信息安全治理：創(chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇之三

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

信息安全治理：創(chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇之三
作者：孫 強(qiáng) 郝亞斌 發(fā)表：2004.04.07 來(lái)源：賽迪網(wǎng) 
 
"沒(méi)有安全的工程就是豆腐渣工程"

－徐匡迪 中國(guó)工程院院長(zhǎng)

"技術(shù)本身實(shí)際上是信息安全體系里最不重要的部分了。不管一項(xiàng)技術(shù)有多先進(jìn)，都只不過(guò)是輔助實(shí)現(xiàn)信息安全的手段而已。我們并不是認(rèn)為技術(shù)不重要，但在信息安全的架構(gòu)里，它一定要在好的信息安全治理的基礎(chǔ)上。"

－ 作者題記

賽迪顧問(wèn)股份有限公司

賽迪培訓(xùn)中心

孫 強(qiáng) 郝亞斌

7. 信息安全管理和信息安全治理

信息安全管理提供管理程序、技術(shù)和保證措施，使商業(yè)管理者確信商業(yè)交易的可信性；確保信息技術(shù)服務(wù)的可用性，能適當(dāng)?shù)氐挚共徽?dāng)操作、蓄意攻擊或者自然災(zāi)害，并從這些故障中恢復(fù)；確保拒絕沒(méi)經(jīng)授權(quán)的訪問(wèn)重要的機(jī)密信息。信息安全管理的目標(biāo)是公司的信息及信息系統(tǒng)的安全運(yùn)營(yíng)，確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)。

信息安全治理是指最高管理層（董事會(huì)）利用它來(lái)監(jiān)督管理層在信息安全戰(zhàn)略上的過(guò)程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營(yíng)處于正確的軌道之上。缺乏良好信息安全治理機(jī)制的組織，也就是說(shuō)缺乏健全的制度安排，因而不可能很好的信息安全管理體系，進(jìn)而也不可能取得信息化的成功；同樣，沒(méi)有信息安全管理體系的暢通，單純的治理機(jī)制也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。就目前我國(guó)信息化建設(shè)的現(xiàn)狀而言，無(wú)論是信息安全治理，還是信息安全管理都是我們所迫切需要健全的。

通俗地講，安全是一種"買不到"的東西。打開包裝箱后即插即用并提供足夠安全水平的安全防護(hù)體系是不存在的。建立一個(gè)有效的信息安全體系首先需要在好的信息安全治理的基礎(chǔ)上，其次要制定出相關(guān)的管理策略和規(guī)章制度，然后才是在安全產(chǎn)品的幫助下搭建起整個(gè)架構(gòu)。相反，就不可能得到一個(gè)真正意義上的安全防護(hù)體系。這些單位可能安裝了一些安全產(chǎn)品，但并沒(méi)有一個(gè)安全的體系，因?yàn)闆](méi)有建立它的基礎(chǔ)。

8．信息安全治理的內(nèi)容是什么？

正確實(shí)施信息安全治理將提供4個(gè)基本成果：

戰(zhàn)略聯(lián)盟

·業(yè)務(wù)需求驅(qū)動(dòng)安全需求；

·安全方案適應(yīng)業(yè)務(wù)流程；

·信息安全投資與企業(yè)戰(zhàn)略和最大風(fēng)險(xiǎn)狀況密切相關(guān)。

價(jià)值傳遞

·一套安全實(shí)務(wù)標(biāo)準(zhǔn)，即最佳安全實(shí)務(wù)基準(zhǔn)；

·正確區(qū)分行動(dòng)的優(yōu)先次序并分配給有最大影響和商業(yè)利益的地方；

·規(guī)范的、商業(yè)化的解決方案；

·完整的解決方案，包括組織、流程和技術(shù)；

·持續(xù)改進(jìn)的文化。

風(fēng)險(xiǎn)管理

·最大風(fēng)險(xiǎn)狀況；

·了解風(fēng)險(xiǎn)暴露程度；

·告知管理風(fēng)險(xiǎn)的優(yōu)先行動(dòng)。

績(jī)效測(cè)量

·定義測(cè)量標(biāo)準(zhǔn)；

·反饋進(jìn)展的測(cè)量程序；

·獨(dú)立性保證。

9. 怎樣成功實(shí)現(xiàn)信息安全治理？

下列問(wèn)題為最高管理層（董事會(huì)）和管理執(zhí)行層開始實(shí)施有效的信息安全治理提供了一種的正確的方法，也是負(fù)責(zé)信息安全治理的人將要提的問(wèn)題：

需要最高管理層（董事會(huì)）回答的問(wèn)題

·信息和信息安全對(duì)組織重要嗎？如果是的，最高管理層（董事會(huì)）理解信息安全的重要性嗎？

·最高管理層（董事會(huì)）制定了信息安全政策嗎？如果有，該政策得到持續(xù)的更新嗎？如果沒(méi)有制定該政策，原因是什么？

·組織哪三項(xiàng)信息資產(chǎn)最關(guān)鍵？

·最高管理層（董事會(huì)）對(duì)這三項(xiàng)關(guān)鍵的信息資產(chǎn)的可用性、保密性和完整性的置信度有多高？

·最高管理層（董事會(huì)）知道組織最有價(jià)值的IT基礎(chǔ)設(shè)施嗎？

·在關(guān)鍵信息不可用、受到損害或遺失時(shí)，組織能繼續(xù)運(yùn)作嗎？

·根據(jù)損失的收入，丟失的客戶和投資者的信心評(píng)估，一次嚴(yán)重的安全事故的后果是什么？IT基礎(chǔ)設(shè)施失效的后果是什么？

·信息資產(chǎn)管理要遵循哪些法規(guī)？最高管理層（董事會(huì)）是否建立確保他們一致的制度？

·信息安全政策要求最高管理層（董事會(huì)）和管理執(zhí)行層關(guān)注信息安全（"高層重視"），包括發(fā)現(xiàn)的風(fēng)險(xiǎn)，建立恰當(dāng)?shù)幕A(chǔ)設(shè)施管理和控制風(fēng)險(xiǎn)，并建立適當(dāng)?shù)目刂坪头答伋绦騿幔?

·組織的網(wǎng)絡(luò)經(jīng)由第三方檢測(cè)過(guò)嗎？

·組織給所有人提供信息安全意識(shí)培訓(xùn)，安全是員工和管理者業(yè)績(jī)?cè)u(píng)估的一部分嗎？

·最高管理層（董事會(huì)）確信組織足夠重視安全嗎？

需要管理執(zhí)行層回答的問(wèn)題

·怎樣向最高管理層（董事會(huì)）通報(bào)信息安全問(wèn)題？最近一次報(bào)給最高管理層（董事會(huì)）關(guān)于安全風(fēng)險(xiǎn)和安全提升狀況簡(jiǎn)報(bào)是何時(shí)？

·最近一次評(píng)估關(guān)鍵信息安全資產(chǎn)是何時(shí)？計(jì)劃下一次是什么時(shí)候？

·風(fēng)險(xiǎn)評(píng)估是否考慮在關(guān)鍵信息不可用、泄密或遺失時(shí)，組織能繼續(xù)運(yùn)作？它包括從收入損失、失去客戶和投資者信息幾方面考慮的安全事故的后果嗎？它測(cè)定信息基礎(chǔ)設(shè)施失效的后果嗎？

·風(fēng)險(xiǎn)評(píng)估考慮哪些信息資產(chǎn)受到法規(guī)的監(jiān)管嗎？它有適當(dāng)?shù)某绦虼_保其符合這些法規(guī)嗎？

·IT安全風(fēng)險(xiǎn)是IT管理會(huì)議的常規(guī)議題嗎？管理層一直在跟蹤改進(jìn)活動(dòng)嗎？

·其他人在做什么，組織怎樣保持與他們的關(guān)系？本行業(yè)最佳實(shí)務(wù)是什么？組織怎樣與其對(duì)比？

·最近一次發(fā)布信息安全政策聲明是什么時(shí)候？

·政策聲明包括：

--哪些是關(guān)鍵的信息資產(chǎn)？

--最高管理層（董事會(huì)）和管理執(zhí)行層對(duì)信息安全的重視（"高層重視"）？

--已發(fā)現(xiàn)了什么風(fēng)險(xiǎn)？

--是否建立了管理風(fēng)險(xiǎn)的控制機(jī)制？

--控制和反饋程序？

·最近一次評(píng)審信息安全負(fù)責(zé)人業(yè)績(jī)是什么時(shí)候？信息安全負(fù)責(zé)人有向上層報(bào)告安全問(wèn)題的合適途徑嗎？

·建立了何種安全措施保護(hù)連接到因特網(wǎng)的系統(tǒng)不受病毒和其它攻擊？有效監(jiān)控系統(tǒng)并向管理執(zhí)行層報(bào)告監(jiān)控結(jié)果了嗎？

·最后一次審計(jì)信息安全是什么時(shí)候？管理執(zhí)行層跟蹤審計(jì)結(jié)果的執(zhí)行效果了嗎？

·有包含所有上述問(wèn)題的安全方案嗎？是否清楚地指定該方案的責(zé)任承擔(dān)人？

有些基本的措施可讓最高管理層（董事會(huì)）和管理執(zhí)行層采用，以確保他們?cè)诮M織實(shí)施了有效的信息安全治理。這些措施是：

采用最佳實(shí)踐

在最高管理層（董事會(huì)）層

將信息安全及其持續(xù)性落實(shí)到業(yè)務(wù)管理者；

·建立審計(jì)委員會(huì)。該委員會(huì)清楚理解其信息安全任務(wù)，知道怎樣與管理層和審計(jì)師合作；

·確保內(nèi)部和外部審計(jì)師同意，審計(jì)中包括信息安全審計(jì)委員會(huì)和管理執(zhí)行層要求的信息安全審計(jì)內(nèi)容；

·要求信息安全負(fù)責(zé)人向?qū)徲?jì)委員會(huì)報(bào)告信息安全治理的進(jìn)展和問(wèn)題；

·建立危機(jī)處理機(jī)制，該機(jī)制要求執(zhí)行管理層和最高管理層（董事會(huì)）最初就開始參與。

在執(zhí)行管理層

·建立安全職責(zé)，協(xié)助管理者制定政策，并幫助組織實(shí)現(xiàn)這些政策；

·建立可測(cè)量的和易于管理的安全戰(zhàn)略。該戰(zhàn)略以標(biāo)桿、成熟度模型、差距分析和持續(xù)報(bào)告績(jī)效為基礎(chǔ)；

·由安全和審計(jì)專家（內(nèi)部的和外部的）籌辦，進(jìn)行年度的業(yè)務(wù)風(fēng)險(xiǎn)頭腦風(fēng)暴法會(huì)議，

得出風(fēng)險(xiǎn)現(xiàn)狀評(píng)估結(jié)論，產(chǎn)生行動(dòng)建議，并用持續(xù)的行動(dòng)強(qiáng)化執(zhí)行效果；

·綜合運(yùn)用專家的知識(shí)，制訂信息安全與風(fēng)險(xiǎn)應(yīng)急方案；

·建立清晰實(shí)用的企業(yè)和技術(shù)持續(xù)性方案，不斷評(píng)估和更新該方案；

·根據(jù)清楚的程序進(jìn)行信息安全審計(jì)，管理層有責(zé)任跟蹤審計(jì)結(jié)論執(zhí)行情況；

·制定清晰的方針政策和詳細(xì)的指南，多和員工就該計(jì)劃進(jìn)行溝通，使每個(gè)人認(rèn)可該計(jì)劃，這就是善治的安全治理；

·經(jīng)常性的評(píng)估監(jiān)控系統(tǒng)所發(fā)現(xiàn)的系統(tǒng)弱點(diǎn)（CERT），評(píng)估非法入侵，壓力測(cè)試和業(yè)務(wù)持續(xù)計(jì)劃；

·使業(yè)務(wù)流程和支持流程的基礎(chǔ)設(shè)施能夠在故障后恢復(fù)，特別是遇到一般的故障時(shí)；

·建立安全基準(zhǔn)線，并嚴(yán)格監(jiān)控其不被違反；

·實(shí)施安全事故響應(yīng)制度，并經(jīng)常進(jìn)行入侵測(cè)試；

·通過(guò)高標(biāo)準(zhǔn)的控制來(lái)強(qiáng)化所有安全設(shè)施、重要的服務(wù)器和通訊平臺(tái)；

·基于管理規(guī)則授權(quán)，授權(quán)方式與業(yè)務(wù)風(fēng)險(xiǎn)管理相配合；

·工作績(jī)效評(píng)估包含安全績(jī)效評(píng)估，并對(duì)此采取適當(dāng)?shù)莫?jiǎng)罰措施。

思考并分析關(guān)鍵成功因素

確保：

·認(rèn)識(shí)到好的安全方案需要時(shí)間發(fā)展和完善；

·組織安全責(zé)任人直接向高層領(lǐng)導(dǎo)報(bào)告并負(fù)責(zé)安全方案的執(zhí)行；

·管理層和員工共同理解安全的重要性、必要性、弱點(diǎn)和威脅，理解并接受他們自己的安全責(zé)任；

·定期由第三方來(lái)評(píng)估安全政策和安全的體系結(jié)構(gòu)；

·安全負(fù)責(zé)人有管理安全的方法和能力，特別是在通過(guò)采取入侵測(cè)試和主動(dòng)監(jiān)控措施時(shí)，能將發(fā)生事故的可能性降至最低，但事故不可避免發(fā)生時(shí)，對(duì)事故偵查、記錄、分析嚴(yán)重性、報(bào)告和采取行動(dòng)的能力；

·清楚定義風(fēng)險(xiǎn)管理責(zé)任人的任務(wù)和職責(zé)及管理層的責(zé)任；

·建立定義風(fēng)險(xiǎn)界限和容許的最大風(fēng)險(xiǎn)的政策；

·存在定義、協(xié)商和資助風(fēng)險(xiǎn)管理改善行動(dòng)的職責(zé)和程序；

·每隔一段時(shí)期由第三方進(jìn)行更客觀的安全戰(zhàn)略審查；

·識(shí)別并持續(xù)監(jiān)控關(guān)鍵的基礎(chǔ)設(shè)施；

·使用服務(wù)水平協(xié)議提高認(rèn)識(shí)，增加與安全和持續(xù)性需求提供商間的合作；

·在制定政策時(shí)就考慮和確定政策的強(qiáng)制執(zhí)行；

·適當(dāng)?shù)臏y(cè)量對(duì)政策認(rèn)識(shí)、理解和遵循的程序；

·保證好部署前的應(yīng)用軟件的安全；

·信息控制策略與公司整體戰(zhàn)略規(guī)劃相一致；

·管理層確信和認(rèn)可信息安全、控制政策，強(qiáng)調(diào)溝通、理解和遵循這些政策的必要性；

·采用一致的政策制定框架，指導(dǎo)政策的構(gòu)思、制定、理解和遵循；

·意識(shí)到雖然熟悉內(nèi)幕的專業(yè)人士是絕大部分安全風(fēng)險(xiǎn)的根源，但有組織犯罪性質(zhì)的攻擊和其他沒(méi)有專業(yè)知識(shí)人員的攻擊正在增加；

·適當(dāng)關(guān)注數(shù)據(jù)保密性、版權(quán)和其它與數(shù)字時(shí)代有關(guān)的法律；

·組織高層支持確保員工以合乎道德、安全的方式履行責(zé)任的行動(dòng)；

·榜樣的力量是無(wú)窮的。管理層必須明白信息安全對(duì)于組織成功的關(guān)鍵意義，帶頭遵守有關(guān)規(guī)章制度，為所有員工樹立起安全意識(shí)的榜樣。

使用績(jī)效測(cè)量標(biāo)準(zhǔn)

通過(guò)以下方面確定在信息安全上是否成功：

·沒(méi)有引起公眾困惑的事故；

·減少因?yàn)榘踩珕?wèn)題延遲新行動(dòng)計(jì)劃的數(shù)量；

·有保持依賴IT的關(guān)鍵業(yè)務(wù)流程連貫性的計(jì)劃；

·自動(dòng)監(jiān)控重要的信息基礎(chǔ)設(shè)施；

·員工在以下方面的進(jìn)步可以測(cè)量：認(rèn)識(shí)有道德的行為的必要性、系統(tǒng)安全原理和以道德的及安全的方式評(píng)估業(yè)績(jī)；

通過(guò)以下方面確定信息安全治理是否成功：

·全面遵循最低安全要求，或者記錄違背最低安全要求的行為；

·制定和確認(rèn)的與IT有關(guān)的規(guī)劃和政策包含IT安全的任務(wù)、遠(yuǎn)景、目標(biāo)、價(jià)值和行為守則；

·IT安全規(guī)劃和政策傳達(dá)到所有相關(guān)各方。

10. 怎樣尋找差距？

最高管理層（董事會(huì)）和管理執(zhí)行層可以使用信息安全治理成熟度模型建立組織的安全級(jí)別。該模型被應(yīng)用為：

·一種自評(píng)估等級(jí)的方法，確定組織處于哪個(gè)級(jí)別；

·一種使用自評(píng)估結(jié)果設(shè)定將來(lái)發(fā)展目標(biāo)的方法。這個(gè)目標(biāo)是根據(jù)組織希望處于等級(jí)表的哪個(gè)級(jí)別，上一級(jí)別哪些是不必要的；

·一種規(guī)劃達(dá)到目標(biāo)的項(xiàng)目的方法。這個(gè)規(guī)劃是基于當(dāng)前狀況和這個(gè)目標(biāo)的差距分析的；

·一種確定項(xiàng)目?jī)?yōu)先次序的方法。有限次序的確定是根據(jù)項(xiàng)目類別和其投資受益率；

概述起來(lái)，信息安全治理成熟度模型方法和其它成熟度模型一樣，具有以下幾個(gè)方面的優(yōu)點(diǎn)或作用：

·信息安全治理成熟度模型涉及信息安全和業(yè)務(wù)需求的各個(gè)方面，是一種進(jìn)行實(shí)用性比較的等級(jí)制，能以簡(jiǎn)單方式測(cè)定差異，有助于確定有關(guān)信息技術(shù)管理和安全性方面的相對(duì)水平。

·使管理部門相對(duì)容易地依據(jù)等級(jí)制對(duì)自己定位，并找出需要改善安全管理的地方。組織對(duì)自身進(jìn)行差距分析以確定需要做哪些工作來(lái)達(dá)到所選級(jí)別。0-5等級(jí)是基于一個(gè)簡(jiǎn)單的成熟性量度，體現(xiàn)出一個(gè)處理如何從不存在級(jí)發(fā)展到優(yōu)化級(jí)的管理過(guò)程，增加成熟度意味著增強(qiáng)風(fēng)險(xiǎn)管理與提高管理效率。

·信息安全治理成熟度是測(cè)量安全管理處理等級(jí)的一種方法，這些等級(jí)正是一個(gè)給定的信息安全管理處理的慣例，體現(xiàn)各個(gè)成熟層次的典型模式，有助于組織將主要精力投入到關(guān)鍵的管理方面。

·信息安全治理成熟度模型等級(jí)有助于專業(yè)人員向管理層解釋信息安全管理存在的缺陷，并把他們組織的控制慣例與最佳慣例對(duì)照起來(lái)，從而確定組織的未來(lái)發(fā)展目標(biāo)。

我們認(rèn)為信息安全治理成熟度模型將有助于解決以下在IT部門中普遍存在的問(wèn)題：

·在競(jìng)爭(zhēng)如此激烈的市場(chǎng)環(huán)境中，您的公司或部門在信息安全上處于什么水平？

·如果您認(rèn)為有差距，究竟差在哪里？如何去改進(jìn)？

·如果您覺(jué)得運(yùn)作良好，那么您能說(shuō)出好在哪里？好到何種程度？

·如何對(duì)信息安全管理進(jìn)行績(jī)效評(píng)估？

對(duì)于上述問(wèn)題，如果您覺(jué)得有必要拿出一個(gè)量化的答案，以助于提升組織的信息安全，那么本文所介紹的信息安全管理評(píng)估工具就是一個(gè)很好的方法。

11. 監(jiān)管和標(biāo)準(zhǔn)制定部門采取什么行動(dòng)？

目前，金融業(yè)走在了所有行業(yè)的前頭，中國(guó)人民銀行在今年4月專門成立了"網(wǎng)上銀行發(fā)展與監(jiān)管工作組"，希望促進(jìn)國(guó)內(nèi)商業(yè)銀行加強(qiáng)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理，安全和IT是此風(fēng)險(xiǎn)地重要方面。而過(guò)去主要的風(fēng)險(xiǎn)是由內(nèi)部控制、疏忽和IT造成的。

首先，我們回顧一下國(guó)際信息安全的發(fā)展過(guò)程：

經(jīng)濟(jì)合作和發(fā)展組織，《信息系統(tǒng)安全指南》（1992）

經(jīng)濟(jì)合作和發(fā)展組織的《信息系統(tǒng)安全指南》用于協(xié)助國(guó)家和企業(yè)構(gòu)建信息系統(tǒng)安全框架。美國(guó)、OECD的其他23個(gè)成員國(guó)，以及十幾個(gè)非OECD成員國(guó)家都批準(zhǔn)了這一指南。該指南旨在：

·提高信息系統(tǒng)風(fēng)險(xiǎn)意識(shí)和安全措施；

·提供一個(gè)一般性的框架以輔助針對(duì)信息系統(tǒng)安全的有效的度量方法、實(shí)踐和程序的制定和實(shí)施，鼓勵(lì)關(guān)心信息系統(tǒng)安全的公共和私有部門間的合作；

·促進(jìn)人們對(duì)信息系統(tǒng)的信心，促進(jìn)人們應(yīng)用和使用信息系統(tǒng)；

·方便國(guó)家間和國(guó)際間信息系統(tǒng)的開發(fā)、使用和安全防護(hù)；

這個(gè)框架包括法律、行動(dòng)準(zhǔn)則、技術(shù)評(píng)估、管理和用戶實(shí)踐，及公眾教育/宣傳活動(dòng)。該指南的最終目的是作為政府、公眾和私有部門的標(biāo)桿，社會(huì)能通過(guò)此標(biāo)桿測(cè)量進(jìn)展。

國(guó)際會(huì)計(jì)師聯(lián)合會(huì)，《信息安全管理》（1998）

信息安全的目標(biāo)是"保護(hù)依靠信息、信息系統(tǒng)和傳送信息的通訊設(shè)施人的利益不受因?yàn)樾畔⒖捎眯?、保密性和完整性?dǎo)致故障的損害"。認(rèn)可組織在滿足下面3條準(zhǔn)則時(shí)可以認(rèn)為達(dá)到信息安全目標(biāo)：信息系統(tǒng)在需要時(shí)可用和有用（可用性）；數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人（保密性）；數(shù)據(jù)和信息保護(hù)不受未經(jīng)授權(quán)的修改（完整性）。

可用性、保密性和完整性之間的相對(duì)優(yōu)先級(jí)和重要性根據(jù)信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境而不同。

信息安全因急速增長(zhǎng)的事故和風(fēng)險(xiǎn)種類而日益重要。對(duì)信息系統(tǒng)的威脅既有可能來(lái)自有意或無(wú)意的行動(dòng)，也可能來(lái)自內(nèi)部或外部。信息安全事故的發(fā)生可能是因?yàn)榧夹g(shù)方面的因素、自然災(zāi)害、環(huán)境方面、人的因素、非法訪問(wèn)或病毒。另外，業(yè)務(wù)依賴性（依靠第三方通訊設(shè)施傳送信息，外包業(yè)務(wù)等等）可能潛在地導(dǎo)致管理控制的失效和監(jiān)督不力。

國(guó)際標(biāo)準(zhǔn)化組織，《ISO 17799國(guó)際標(biāo)準(zhǔn)》（2000）

ISO17799（根據(jù)BS7799第一部分制定）作為確定控制范圍的單一參考點(diǎn)，在大多數(shù)情況下，這些控制是使用商業(yè)信息系統(tǒng)所必須的。該標(biāo)準(zhǔn)適應(yīng)任何規(guī)模的組織。它把信息作為一種資產(chǎn)，像其它重要商業(yè)資產(chǎn)一樣，這種資產(chǎn)對(duì)組織有價(jià)值，因此需要恰當(dāng)保護(hù)它。

ISO17799認(rèn)為信息安全有下列特征：

保密性--確保信息只被相應(yīng)的授權(quán)用戶訪問(wèn)；

完整性--保護(hù)信息和處理信息程序的準(zhǔn)確性和完整性；

可用性--確保授權(quán)用戶在需要時(shí)能夠訪問(wèn)信息和相關(guān)資產(chǎn)；

信息安全保護(hù)信息不受廣泛威脅地?fù)p害，確保業(yè)務(wù)連貫性，將商業(yè)損失降至最小，使投資收益最大并抓住各種商業(yè)機(jī)遇。安全是通過(guò)實(shí)施一套恰當(dāng)?shù)目刂拼胧?shí)現(xiàn)的。該控制措施包括政策、實(shí)踐、程序、組織結(jié)構(gòu)和/或者軟件組成。

美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)/加拿大特許會(huì)計(jì)師協(xié)會(huì)，《SysTrust?系統(tǒng)可靠性原理和準(zhǔn)則V2.0》（2001）

SysTrust服務(wù)是一種保證服務(wù)，用于增強(qiáng)管理者、客戶和商業(yè)伙伴對(duì)支持業(yè)務(wù)或某種特別活動(dòng)的系統(tǒng)的信任。SysTrust服務(wù)授權(quán)注冊(cè)會(huì)計(jì)師承擔(dān)如下保證服務(wù)：注冊(cè)會(huì)計(jì)師從可用性、安全性、完整性和可維護(hù)性4個(gè)基本方面評(píng)估和測(cè)試系統(tǒng)是否可靠?！　?

可用性--系統(tǒng)在服務(wù)水平聲明或協(xié)議規(guī)定的時(shí)間內(nèi)可以運(yùn)行和使用；

安全性--確保系統(tǒng)拒絕未經(jīng)授權(quán)的物理的或邏輯的訪問(wèn)；

完整性--系統(tǒng)的數(shù)據(jù)處理是完整的、準(zhǔn)確的、及時(shí)的和被授權(quán)的；

可維護(hù)性--必要時(shí)能夠升級(jí)系統(tǒng)而不影響系統(tǒng)或者與系統(tǒng)的可用性、安全性和完整性相沖突。

SysTrust定義在特定環(huán)境下及特定時(shí)期內(nèi)，沒(méi)有重大錯(cuò)誤、缺陷或故障地運(yùn)行的系統(tǒng)為可靠系統(tǒng)。系統(tǒng)的界限由系統(tǒng)所有者確定，但必須包括以下幾個(gè)關(guān)鍵部分：基礎(chǔ)設(shè)施、軟件、人、程序和數(shù)據(jù)。

SysTrust的框架是可升級(jí)的，因此，企業(yè)能夠靈活選擇SysTrust標(biāo)準(zhǔn)的任何部分或全部來(lái)驗(yàn)證系統(tǒng)的可靠性。對(duì)系統(tǒng)四個(gè)標(biāo)準(zhǔn)的判斷組成對(duì)系統(tǒng)整體可靠性的判斷。注冊(cè)會(huì)計(jì)師也能單獨(dú)判斷某一標(biāo)準(zhǔn)如可用性或安全性的可靠性狀況。但是這種判斷僅僅對(duì)特定標(biāo)準(zhǔn)的可靠性做出判斷，不是對(duì)系統(tǒng)整體可靠性的判斷。

信息系統(tǒng)審計(jì)和控制基金會(huì)/IT治理協(xié)會(huì)，《信息和相關(guān)技術(shù)的控制目標(biāo)》（CoBIT?）

CoBIT由信息系統(tǒng)審計(jì)和控制基金會(huì)與IT治理協(xié)會(huì)開發(fā)和推廣（第三版），CoBIT起源于IT需要傳遞組織為達(dá)到業(yè)務(wù)目標(biāo)所需的信息這個(gè)前提。除了鼓勵(lì)以業(yè)務(wù)流程為中心，實(shí)行業(yè)務(wù)流程負(fù)責(zé)制外，CoBIT還考慮到組織對(duì)信用、質(zhì)量和安全的需要，它提供了組織用于定義其對(duì)IT業(yè)務(wù)要求的幾條信息準(zhǔn)則：效率、效果、可用性、完整性、保密性、可靠性和一致性。

CoBIT進(jìn)一步把IT分成4個(gè)領(lǐng)域（計(jì)劃和組織，獲取和運(yùn)用，傳送和支持，控制），共計(jì)34個(gè)IT業(yè)務(wù)流程。其中3個(gè)與信息安全直接密切相關(guān)的業(yè)務(wù)流程是：

·計(jì)劃和組織流程9--評(píng)估風(fēng)險(xiǎn)；

·傳遞和支持流程4--確保連貫的服務(wù)；

·傳遞和支持流程5--保證系統(tǒng)安全。

每個(gè)流程定義了一個(gè)高級(jí)別的目標(biāo)：

·識(shí)別IT流程中最重要的信息準(zhǔn)則；

·列出需要經(jīng)常調(diào)整的資源；

·考慮控制IT流程的重要方面

CoBIT為正在尋求控制實(shí)施最佳實(shí)踐的管理者和IT實(shí)施人員提供了超過(guò)300個(gè)詳細(xì)的控制目標(biāo)，以及建立在這些目標(biāo)上的廣泛的行動(dòng)指南。后者是用來(lái)評(píng)估和審計(jì)對(duì)IT流程控制和治理的程度。

CoBIT最近增加了一個(gè)管理和治理層，該層提供給管理者一個(gè)工具箱，包括：

績(jī)效評(píng)估項(xiàng)目（所有IT流程的成果測(cè)量和改進(jìn)動(dòng)力）；

一個(gè)關(guān)鍵成功因素列表。該列表為每個(gè)IT流程提供了成功的、非技術(shù)的最佳實(shí)踐；

一個(gè)協(xié)助建立標(biāo)桿和做出進(jìn)行IT控制決策的成熟度模型。

總之，建立信息安全治理機(jī)制是一個(gè)動(dòng)態(tài)的過(guò)程。結(jié)合國(guó)情，我們對(duì)建立我國(guó)信息安全治理機(jī)制有如下建議：

制定國(guó)家層面上的信息安全框架及安全組織機(jī)構(gòu)。從戰(zhàn)略視角來(lái)看，信息安全是一項(xiàng)包括技術(shù)層面、管理層面、法律層面的社會(huì)系統(tǒng)工程，延伸開來(lái)還應(yīng)該包括觀念和文化層面，例如從文化意義上構(gòu)建信息技術(shù)的行為準(zhǔn)則，培育網(wǎng)絡(luò)空間的道德規(guī)范。我國(guó)已經(jīng)頒布了一系列有關(guān)信息安全的管理?xiàng)l例，但較零散，尤為突出的是缺少國(guó)家級(jí)的統(tǒng)領(lǐng)全局的信息安全框架。信息安全的管理工作、標(biāo)準(zhǔn)的制定、安全產(chǎn)品評(píng)測(cè)與認(rèn)證等工作政出多門、各行其是，目前相關(guān)政府部門在網(wǎng)吧管理上的不一致就是這種情況的表現(xiàn)。因此要求政府部門必須采取相互協(xié)調(diào)、目標(biāo)明確的措施，以免在制訂和審定政策時(shí)發(fā)生拖杳、重復(fù)、甚至沖突的現(xiàn)象。

安全組織包括建立健全組織體系，明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳、保衛(wèi)部門。制定系統(tǒng)安全保障方案，實(shí)施安全宣傳教育、安全監(jiān)管和安全服務(wù)。發(fā)達(dá)國(guó)家一般都建立有信息安全管理機(jī)構(gòu)，美國(guó)安全委員會(huì)下設(shè)了國(guó)家保密政策委員會(huì)和信息系統(tǒng)安全保密委員會(huì)；英、法等國(guó)家建立了"國(guó)家信息安全委員會(huì)"：德國(guó)成立了"國(guó)家信息安全局"。我國(guó)設(shè)置信息安全管理機(jī)構(gòu)可采用建立專門信息安全管理機(jī)構(gòu)或在現(xiàn)有的安全部門下設(shè)立信息安全管理分支機(jī)構(gòu)。

在條件較為成熟的地方試行建立安全治理的機(jī)制。信息安全不是個(gè)產(chǎn)品，它是一個(gè)完整的過(guò)程。作為一個(gè)過(guò)程，它有人、技術(shù)、流程這三個(gè)組成部分，這些組成部分匹配得越好，過(guò)程進(jìn)展得越順利。因此，如果要使我們的信息系統(tǒng)安全，在外部環(huán)境上亟需建立、健全統(tǒng)一指揮、統(tǒng)一步調(diào)的強(qiáng)有力的各級(jí)信息安全治理機(jī)制，這是實(shí)現(xiàn)信息安全目標(biāo)的基本組織保障；在內(nèi)部結(jié)構(gòu)上就必須建立一整套從組織最高管理層（董事會(huì)）到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營(yíng)層的管理結(jié)構(gòu)來(lái)約束和保證這三個(gè)組成部分。

環(huán)境的動(dòng)態(tài)性決定了信息安全工作將是一個(gè)長(zhǎng)期的、無(wú)止境的攻防與挑戰(zhàn)，但對(duì)于企業(yè)而言，除非碰到嚴(yán)重的安全問(wèn)題，否則大都仍無(wú)法體會(huì)信息安全治理機(jī)制的重要性，甚至?xí)腥苏J(rèn)為即使碰上了，也損失不大的錯(cuò)誤觀念。因此，我們建議在需求較為強(qiáng)烈的政府電子政務(wù)和金融業(yè)等條件較為成熟的地方試行建立安全治理的機(jī)制，達(dá)到預(yù)先防治、應(yīng)急處理及事后復(fù)原的基本要求，在長(zhǎng)期的工作目標(biāo)上，逐步形成廣泛的安全文化和安全治理機(jī)制，建立與國(guó)際接軌的信息安全機(jī)制，推動(dòng)國(guó)際化合作網(wǎng)絡(luò)的發(fā)展，以提升國(guó)內(nèi)企業(yè)在國(guó)際上的競(jìng)爭(zhēng)力。

·信息安全治理機(jī)制和策略的制定要建立在上下互動(dòng)的基礎(chǔ)上（這就是為什么使用"治理"而不是監(jiān)管、監(jiān)控或其它詞語(yǔ)的原因）。加強(qiáng)信息安全治理實(shí)質(zhì)上是一個(gè)政府和企業(yè)機(jī)構(gòu)必須攜手面對(duì)的問(wèn)題。政府必須扮演一個(gè)重要的推動(dòng)角色，并且尤其需要強(qiáng)調(diào)的是政府制定規(guī)則比較合理的方法是通過(guò)上下協(xié)商、交互式地制定規(guī)則，這樣才能解決規(guī)則的充分合法性、可執(zhí)行性問(wèn)題，"治理不是一種正式的制度，而是持續(xù)的互動(dòng)"。對(duì)于企業(yè)的最高管理層（董事會(huì)）在制定信息安全策略時(shí)亦是如此，只有這樣才有可能制定出與企業(yè)需要相匹配的安全策略。另外，由于國(guó)家制定標(biāo)準(zhǔn)會(huì)出現(xiàn)滯后于信息技術(shù)的發(fā)展、把用戶"鎖定"在過(guò)時(shí)的技術(shù)上、有可能阻礙技術(shù)創(chuàng)新等問(wèn)題，在對(duì)國(guó)內(nèi)外信息安全治理廣泛研究的基礎(chǔ)上，我們認(rèn)為與信息安全有關(guān)的產(chǎn)品或服務(wù)將不會(huì)只有一種標(biāo)準(zhǔn)，技術(shù)標(biāo)準(zhǔn)也不必是強(qiáng)制性的。因此，國(guó)家應(yīng)該鼓勵(lì)協(xié)會(huì)等自愿性組織在制訂促進(jìn)可互操作的標(biāo)準(zhǔn)和行業(yè)自律規(guī)范方面發(fā)揮作用。在某些情況下，多個(gè)標(biāo)準(zhǔn)將在市場(chǎng)上競(jìng)爭(zhēng)，看哪種標(biāo)準(zhǔn)能被大家認(rèn)可。在另一些情況下，不同的標(biāo)準(zhǔn)將應(yīng)用于不同的環(huán)境。簡(jiǎn)言之，在市場(chǎng)競(jìng)爭(zhēng)中勝出的標(biāo)準(zhǔn)將有利于促進(jìn)信息安全產(chǎn)業(yè)的發(fā)展。

·很多這方面的安全策略和標(biāo)準(zhǔn)實(shí)際上是為 "理想環(huán)境"所寫的，在這種環(huán)境所有的標(biāo)準(zhǔn)和技術(shù)控制與整個(gè)組織匹配得天衣無(wú)縫。然而，這樣的策略在實(shí)際實(shí)施過(guò)程中必然會(huì)出現(xiàn)問(wèn)題，組織或使用者會(huì)發(fā)現(xiàn)策略的定制者們并未理解他們真正的需要。這就產(chǎn)生了所謂的"一致性鴻溝"──組織或使用者希望在策略中體現(xiàn)的規(guī)則與實(shí)際制定出的規(guī)則的差異。當(dāng)"一致性鴻溝"在組織中出現(xiàn)并達(dá)到一定的程度時(shí)，如果這些策略過(guò)于理論化或限制性太強(qiáng)，那么組織的執(zhí)行管理層人員和最終用戶就會(huì)漠視這這些策略。因此，我們認(rèn)為在策略定制、發(fā)展過(guò)程中需要體現(xiàn)所有信息擁有者和知識(shí)財(cái)產(chǎn)的管理者的心聲，并且這一點(diǎn)是非常重要的。

同時(shí)，在制定信息安全制度時(shí)要注意考慮組織文化。許多信息安全方面的規(guī)章制度都是參考制度模板或者以其他組織的規(guī)章制度為模板而制定出來(lái)的。與組織文化和組織業(yè)務(wù)活動(dòng)不相適應(yīng)的信息安全制度往往會(huì)導(dǎo)致發(fā)生大范圍的不遵守現(xiàn)象。另外，規(guī)章制度還必須包括適當(dāng)?shù)谋O(jiān)督機(jī)制。

·建議設(shè)立一年一度的"安全意識(shí)日"，樹立信息安全第一的意識(shí)。目前，非常多的信息安全工作都將工作重點(diǎn)放在技術(shù)方面，而將員工的信息安全意識(shí)和安全教育放在次要的位置，這樣做的結(jié)果是企業(yè)不恰當(dāng)?shù)卦诩夹g(shù)方面花費(fèi)太多的時(shí)間。但是信息并非只是一個(gè)技術(shù)問(wèn)題，它也是一個(gè)關(guān)于人和管理的問(wèn)題?？v觀各類的信息安全規(guī)則，我們會(huì)發(fā)現(xiàn)它們都具有一個(gè)共同點(diǎn)──進(jìn)行員工培訓(xùn)。一年一度的"安全意識(shí)日"應(yīng)當(dāng)通過(guò)講座、研討會(huì)、新聞媒體、網(wǎng)站和其它宣傳方式將安全意識(shí)擴(kuò)展為一種氛圍，努力提高和強(qiáng)化社會(huì)的信息安全觀念意識(shí)，確立信息安全管理的基本思想與政策，加快信息安全人才的培養(yǎng)，同時(shí)倡導(dǎo)信息倫理，提高公務(wù)員和公民的信息安全自律水平。這就將焦點(diǎn)從強(qiáng)制性的安全策略轉(zhuǎn)換為自主接受的安全策略文化，這也是我們實(shí)現(xiàn)信息安全目標(biāo)的基本前提。

·對(duì)信息系統(tǒng)進(jìn)行安全審計(jì)。信息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程，以完成組織的戰(zhàn)略目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源。它綜合運(yùn)用IT技術(shù)與審計(jì)理論及方法為信息時(shí)代信息的使用者提供合理的保證。

信息安全審計(jì)工作可以分為兩大類：一種是組織自行完成的內(nèi)部審計(jì)，另一種是由會(huì)計(jì)師事務(wù)所或?qū)I(yè)技術(shù)服務(wù)提供商完成的外部審計(jì)。內(nèi)部審計(jì)的主要目的是檢查組織各部門對(duì)安防制度的遵守情況，外部審計(jì)通常是因?yàn)樯鲜?、并?gòu)、年終檢查或其它法規(guī)的要求而進(jìn)行，一般都很正規(guī)，也非常深入。

·把安全視為一種理念，不斷推進(jìn)。許多公司都把信息安全看成是一個(gè)項(xiàng)目，具有開始和結(jié)束，但是一旦將它看成一個(gè)動(dòng)態(tài)的過(guò)程，就更容易分階段地引入一些更為全面的安全策略。還有安全策略必須變得更具用戶導(dǎo)向性和更加動(dòng)態(tài)。技術(shù)發(fā)展日新月異，組織如果想繼續(xù)保持競(jìng)爭(zhēng)力，就必須更多地承擔(dān)起教育員工、合作伙伴和客戶的責(zé)任。而這一切是一個(gè)沒(méi)有終點(diǎn)的過(guò)程，必須建立在一套好的信息安全治理機(jī)制的基礎(chǔ)上。