安全及其持續(xù)性落實到業(yè)務(wù)管理者；

·建立審計委員會。該委員會清楚理解其信息安全任務(wù)，知道怎樣與管理層和審計師合作；

·確保內(nèi)部和外部審計師同意，審計中包括信息安全審計委員會和管理執(zhí)行層要求的信息安全審計內(nèi)容；

·要求信息安全負(fù)責(zé)人向?qū)徲嬑瘑T會報告信息安全治理的進(jìn)展和問題；

·建立危機處理機制，該機制要求執(zhí)行管理層和最高管理層（董事會）最初就開始參與。

在執(zhí)行管理層

·建立安全職責(zé)，協(xié)助管理者制定政策，并幫助組織實現(xiàn)這些政策；

·建立可測量的和易于管理的安全戰(zhàn)略。該戰(zhàn)略以標(biāo)桿、成熟度模型、差距分析和持續(xù)報告績效為基礎(chǔ)；

·由安全和審計專家（內(nèi)部的和外部的）籌辦，進(jìn)行年度的業(yè)務(wù)風(fēng)險頭腦風(fēng)暴法會議，

得出風(fēng)險現(xiàn)狀評估結(jié)論，產(chǎn)生行動建議，并用持續(xù)的行動強化執(zhí)行效果；

·綜合運用專家的知識，制訂信息安全與風(fēng)險應(yīng)急方案；

·建立清晰實用的企業(yè)和技術(shù)持續(xù)性方案，不斷評估和更新該方案；

·根據(jù)清楚的程序進(jìn)行信息安全審計，管理層有責(zé)任跟蹤審計結(jié)論執(zhí)行情況；

·制定清晰的方針政策和詳細(xì)的指南，多和員工就該計劃進(jìn)行溝通，使每個人認(rèn)可該計劃，這就是善治的安全治理；

·經(jīng)常性的評估監(jiān)控系統(tǒng)所發(fā)現(xiàn)的系統(tǒng)弱點（CERT），評估非法入侵，壓力測試和業(yè)務(wù)持續(xù)計劃；

·使業(yè)務(wù)流程和支持流程的基礎(chǔ)設(shè)施能夠在故障后恢復(fù)，特別是遇到一般的故障時；

·建立安全基準(zhǔn)線，并嚴(yán)格監(jiān)控其不被違反；

·實施安全事故響應(yīng)制度，并經(jīng)常進(jìn)行入侵測試；

·通過高標(biāo)準(zhǔn)的控制來強化所有安全設(shè)施、重要的服務(wù)器和通訊平臺；

·基于管理規(guī)則授權(quán)，授權(quán)方式與業(yè)務(wù)風(fēng)險管理相配合；

·工作績效評估包含安全績效評估，并對此采取適當(dāng)?shù)莫劻P措施。

思考并分析關(guān)鍵成功因素

確保：

·認(rèn)識到好的安全方案需要時間發(fā)展和完善；

·組織安全責(zé)任人直接向高層領(lǐng)導(dǎo)報告并負(fù)責(zé)安全方案的執(zhí)行；

·管理層和員工共同理解安全的重要性、必要性、弱點和威脅，理解并接受他們自己的安全責(zé)任；

·定期由第三方來評估安全政策和安全的體系結(jié)構(gòu)；

·安全負(fù)責(zé)人有管理安全的方法和能力，特別是在通過采取入侵測試和主動監(jiān)控措施時，能將發(fā)生事故的可能性降至最低，但事故不可避免發(fā)生時，對事故偵查、記錄、分析嚴(yán)重性、報告和采取行動的能力；

·清楚定義風(fēng)險管理責(zé)任人的任務(wù)和職責(zé)及管理層的責(zé)任；

·建立定義風(fēng)險界限和容許的最大風(fēng)險的政策；

·存在定義、協(xié)商和資助風(fēng)險管理改善行動的職責(zé)和程序；

·每隔一段時期由第三方進(jìn)行更客觀的安全戰(zhàn)略審查；

·識別并持續(xù)監(jiān)控關(guān)鍵的基礎(chǔ)設(shè)施；

·使用服務(wù)水平協(xié)議提高認(rèn)識，增加與安全和持續(xù)性需求提供商間的合作；

·在制定政策時就考慮和確定政策的強制執(zhí)行；

·適當(dāng)?shù)臏y量對政策認(rèn)識、理解和遵循的程序；

·保證好部署前的應(yīng)用軟件的安全；

·信息控制策略與公司整體戰(zhàn)略規(guī)劃相一致；

·管理層確信和認(rèn)可信息安全、控制政策，強調(diào)溝通、理解和遵循這些政策的必要性；

·采用一致的政策制定框架，指導(dǎo)政策的構(gòu)思、制定、理解和遵循；

·意識到雖然熟悉內(nèi)幕的專業(yè)人士是絕大部分安全風(fēng)險的根源，但有組織犯罪性質(zhì)的攻擊和其他沒有專業(yè)知識人員的攻擊正在增加；

·適當(dāng)關(guān)注數(shù)據(jù)保密性、版權(quán)和其它與數(shù)字時代有關(guān)的法律；

·組織高層支持確保員工以合乎道德、安全的方式履行責(zé)任的行動；

·榜樣的力量是無窮的。管理層必須明白信息安全對于組織成功的關(guān)鍵意義，帶頭遵守有關(guān)規(guī)章制度，為所有員工樹立起安全意識的榜樣。

使用績效測量標(biāo)準(zhǔn)

通過以下方面確定在信息安全上是否成功：

·沒有引起公眾困惑的事故；

·減少因為安全問題延遲新行動計劃的數(shù)量；

·有保持依賴IT的關(guān)鍵業(yè)務(wù)流程連貫性的計劃；

·自動監(jiān)控重要的信息基礎(chǔ)設(shè)施；

·員工在以下方面的進(jìn)步可以測量：認(rèn)識有道德的行為的必要性、系統(tǒng)安全原理和以道德的及安全的方式評估業(yè)績；

通過以下方面確定信息安全治理是否成功：

·全面遵循最低安全要求，或者記錄違背最低安全要求的行為；

·制定和確認(rèn)的與IT有關(guān)的規(guī)劃和政策包含IT安全的任務(wù)、遠(yuǎn)景、目標(biāo)、價值和行為守則；

·IT安全規(guī)劃和政策傳達(dá)到所有相關(guān)各方。

10. 怎樣尋找差距？

最高管理層（董事會）和管理執(zhí)行層可以使用信息安全治理成熟度模型建立組織的安全級別。該模型被應(yīng)用為：

·一種自評估等級的方法，確定組織處于哪個級別；

·一種使用自評估結(jié)果設(shè)定將來發(fā)展目標(biāo)的方法。這個目標(biāo)是根據(jù)組織希望處于等級表的哪個級別，上一級別哪些是不必要的；

·一種規(guī)劃達(dá)到目標(biāo)的項目的方法。這個規(guī)劃是基于當(dāng)前狀況和這個目標(biāo)的差距分析的；

·一種確定項目優(yōu)先次序的方法。有限次序的確定是根據(jù)項目類別和其投資受益率；

概述起來，信息安全治理成熟度模型方法和其它成熟度模型一樣，具有以下幾個方面的優(yōu)點或作用：

·信息安全治理成熟度模型涉及信息安全和業(yè)務(wù)需求的各個方面，是一種進(jìn)行實用性比較的等級制，能以簡單方式測定差異，有助于確定有關(guān)信息技術(shù)管理和安全性方面的相對水平。

·使管理部門相對容易地依據(jù)等級制對自己定位，并找出需要改善安全管理的地方。組織對自身進(jìn)行差距分析以確定需要做哪些工作來達(dá)到所選級別。0-5等級是基于一個簡單的成熟性量度，體現(xiàn)出一個處理如何從不存在級發(fā)展到優(yōu)化級的管理過程，增加成熟度意味著增強風(fēng)險管理與提高管理效率。

·信息安全治理成熟度是測量安全管理處理等級的一種方法，這些等級正是一個給定的信息安全管理處理的慣例，體現(xiàn)各個成熟層次的典型模式，有助于組織將主要精力投入到關(guān)鍵的管理方面。

·信息安全治理成熟度模型等級有助于專業(yè)人員向管理層解釋信息安全管理存在的缺陷，并把他們組織的控制慣例與最佳慣例對照起來，從而確定組織的未來發(fā)展目標(biāo)。

我們認(rèn)為信息安全治理成熟度模型將有助于解決以下在IT部門中普遍存在的問題：

·在競爭如此激烈的市場環(huán)境中，您的公司或部門在信息安全上處于什么水平？

·如果您認(rèn)為有差距，究竟差在哪里？如何去改進(jìn)？

·如果您覺得運作良好，那么您能說出好在哪里？好到何種程度？

·如何對信息安全管理進(jìn)行績效評估？

對于上述問題，如果您覺得有必要拿出一個量化的答案，以助于提升組織的信息安全，那么本文所介紹的信息安全管理評估工具就是一個很好的方法。

11. 監(jiān)管和標(biāo)準(zhǔn)制定部門采取什么行動？

目前，金融業(yè)走在了所有行業(yè)的前頭，中國人民銀行在今年4月專門成立了"網(wǎng)上銀行發(fā)展與監(jiān)管工作組"，希望促進(jìn)國內(nèi)商業(yè)銀行加強網(wǎng)上銀行業(yè)務(wù)風(fēng)險管理，安全和IT是此風(fēng)險地重要方面。而過去主要的風(fēng)險是由內(nèi)部控制、疏忽和IT造成的。

首先，我們回顧一下國際信息安全的發(fā)展過程：

經(jīng)濟合作和發(fā)展組織，《信息系統(tǒng)安全指南》（1992）

經(jīng)濟合作和發(fā)展組織的《信息系統(tǒng)安全指南》用于協(xié)助國家和企業(yè)構(gòu)建信息系統(tǒng)安全框架。美國、OECD的其他23個成員國，以及十幾個非OECD成員國家都批準(zhǔn)了這一指南。該指南旨在：

·提高信息系統(tǒng)風(fēng)險意識和安全措施；

·提供一個一般性的框架以輔助針對信息系統(tǒng)安全的有效的度量方法、實踐和程序的制定和實施，鼓勵關(guān)心信息系統(tǒng)安全的公共和私有部門間的合作；

·促進(jìn)人們對信息系統(tǒng)的信心，促進(jìn)人們應(yīng)用和使用信息系統(tǒng)；

·方便國家間和國際間信息系統(tǒng)的開發(fā)、使用和安全防護(hù)；

這個框架包括法律、行動準(zhǔn)則、技術(shù)評估、管理和用戶實踐，及公眾教育/宣傳活動。該指南的最終目的是作為政府、公眾和私有部門的標(biāo)桿，社會能通過此標(biāo)桿測量進(jìn)展。

國際會計師聯(lián)合會，《信息安全管理》（1998）

信息安全的目標(biāo)是"保護(hù)依靠信息、信息系統(tǒng)和傳送信息的通訊設(shè)施人的利益不受因為信息可用性、保密性和完整性導(dǎo)致故障的損害"。認(rèn)可組織在滿足下面3條準(zhǔn)則時可以認(rèn)為達(dá)到信息安全目標(biāo)：信息系統(tǒng)在需要時可用和有用（可用性）；數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人（保密性）；數(shù)據(jù)和信息保護(hù)不受未經(jīng)授權(quán)的修改（完整性）。

可用性、保密性和完整性之間的相對優(yōu)先級和重要性根據(jù)信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境而不同。

信息安全因急速增長的事故和風(fēng)險種類而日益重要。對信息系統(tǒng)的威脅既有可能來自有意或無意的行動，也可能來自內(nèi)部或外部。信息安全事故的發(fā)生可能是因為技術(shù)方面的因素、自然災(zāi)害、環(huán)境方面、人的因素、非法訪問或病毒。另外，業(yè)務(wù)依賴性（依靠第三方通訊設(shè)施傳送信息，外包業(yè)務(wù)等等）可能潛在地導(dǎo)致管理控制的失效和監(jiān)督不力。

國際標(biāo)準(zhǔn)化組織，《ISO 17799國際標(biāo)準(zhǔn)》（2000）

ISO17799（根據(jù)BS7799第一部分制定）作為確定控制范圍的單一參考點，在大多數(shù)情況下，這些控制是使用商業(yè)信息系統(tǒng)所必須的。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。它把信息作為一種資產(chǎn)，像其它重要商業(yè)資產(chǎn)一樣，這種資產(chǎn)對組織有價值，因此需要恰當(dāng)保護(hù)它。

ISO17799認(rèn)為信息安全有下列特征：

保密性--確保信息只被相應(yīng)的授權(quán)用戶訪問；

完整性--保護(hù)信息和處理信息程序的準(zhǔn)確性和完整性；

可用性--確保授權(quán)用戶在需要時能夠訪問信息和相關(guān)資產(chǎn)；

信息安全保護(hù)信息不受廣泛威脅地?fù)p害，確保業(yè)務(wù)連貫性，將商業(yè)損失降至最小，使投資收益最大并抓住各種商業(yè)機遇。安全是通過實施一套恰當(dāng)?shù)目刂拼胧崿F(xiàn)的。該控制措施包括政策、實踐、程序、組織結(jié)構(gòu)和/或者軟件組成。

美國注冊會計師協(xié)會/加拿大特許會計師協(xié)會，《SysTrust?系統(tǒng)可靠性原理和準(zhǔn)則V2.0》（2001）

SysTrust服務(wù)是一種保證服務(wù)，用于增強管理者、客戶和商業(yè)伙伴對支持業(yè)務(wù)或某種特別活動的系統(tǒng)的信任。SysTrust服務(wù)授權(quán)注冊會計師承擔(dān)如下保證服務(wù)：注冊會計師從可用性、安全性、完整性和可維護(hù)性4個基本方面評估和測試系統(tǒng)是否可靠?！　?

可用性--系統(tǒng)在服務(wù)水平聲明或協(xié)議規(guī)定的時間內(nèi)可以運行和使用；

安全性--確保系統(tǒng)拒絕未經(jīng)授權(quán)的物理的或邏輯的訪問；

完整性--系統(tǒng)的數(shù)據(jù)處理是完整的、準(zhǔn)確的、及時的和被授權(quán)的；

可維護(hù)性--必要時能夠升級系統(tǒng)而不影響系統(tǒng)或者與系統(tǒng)的可用性、安全性和完整性相沖突。

SysTrust定義在特定環(huán)境下及特定時期內(nèi)，沒有重大錯誤、缺陷或故障地運行的系統(tǒng)為可靠系統(tǒng)。系統(tǒng)的界限由系統(tǒng)所有者確定，但必須包括以下幾個關(guān)鍵部分：基礎(chǔ)設(shè)施、軟件、人、程序和數(shù)據(jù)。

SysTrust的框架是可升級的，因此，企業(yè)能夠靈活選擇SysTrust標(biāo)準(zhǔn)的任何部分或全部來驗證系統(tǒng)的可靠性。對系統(tǒng)四個標(biāo)準(zhǔn)的判斷組成對系統(tǒng)整體可靠性的判斷。注冊會計師也能單獨判斷某一標(biāo)準(zhǔn)如可用性或安全性的可靠性狀況。但是這種判斷僅僅對特定標(biāo)準(zhǔn)的可靠性做出判斷，不是對系統(tǒng)整體可靠性的判斷。

信息系統(tǒng)審計和控制基金會/IT治理協(xié)會，《信息和相關(guān)技術(shù)的控制目標(biāo)》（CoBIT?）

CoBIT由信息系統(tǒng)審計和控制基金會與IT治理協(xié)會開發(fā)和推廣（第三版），CoBIT起源于IT需要傳遞組織為達(dá)到業(yè)務(wù)目標(biāo)所需的信息這個前提。除了鼓勵以業(yè)務(wù)流程為中心，實行業(yè)務(wù)流程負(fù)責(zé)制外，CoBIT還考慮到組織對信用、質(zhì)量和安全的需要，它提供了組織用于定義其對IT業(yè)務(wù)要求的幾條信息準(zhǔn)則：效率、效果、可用性、完整性、保密性、可靠性和一致性。

CoBIT進(jìn)一步把IT分成4個領(lǐng)域（計劃和組織，獲取和運用，傳送和支持，控制），共計34個IT業(yè)務(wù)流程。其中3個與信息安全直接密切相關(guān)的業(yè)務(wù)流程是：

·計劃和組織流程9--評估風(fēng)險；

·傳遞和支持流程4--確保連貫的服務(wù)；

·傳遞和支持流程5--保證系統(tǒng)安全。

每個流程定義了一個高級別的目標(biāo)：

·識別IT流程中最重要的信息準(zhǔn)則；

·列出需要經(jīng)常調(diào)整的資源；

·考慮控制IT流程的重要方面

CoBIT為正在尋求控制實施最佳實踐的管理者和IT實施人員提供了超過300個詳細(xì)的控制目標(biāo)，以及建立在這些目標(biāo)上的廣泛的行動指南。后者是用來評估和審計對IT流程控制和治理的程度。

CoBIT最近增加了一個管理和治理層，該層提供給管理者一個工具箱，包括：

績效評估項目（所有IT流程的成果測量和改進(jìn)動力）；

一個關(guān)鍵成功因素列表。該列表為每個IT流程提供了成功的、非技術(shù)的最佳實踐；

一個協(xié)助建立標(biāo)桿和做出進(jìn)行IT控制決策的成熟度模型。

總之，建立信息安全治理機制是一個動態(tài)的過程。結(jié)合國情，我們對建立我國信息安全治理機制有如下建議：

制定國家層面上的信息安全框架及安全組織機構(gòu)。從戰(zhàn)略視角來看，信息安全是一項包括技術(shù)層面、管理層面、法律層面的社會系統(tǒng)工程，延伸開來還應(yīng)該包括觀念和文化層面，例如從文化意義上構(gòu)建信息技術(shù)的行為準(zhǔn)則，培育網(wǎng)絡(luò)空間的道德規(guī)范。我國已經(jīng)頒布了一系列有關(guān)信息安全的管理條例，但較零散，尤為突出的是缺少國家級的統(tǒng)領(lǐng)全局的信息安全框架。信息安全的管理工作、標(biāo)準(zhǔn)的制定、安全產(chǎn)品評測與認(rèn)證等工作政出多門、各行其是，目前相關(guān)政府部門在網(wǎng)吧管理上的不一致就是這種情況的表現(xiàn)。因此要求政府部門必須采取相互協(xié)調(diào)、目標(biāo)明確的措施，以免在制訂和審定政策時發(fā)生拖杳、重復(fù)、甚至沖突的現(xiàn)象。

安全組織包括建立健全組織體系，明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳、保衛(wèi)部門。制定系統(tǒng)安全保障方案，實施安全宣傳教育、安全監(jiān)管和安全服務(wù)。發(fā)達(dá)國家一般都建立有信息安全管理機構(gòu)，美國安全委員會下設(shè)了國家保密政策委員會和信息系統(tǒng)安全保密委員會；英、法等國家建立了"國家信息安全委員會"：德國成立了"國家信息安全局"。我國設(shè)置信息安全管理機構(gòu)可采用建立專門信息安全管理機構(gòu)或在現(xiàn)有的安全部門下設(shè)立信息安全管理分支機構(gòu)。

在條件較為成熟的地方試行建立安全治理的機制。信息安全不是個產(chǎn)品，它是一個完整的過程。作為一個過程，它有人、技術(shù)、流程這三個組成部分，這些組成部分匹配得越好，過程進(jìn)展得越順利。因此，如果要使我們的信息系統(tǒng)安全，在外部環(huán)境上亟需建立、健全統(tǒng)一指揮、統(tǒng)一步調(diào)的強有力的各級信息安全治理機制，這是實現(xiàn)信息安全目標(biāo)的基本組織保障；在內(nèi)部結(jié)構(gòu)上就必須建立一整套從組織最高管理層（董事會）到執(zhí)行管理層以及業(yè)務(wù)運營層的管理結(jié)構(gòu)來約束和保證這三個組成部分。

環(huán)境的動態(tài)性決定了信息安全工作將是一個長期的、無止境的攻防與挑戰(zhàn)，但對于企業(yè)而言，除非碰到嚴(yán)重的安全問題，否則大都仍無法體會信息安全治理機制的重要性，甚至?xí)腥苏J(rèn)為即使碰上了，也損失不大的錯誤觀念。因此，我們建議在需求較為強烈的政府電子政務(wù)和金融業(yè)等條件較為成熟的地方試行建立安全治理的機制，達(dá)到預(yù)先防治、應(yīng)急處理及事后復(fù)原的基本要求，在長期的工作目標(biāo)上，逐步形成廣泛的安全文化和安全治理機制，建立與國際接軌的信息安全機制，推動國際化合作網(wǎng)絡(luò)的發(fā)展，以提升國內(nèi)企業(yè)在國際上的競爭力。

·信息安全治理機制和策略的制定要建立在上下互動的基礎(chǔ)上（這就是為什么使用"治理"而不是監(jiān)管、監(jiān)控或其它詞語的原因）。加強信息安全治理實質(zhì)上是一個政府和企業(yè)機構(gòu)必須攜手面對的問題。政府必須扮演一個重要的推動角色，并且尤其需要強調(diào)的是政府制定規(guī)則比較合理的方法是通過上下協(xié)商、交互式地制定規(guī)則，這樣才能解決規(guī)則的充分合法性、可執(zhí)行性問題，"治理不是一種正式的制度，而是持續(xù)的互動"。對于企業(yè)的最高管理層（董事會）在制定信息安全策略時亦是如此，只有這樣才有可能制定出與企業(yè)需要相匹配的安全策略。另外，由于國家制定標(biāo)準(zhǔn)會出現(xiàn)滯后于信息技術(shù)的發(fā)展、把用戶"鎖定"在過時的技術(shù)上、有可能阻礙技術(shù)創(chuàng)新等問題，在對國內(nèi)外信息安全治理廣泛研究的基礎(chǔ)上，我們認(rèn)為與信息安全有關(guān)的產(chǎn)品或服務(wù)將不會只有一種標(biāo)準(zhǔn)，技術(shù)標(biāo)準(zhǔn)也不必是強制性的。因此，國家應(yīng)該鼓勵協(xié)會等自愿性組織在制訂促進(jìn)可互操作的標(biāo)準(zhǔn)和行業(yè)自律規(guī)范方面發(fā)揮作用。在某些情況下，多個標(biāo)準(zhǔn)將在市場上競爭，看哪種標(biāo)準(zhǔn)能被大家認(rèn)可。在另一些情況下，不同的標(biāo)準(zhǔn)將應(yīng)用于不同的環(huán)境。簡言之，在市場競爭中勝出的標(biāo)準(zhǔn)將有利于促進(jìn)信息安全產(chǎn)業(yè)的發(fā)展。

·很多這方面的安全策略和標(biāo)準(zhǔn)實際上是為 "理想環(huán)境"所寫的，在這種環(huán)境所有的標(biāo)準(zhǔn)和技術(shù)控制與整個組織匹配得天衣無縫。然而，這樣的策略在實際實施過程中必然會出現(xiàn)問題，組織或使用者會發(fā)現(xiàn)策略的定制者們并未理解他們真正的需要。這就產(chǎn)生了所謂的"一致性鴻溝"──組織或使用者希望在策略中體現(xiàn)的規(guī)則與實際制定出的規(guī)則的差異。當(dāng)"一致性鴻溝"在組織中出現(xiàn)并達(dá)到一定的程度時，如果這些策略過于理論化或限制性太強，那么組織的執(zhí)行管理層人員和最終用戶就會漠視這這些策略。因此，我們認(rèn)為在策略定制、發(fā)展過程中需要體現(xiàn)所有信息擁有者和知識財產(chǎn)的管理者的心聲，并且這一點是非常重要的。

同時，在制定信息安全制度時要注意考慮組織文化。許多信息安全方面的規(guī)章制度都是參考制度模板或者以其他組織的規(guī)章制度為模板而制定出來的。與組織文化和組織業(yè)務(wù)活動不相適應(yīng)的信息安全制度往往會導(dǎo)致發(fā)生大范圍的不遵守現(xiàn)象。另外，規(guī)章制度還必須包括適當(dāng)?shù)谋O(jiān)督機制。

·建議設(shè)立一年一度的"安全意識日"，樹立信息安全第一的意識。目前，非常多的信息安全工作都將工作重點放在技術(shù)方面，而將員工的信息安全意識和安全教育放在次要的位置，這樣做的結(jié)果是企業(yè)不恰當(dāng)?shù)卦诩夹g(shù)方面花費太多的時間。但是信息并非只是一個技術(shù)問題，它也是一個關(guān)于人和管理的問題?？v觀各類的信息安全規(guī)則，我們會發(fā)現(xiàn)它們都具有一個共同點──進(jìn)行員工培訓(xùn)。一年一度的"安全意識日"應(yīng)當(dāng)通過講座、研討會、新聞媒體、網(wǎng)站和其它宣傳方式將安全意識擴展為一種氛圍，努力提高和強化社會的信息安全觀念意識，確立信息安全管理的基本思想與政策，加快信息安全人才的培養(yǎng)，同時倡導(dǎo)信息倫理，提高公務(wù)員和公民的信息安全自律水平。這就將焦點從強制性的安全策略轉(zhuǎn)換為自主接受的安全策略文化，這也是我們實現(xiàn)信息安全目標(biāo)的基本前提。

·對信息系統(tǒng)進(jìn)行安全審計。信息系統(tǒng)審計是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測、評估和控制的過程，以完成組織的戰(zhàn)略目標(biāo)，同時最經(jīng)濟的使用資源。它綜合運用IT技術(shù)與審計理論及方法為信息時代信息的使用者提供合理的保證。

信息安全審計工作可以分為兩大類：一種是組織自行完成的內(nèi)部審計，另一種是由會計師事務(wù)所或?qū)I(yè)技術(shù)服務(wù)提供商完成的外部審計。內(nèi)部審計的主要目的是檢查組織各部門對安防制度的遵守情況，外部審計通常是因為上市、并購、年終檢查或其它法規(guī)的要求而進(jìn)行，一般都很正規(guī)，也非常深入。

·把安全視為一種理念，不斷推進(jìn)。許多公司都把信息安全看成是一個項目，具有開始和結(jié)束，但是一旦將它看成一個動態(tài)的過程，就更容易分階段地引入一些更為全面的安全策略。還有安全策略必須變得更具用戶導(dǎo)向性和更加動態(tài)。技術(shù)發(fā)展日新月異，組織如果想繼續(xù)保持競爭力，就必須更多地承擔(dān)起教育員工、合作伙伴和客戶的責(zé)任。而這一切是一個沒有終點的過程，必須建立在一套好的信息安全治理機制的基礎(chǔ)上。