IT治理十問(wèn)十答之九—— IT治理中的信息安全問(wèn)題（上）

 在當(dāng)今的全球商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應(yīng)用。許多組織對(duì)其信息系統(tǒng)不斷增長(zhǎng)的依賴性，加上在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)、收益和機(jī)會(huì)，使IT治理成為企業(yè)治理越來(lái)越關(guān)鍵的一部分。最高管理層（董事會(huì)）和執(zhí)行管理層同樣需要確保IT適應(yīng)企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也恰當(dāng)利用IT的優(yōu)勢(shì)。為了更有效的進(jìn)行公司治理和IT治理，最高管理層也越來(lái)越希望將信息安全治理成為IT治理中必不可少的一個(gè)環(huán)節(jié)，與IT治理集成。

 信息安全治理的內(nèi)容

信息安全治理是指最高管理層（董事會(huì)）利用它來(lái)監(jiān)督管理層在信息安全戰(zhàn)略上的過(guò)程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營(yíng)處于正確的軌道之上。缺乏良好信息安全治理機(jī)制的組織，也就是說(shuō)缺乏健全的制度安排，因而不可能很好的信息安全管理體系，進(jìn)而也不可能取得信息化的成功；同樣，沒(méi)有信息安全管理體系的暢通，單純的治理機(jī)制也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。

正確實(shí)施信息安全治理4個(gè)基本成果：

（1）戰(zhàn)略聯(lián)盟

• 業(yè)務(wù)需求驅(qū)動(dòng)安全需求；
• 安全方案適應(yīng)業(yè)務(wù)流程；
• 信息安全投資與企業(yè)戰(zhàn)略和最大風(fēng)險(xiǎn)狀況密切相關(guān)。

（2） 價(jià)值傳遞

• 一套安全實(shí)務(wù)標(biāo)準(zhǔn)，即最佳安全實(shí)務(wù)基準(zhǔn)；
• 正確區(qū)分行動(dòng)的優(yōu)先次序并分配給有最大影響和商業(yè)利益的地方；
• 規(guī)范的、商業(yè)化的解決方案；
• 完整的解決方案，包括組織、流程和技術(shù)；
• 持續(xù)改進(jìn)的文化。

（3） 風(fēng)險(xiǎn)管理

• 最大風(fēng)險(xiǎn)狀況；
• 了解風(fēng)險(xiǎn)暴露程度；
• 告知管理風(fēng)險(xiǎn)的優(yōu)先行動(dòng)。

（4） 績(jī)效測(cè)量

•  定義測(cè)量標(biāo)準(zhǔn)；
• 反饋進(jìn)展的測(cè)量程序；
• 獨(dú)立性保證。

高層應(yīng)該關(guān)注的信息安全問(wèn)題

信息安全經(jīng)常被看作只是一個(gè)技術(shù)問(wèn)題，很少有組織認(rèn)為其是組織必需的并優(yōu)先考慮它。但是現(xiàn)在信息安全越來(lái)越成為業(yè)務(wù)成功的關(guān)鍵因素。組織最高管理層（董事會(huì)）和執(zhí)行管理層（如CIO）越來(lái)越重視信息安全工作，他們關(guān)注的核心是安全性將如何幫助組織達(dá)到業(yè)務(wù)目標(biāo)或創(chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇，而不僅僅是具體的技術(shù)環(huán)節(jié)。

從安全性角度而言，高層關(guān)注的信息安全問(wèn)題包括以下幾方面：

• 商務(wù)運(yùn)作中斷：由于攻擊造成的停工會(huì)導(dǎo)致生產(chǎn)率降低和收入損失，而與恢復(fù)受攻擊的網(wǎng)絡(luò)相關(guān)的花費(fèi)又會(huì)增加處理攻擊事件的總體財(cái)務(wù)成本。
• 法律責(zé)任和潛在訴訟：受到攻擊的企業(yè)可能需要作為被告或關(guān)鍵證人出庭。
• 競(jìng)爭(zhēng)力下降：信息通常被認(rèn)為是企業(yè)最寶貴的資產(chǎn)（70%或更多公司的價(jià)值在于其知識(shí)產(chǎn)權(quán)資產(chǎn)），這部分?jǐn)?shù)據(jù)的損失或被竊可能造成嚴(yán)重后果，甚至?xí){企業(yè)在市場(chǎng)中的地位。
• 品牌資產(chǎn)被損害：對(duì)企業(yè)品牌的損害可能會(huì)有多種形式，但每種形式都會(huì)降低企業(yè)在市場(chǎng)中的地位。

 高層管理者有責(zé)任思考這些問(wèn)題，最高管理層（董事會(huì)）也將被希望讓信息安全成為IT治理固有的一部分，最好與IT治理過(guò)程集成。

 在這點(diǎn)上，IT治理委員會(huì)和執(zhí)行管理層將對(duì)以下幾個(gè)方面進(jìn)行評(píng)審：

• 現(xiàn)在和未來(lái)投資于信息技術(shù)的規(guī)模和費(fèi)用；
• 技術(shù)顯著改變組織和商業(yè)運(yùn)作，創(chuàng)造新的機(jī)會(huì)，和降低成本的潛力；
• 同時(shí)，他們也應(yīng)該考慮由此導(dǎo)致的后果：
• 更加依賴信息、系統(tǒng)和傳送信息的通訊系統(tǒng)；
•  對(duì)企業(yè)無(wú)法直接控制的外部組織的依賴；
• 由于IT故障對(duì)企業(yè)聲譽(yù)和價(jià)值的影響；

為了有效進(jìn)行公司治理和IT治理，最高管理層（董事會(huì)）和執(zhí)行管理層必須對(duì)應(yīng)從企業(yè)的信息安全治理所抱的期望有一個(gè)清晰的了解。他們必須知道怎樣實(shí)施信息安全治理，怎樣評(píng)價(jià)其在安全治理過(guò)程中的恰當(dāng)身份，和怎樣確定所需的安全程序。

鑒于安全從來(lái)就不是一種非黑即白的概念，其背景關(guān)系遠(yuǎn)比技術(shù)更重要。因此，管理好信息安全需要最高管理層（董事會(huì)）、管理執(zhí)行層和業(yè)務(wù)流程所有者的更多參與；貫徹好信息安全需要信息系統(tǒng)審計(jì)師、安全專家、技術(shù)和業(yè)務(wù)等各方面的專家，所有相關(guān)各方應(yīng)參與這個(gè)過(guò)程。

1.什么是IT治理？