信息安全治理：創(chuàng)造新的戰(zhàn)略競爭機(jī)遇之二

申請免費(fèi)試用、咨詢電話：400-8352-114

信息安全治理：創(chuàng)造新的戰(zhàn)略競爭機(jī)遇之二
作者：孫 強(qiáng) 郝亞斌 發(fā)表：2004.04.07 來源：賽迪網(wǎng)
 
　　"沒有安全的工程就是豆腐渣工程"

　　　　　　－徐匡迪 中國工程院院長

　　"技術(shù)本身實際上是信息安全體系里最不重要的部分了。不管一項技術(shù)有多先進(jìn)，都只不過是輔助實現(xiàn)信息安全的手段而已。我們并不是認(rèn)為技術(shù)不重要，但在信息安全的架構(gòu)里，它一定要在好的信息安全治理的基礎(chǔ)上。"

－ 作者題記

　　賽迪顧問股份有限公司

　　賽迪培訓(xùn)中心

　　孫 強(qiáng) 郝亞斌

　　4. 誰應(yīng)該關(guān)注信息安全治理，關(guān)注什么？

　　信息安全經(jīng)常被看作只是一個技術(shù)問題，很少有組織認(rèn)為其是組織必需的并優(yōu)先考慮它。所以，治理和管理安全提升的責(zé)任被限制在技術(shù)負(fù)責(zé)人。但是現(xiàn)在信息安全越來越成為業(yè)務(wù)成功的關(guān)鍵因素。組織最高管理層（董事會）和執(zhí)行管理層（如 CIO）越來越重視信息安全工作，他們關(guān)注的核心是安全性將如何幫助組織達(dá)到業(yè)務(wù)目標(biāo)或創(chuàng)造新的戰(zhàn)略競爭機(jī)遇，而不僅僅是具體的技術(shù)環(huán)節(jié)。從安全性角度而言，高層關(guān)注的目標(biāo)包括以下幾方面：

·商務(wù)運(yùn)作中斷：由于攻擊造成的停工會導(dǎo)致生產(chǎn)率降低和收入損失，而與恢復(fù)受攻擊的網(wǎng)絡(luò)相關(guān)的花費(fèi)又會增加處理攻擊事件的總體財務(wù)成本。一旦受到攻擊，企業(yè)通常會部署解決團(tuán)隊來幫助客戶、員工以及合作伙伴盡快恢復(fù)業(yè)務(wù)。在修復(fù)之前，不僅業(yè)務(wù)會停頓，而且解決團(tuán)隊疲于應(yīng)對，無法進(jìn)行其日常工作，這些都造成了生產(chǎn)率的極大損失。

·法律責(zé)任和潛在訴訟：受到攻擊的企業(yè)可能需要作為被告或關(guān)鍵證人出庭。要求遵守隱私和安全性法規(guī)的企業(yè)（如金融機(jī)構(gòu)）可能需要證明其為將網(wǎng)絡(luò)攻擊的威脅降至最小而付出的艱辛努力。這一過程將極大地消耗員工的工作效率和企業(yè)的現(xiàn)金流。

·競爭力下降：信息通常被認(rèn)為是企業(yè)最寶貴的資產(chǎn)（70% 或更多公司的價值在于其知識產(chǎn)權(quán)資產(chǎn))，這部分?jǐn)?shù)據(jù)的損失或被竊可能造成嚴(yán)重后果，甚至?xí){企業(yè)在市場中的地位。根據(jù) 2002 CSI/FBI 計算機(jī)犯罪與安全調(diào)查的調(diào)查結(jié)果，由于安全性被破壞而導(dǎo)致的最為嚴(yán)重的財務(wù)損失包括所有權(quán)信息的被竊(26個被訪者報告的損失超過$170,000,000)。

·品牌資產(chǎn)被損害：對企業(yè)品牌的損害可能會有多種形式，但每種形式都會降低企業(yè)在市場中的地位。例如，如果企業(yè)的客戶數(shù)據(jù)（如信用卡信息）被竊并被公布到其他 Web 站點(diǎn)上，該企業(yè)可能會陷入難以使客戶對其品牌恢復(fù)信任的困境。

　　高層管理者有責(zé)任思考這些問題，最高管理層（董事會）也將被希望讓信息安全成為IT治理固有的一部分，最好與IT治理過程集成。

　　在這點(diǎn)上，IT治理委員會和執(zhí)行管理層將對以下幾個方面進(jìn)行評審：

·現(xiàn)在和未來投資于信息技術(shù)的規(guī)模和費(fèi)用；

·技術(shù)顯著改變組織和商業(yè)運(yùn)作，創(chuàng)造新的機(jī)會，和降低成本的潛力；

　　同時，他們也應(yīng)該考慮由此導(dǎo)致的后果：

·更加依賴信息、系統(tǒng)和傳送信息的通訊系統(tǒng)；

·對企業(yè)無法直接控制的外部組織的依賴；

·由于IT故障對企業(yè)聲譽(yù)和價值的影響；

　　為了有效進(jìn)行公司治理和IT治理，最高管理層（董事會）和執(zhí)行管理層必須對應(yīng)從企業(yè)的信息安全治理所抱的期望有一個清晰的了解。他們必須知道怎樣實施信息安全治理，怎樣評價其在安全治理過程中的恰當(dāng)身份，和怎樣確定所需的安全程序。

　　鑒于安全從來就不是一種非黑即白的概念，其背景關(guān)系遠(yuǎn)比技術(shù)更重要。因此，管理好信息安全需要最高管理層（董事會）、管理執(zhí)行層和業(yè)務(wù)流程所有者的更多參與；貫徹好信息安全需要信息系統(tǒng)審計師、安全專家、技術(shù)和業(yè)務(wù)等各方面的專家，所有相關(guān)各方應(yīng)參與這個過程。

　　5. 最高管理層（董事會）和管理執(zhí)行層應(yīng)該做些什么？

　　今年的9月17日，美國聯(lián)邦政府公布了由關(guān)鍵基礎(chǔ)設(shè)施委員會（CIPB）制訂的保障網(wǎng)絡(luò)安全計劃--《國家保障網(wǎng)絡(luò)安全策略》。根據(jù)該計劃，美國政府將在網(wǎng)絡(luò)安全中發(fā)揮主導(dǎo)作用，同時會要求所有用戶采取措施，但沒有通過加強(qiáng)立法強(qiáng)制采取行動。美國總統(tǒng)的網(wǎng)絡(luò)安全特別顧問、CIPB主席Richard Clarke表示，安全策略不會成為靜態(tài)的文件，而是將不斷變化和更新，以適應(yīng)環(huán)境的變化。這份計劃顯示，美國政府不會制訂法律強(qiáng)制私有企業(yè)采取行動。但美國政府會在面臨重大事故時尋求通過立法，以保護(hù)美國人民的健康、安全和幸福。根據(jù)這份65頁的文件，政府應(yīng)該首先采用安全的網(wǎng)絡(luò)協(xié)議、對IT企業(yè)進(jìn)行認(rèn)證、擴(kuò)大安全評估和政策工具的適用范圍，并考慮安全與應(yīng)急準(zhǔn)備演習(xí)。該文件還要求上市公司發(fā)布經(jīng)過獨(dú)立審計的安全報告，建議公司成立公司安全委員會，選用多家IT企業(yè)的產(chǎn)品以降低風(fēng)險。該文件要求一直是網(wǎng)絡(luò)攻擊溫床的大學(xué)，與Internet服務(wù)提供商和執(zhí)法機(jī)構(gòu)建立24小時的聯(lián)系。發(fā)電廠、水處理設(shè)施和其他部門應(yīng)認(rèn)真審核將系統(tǒng)與Internet連接的風(fēng)險，并在兩年內(nèi)采取實施安全認(rèn)證等措施。CIPB建議成立網(wǎng)絡(luò)運(yùn)營中心（NOC），由IT行業(yè)、計算機(jī)應(yīng)急反應(yīng)小組和信息共享與分析中心（ISAC）共同參與。

·根據(jù)我國的國情，我們認(rèn)為有效的信息安全治理需要最高管理層（董事會）和管理執(zhí)行層：

　　理解信息安全治理的必要性

·風(fēng)險和威脅真實存在并有可能給組織造成重大影響；

·有效的信息安全需要上層管理者到下層員工一致的、統(tǒng)一的行動；

·IT投資額巨大但容易投向錯誤方向；

·文化和組織因素同等重要；

·必須建立并執(zhí)行準(zhǔn)則和優(yōu)先級；

·必須向電子交易對方證實自己的信用；

·需要向與系統(tǒng)有利害關(guān)系的各方證實系統(tǒng)安全的可靠性；

·安全事故可能暴露于公眾；

·可能導(dǎo)致相當(dāng)大的對公司聲譽(yù)的損害。

　　確保根據(jù)IT治理框架進(jìn)行信息安全治理

　　隨著與黑客相關(guān)的非法侵入和損失、計算機(jī)病毒和其它的以因特網(wǎng)為基礎(chǔ)的威脅之類報道的頻繁出現(xiàn)，組織的利益相關(guān)者開始關(guān)心與信息安全相關(guān)的風(fēng)險、管理規(guī)定和投資。這使信息安全治理成為組織管理執(zhí)行層和最高管理層（董事會）必須經(jīng)常關(guān)注的工作。

　　有效的安全防衛(wèi)不僅是技術(shù)問題，它也是一個管理問題。管理相關(guān)的風(fēng)險必須考慮公司文化、管理者的安全意識和行為，同時，負(fù)責(zé)治理的各方共享信息對成功的安全治理也極為重要。

　　信息安全管理，像其它控制和管理活動一樣，是一種轉(zhuǎn)移風(fēng)險的方法，因此，它應(yīng)該與公司治理協(xié)調(diào)一致。事實上，IT治理本身正形成一個獨(dú)立的分支，成為公司治理必不可少的一部分，它的目標(biāo)是保證：

·IT與商業(yè)緊密相連，實現(xiàn)商業(yè)目標(biāo)，最大化商業(yè)收益；

·IT資源被可靠地使用；

·正確管理與IT相關(guān)的風(fēng)險。

　　在IT治理中，信息安全治理受到密切的關(guān)注，特別是信息完整性、持續(xù)服務(wù)和信息資產(chǎn)保護(hù)幾個方面。

　　長期以來，信息安全被看作消極因素，不產(chǎn)生價值。然而，全球網(wǎng)絡(luò)的出現(xiàn)和企業(yè)傳統(tǒng)邊界地延伸，使其成為價值和機(jī)會的創(chuàng)造者，特別在提升IT利益各方的信任感方面。

　　因此，信息安全治理必將成為IT治理的一個重要且必不可少的部分，忽略信息安全治理將使IT價值的創(chuàng)造無法持久。

　　采取最高管理層（董事會）級的行動

·及時了解信息安全狀況；

·確定方向，驅(qū)動方針和戰(zhàn)略，定義全局風(fēng)險概況；

·提供進(jìn)行信息安全治理所需的資源；

·賦予管理者以責(zé)任；

·確定優(yōu)先級；

·支持變革；

·定義有關(guān)風(fēng)險意識的文化價值；

·獲得內(nèi)部和外部審計師的保證；

·要求管理層進(jìn)行信息安全方面的投資，確定可測量的安全提升措施，并監(jiān)督和報告其執(zhí)行效果。

　　采取管理執(zhí)行層級的行動

·編制信息安全方針政策；（制定方針政策）；

·確保每個人清楚知道并了解各自的角色、責(zé)任和權(quán)力。這對有效的安全是必要的；（角色與責(zé)任）

·識別威脅，分析弱點(diǎn)和適度關(guān)注本行業(yè)的慣例；

·建立安全基礎(chǔ)設(shè)施；

·在公司治理委員會批準(zhǔn)，確定相關(guān)角色和賦予責(zé)任后，開發(fā)安全和控制框架。該框架由標(biāo)準(zhǔn)、評測措施、實務(wù)和規(guī)程組成；（設(shè)計）

·決定可用的資源，對可能的對策排序，實施組織可以承受的最優(yōu)先的對策。及時實施并維護(hù)解決方案；（實施）

·建立評估措施，查明安全隱患并糾正它們；做到及時發(fā)現(xiàn)、審查所有已存在的或被懷疑的不安全之處并按規(guī)定處理它們；確保采取的行動符合政策、標(biāo)準(zhǔn)和可接受的最低的安全級別；（控制）

·定期評審和測試；

·實施入侵檢測和突發(fā)事故演習(xí)；

·宣貫保護(hù)信息的必要性，提供安全運(yùn)作信息系統(tǒng)所需技巧的培訓(xùn)，對安全事故的快速反應(yīng)。安全評測和實務(wù)方面的教育對組織安全程序的成功特別重要；（宣貫，培訓(xùn)和教育）

·確保安全被作為系統(tǒng)開發(fā)生命周期過程必不可少的一部分考慮，并在這個過程的每個階段明確考慮安全問題。

　　6. 怎樣全面理解信息安全治理？

　　本文第八部分提供了一套完整的、結(jié)構(gòu)化的問題和實務(wù)準(zhǔn)則，但是安全治理負(fù)責(zé)人需要提出一些問題，以幫助人們思考和提高安全意識，發(fā)現(xiàn)信息安全問題，并初步了解解決這些問題的方法。

　　用來發(fā)現(xiàn)信息安全狀況的問題

·上一次管理執(zhí)行層關(guān)注安全相關(guān)的決定是什么時候？管理執(zhí)行層多常時間參與一次安全方案的改進(jìn)？

·管理執(zhí)行層知道誰負(fù)責(zé)安全嗎？負(fù)責(zé)人自己知道嗎？其他人都知道嗎？

·當(dāng)碰到安全事故時，人們這么認(rèn)為嗎？人們忽視它嗎？他們知道怎樣處理它嗎？

·每個人知道公司有多少臺計算機(jī)嗎？管理執(zhí)行層知道計算機(jī)的遺失嗎？

·管理執(zhí)行層識別了泄漏后造成困難或競爭劣勢的所有信息（客戶資料，戰(zhàn)略規(guī)劃，研究報告等）嗎？

·公司最近遭到病毒攻擊是什么時候？上一年受到多少次病毒攻擊？

·有否有人探測公司的網(wǎng)絡(luò)？有過非法入侵嗎？頻率是多少？對公司有什么影響？

·是否每個人都知道有多少人使用公司的系統(tǒng)？知道他們能否使用，或使用其做什么嗎？

·事后處理還是事前預(yù)防安全問題？

·根據(jù)損失的收入，丟失的客戶和投資者的信心，評估一次嚴(yán)重的安全事故的后果是什么？

　　用來發(fā)現(xiàn)管理執(zhí)行層怎樣看待信息安全的問題：

·企業(yè)明確信息安全相對于IT和安全風(fēng)險的定位嗎？企業(yè)趨向于避免風(fēng)險還是接受風(fēng)險？

·用于信息安全的費(fèi)用是多少？用于哪些方面？怎樣花費(fèi)的？上一年進(jìn)行了什么項目提高信息安全？

·上一年多少員工接受了安全培訓(xùn)？管理層多少人接受了培訓(xùn)？

·組織怎樣發(fā)現(xiàn)安全事故？怎樣向上級匯報這些事故？管理執(zhí)行層采取什么行動?

·管理執(zhí)行層如何準(zhǔn)備從主要的安全事故中恢復(fù)嗎？

·有否涉及所有上述問題的安全工作程序？負(fù)責(zé)人的職責(zé)清楚嗎？

　　自我評價信息安全的實務(wù)準(zhǔn)則

·管理執(zhí)行層可以確信在公司安全得到足夠考慮嗎？

·管理執(zhí)行層知道最新的安全問題和最佳實踐嗎？

·其他人在做什么，企業(yè)怎樣正確處理與他們的關(guān)系？

·行業(yè)最佳實踐是什么，本企業(yè)怎樣與其比較？

·管理執(zhí)行層清楚表明和宣貫企業(yè)對信息安全的需求嗎？

·管理執(zhí)行層認(rèn)為企業(yè)將投資多少用于信息安全的提升？

·在制定商業(yè)和IT戰(zhàn)略時考慮了信息安全嗎？

·公司跟蹤安全風(fēng)險和可用的技術(shù)方案嗎？

·管理執(zhí)行層定期獲得安全狀況和安全提升項目效果的報告嗎？

·管理執(zhí)行層建立了獨(dú)立的IT安全審計程序嗎？他們關(guān)注審計結(jié)論的執(zhí)行效果嗎？