信息安全治理（三）——創(chuàng)造新的戰(zhàn)略競爭機遇

申請免費試用、咨詢電話：400-8352-114

信息安全治理（三）

——創(chuàng)造新的戰(zhàn)略競爭機遇

孫強 左天祖 孟秀轉(zhuǎn)

3. 誰應(yīng)該關(guān)注信息安全治理，關(guān)注什么？

信息安全經(jīng)常被看作只是一個技術(shù)問題，很少有組織認(rèn)為其是組織必需的并優(yōu)先考慮它。所以，治理和管理安全提升的責(zé)任被限制在技術(shù)負(fù)責(zé)人。但是現(xiàn)在信息安全越來越成為業(yè)務(wù)成功的關(guān)鍵因素。組織最高管理層（董事會）和執(zhí)行管理層（如 CIO）越來越重視信息安全工作，他們關(guān)注的核心是安全性將如何幫助組織達(dá)到業(yè)務(wù)目標(biāo)或創(chuàng)造新的戰(zhàn)略競爭機遇，而不僅僅是具體的技術(shù)環(huán)節(jié)。從安全性角度而言，高層關(guān)注的目標(biāo)包括以下幾方面：

商務(wù)運作中斷：由于攻擊造成的停工會導(dǎo)致生產(chǎn)率降低和收入損失，而與恢復(fù)受攻擊的網(wǎng)絡(luò)相關(guān)的花費又會增加處理攻擊事件的總體財務(wù)成本。一旦受到攻擊，企業(yè)通常會部署解決團(tuán)隊來幫助客戶、員工以及合作伙伴盡快恢復(fù)業(yè)務(wù)。在修復(fù)之前，不僅業(yè)務(wù)會停頓，而且解決團(tuán)隊疲于應(yīng)對，無法進(jìn)行其日常工作，這些都造成了生產(chǎn)率的極大損失。

法律責(zé)任和潛在訴訟：受到攻擊的企業(yè)可能需要作為被告或關(guān)鍵證人出庭。要求遵守隱私和安全性法規(guī)的企業(yè)（如金融機構(gòu)）可能需要證明其為將網(wǎng)絡(luò)攻擊的威脅降至最小而付出的艱辛努力。這一過程將極大地消耗員工的工作效率和企業(yè)的現(xiàn)金流。

競爭力下降：信息通常被認(rèn)為是企業(yè)最寶貴的資產(chǎn)（70% 或更多公司的價值在于其知識產(chǎn)權(quán)資產(chǎn))，這部分?jǐn)?shù)據(jù)的損失或被竊可能造成嚴(yán)重后果，甚至?xí){企業(yè)在市場中的地位。根據(jù) 2002 CSI/FBI 計算機犯罪與安全調(diào)查的調(diào)查結(jié)果，由于安全性被破壞而導(dǎo)致的最為嚴(yán)重的財務(wù)損失包括所有權(quán)信息的被竊(26個被訪者報告的損失超過$170,000,000)。

品牌資產(chǎn)被損害：對企業(yè)品牌的損害可能會有多種形式，但每種形式都會降低企業(yè)在市場中的地位。例如，如果企業(yè)的客戶數(shù)據(jù)（如信用卡信息）被竊并被公布到其他 Web 站點上，該企業(yè)可能會陷入難以使客戶對其品牌恢復(fù)信任的困境。

高層管理者有責(zé)任思考這些問題，最高管理層（董事會）也將被希望讓信息安全成為IT治理固有的一部分，最好與IT治理過程集成。

在這點上，IT治理委員會和執(zhí)行管理層將對以下幾個方面進(jìn)行評審：

現(xiàn)在和未來投資于信息技術(shù)的規(guī)模和費用；

技術(shù)顯著改變組織和商業(yè)運作，創(chuàng)造新的機會，和降低成本的潛力；

同時，他們也應(yīng)該考慮由此導(dǎo)致的后果：

更加依賴信息、系統(tǒng)和傳送信息的通訊系統(tǒng)；

對企業(yè)無法直接控制的外部組織的依賴；
 
由于IT故障對企業(yè)聲譽和價值的影響；

為了有效進(jìn)行公司治理和IT治理，最高管理層（董事會）和執(zhí)行管理層必須對應(yīng)從企業(yè)的信息安全治理所抱的期望有一個清晰的了解。他們必須知道怎樣實施信息安全治理，怎樣評價其在安全治理過程中的恰當(dāng)身份，和怎樣確定所需的安全程序。

鑒于安全從來就不是一種非黑即白的概念，其背景關(guān)系遠(yuǎn)比技術(shù)更重要。因此，管理好信息安全需要最高管理層（董事會）、管理執(zhí)行層和業(yè)務(wù)流程所有者的更多參與；貫徹好信息安全需要信息系統(tǒng)審計師、安全專家、技術(shù)和業(yè)務(wù)等各方面的專家，所有相關(guān)各方應(yīng)參與這個過程。

今年的9月17日，美國聯(lián)邦政府公布了由關(guān)鍵基礎(chǔ)設(shè)施委員會（CIPB）制訂的保障網(wǎng)絡(luò)安全計劃——《國家保障網(wǎng)絡(luò)安全策略》。根據(jù)該計劃，美國政府將在網(wǎng)絡(luò)安全中發(fā)揮主導(dǎo)作用，同時會要求所有用戶采取措施，但沒有通過加強立法強制采取行動。美國總統(tǒng)的網(wǎng)絡(luò)安全特別顧問、CIPB主席Richard Clarke表示，安全策略不會成為靜態(tài)的文件，而是將不斷變化和更新，以適應(yīng)環(huán)境的變化。這份計劃顯示，美國政府不會制訂法律強制私有企業(yè)采取行動。但美國政府會在面臨重大事故時尋求通過立法，以保護(hù)美國人民的健康、安全和幸福。根據(jù)這份65頁的文件，政府應(yīng)該首先采用安全的網(wǎng)絡(luò)協(xié)議、對IT企業(yè)進(jìn)行認(rèn)證、擴(kuò)大安全評估和政策工具的適用范圍，并考慮安全與應(yīng)急準(zhǔn)備演習(xí)。該文件還要求上市公司發(fā)布經(jīng)過獨立審計的安全報告，建議公司成立公司安全委員會，選用多家IT企業(yè)的產(chǎn)品以降低風(fēng)險。該文件要求一直是網(wǎng)絡(luò)攻擊溫床的大學(xué)，與Internet服務(wù)提供商和執(zhí)法機構(gòu)建立24小時的聯(lián)系。發(fā)電廠、水處理設(shè)施和其他部門應(yīng)認(rèn)真審核將系統(tǒng)與Internet連接的風(fēng)險，并在兩年內(nèi)采取實施安全認(rèn)證等措施。CIPB建議成立網(wǎng)絡(luò)運營中心（NOC），由IT行業(yè)、計算機應(yīng)急反應(yīng)小組和信息共享與分析中心（ISAC）共同參與。

根據(jù)我國的國情，我們認(rèn)為有效的信息安全治理需要最高管理層（董事會）和管理執(zhí)行層：

理解信息安全治理的必要性

風(fēng)險和威脅真實存在并有可能給組織造成重大影響；

有效的信息安全需要上層管理者到下層員工一致的、統(tǒng)一的行動；

IT投資額巨大但容易投向錯誤方向；

文化和組織因素同等重要；

必須建立并執(zhí)行準(zhǔn)則和優(yōu)先級；

必須向電子交易對方證實自己的信用；

需要向與系統(tǒng)有利害關(guān)系的各方證實系統(tǒng)安全的可靠性；

安全事故可能暴露于公眾；

可能導(dǎo)致相當(dāng)大的對公司聲譽的損害。

確保根據(jù)IT治理框架進(jìn)行信息安全治理

隨著與黑客相關(guān)的非法侵入和損失、計算機病毒和其它的以因特網(wǎng)為基礎(chǔ)的威脅之類報道的頻繁出現(xiàn)，組織的利益相關(guān)者開始關(guān)心與信息安全相關(guān)的風(fēng)險、管理規(guī)定和投資。這使信息安全治理成為組織管理執(zhí)行層和最高管理層（董事會）必須經(jīng)常關(guān)注的工作。
有效的安全防衛(wèi)不僅是技術(shù)問題，它也是一個管理問題。管理相關(guān)的風(fēng)險必須考慮公司文化、管理者的安全意識和行為，同時，負(fù)責(zé)治理的各方共享信息對成功的安全治理也極為重要。

信息安全管理，像其它控制和管理活動一樣，是一種轉(zhuǎn)移風(fēng)險的方法，因此，它應(yīng)該與公司治理協(xié)調(diào)一致。事實上，IT治理本身正形成一個獨立的分支，成為公司治理必不可少的一部分，它的目標(biāo)是保證：

IT與商業(yè)緊密相連，實現(xiàn)商業(yè)目標(biāo)，最大化商業(yè)收益；
 
IT資源被可靠地使用；

正確管理與IT相關(guān)的風(fēng)險。

在IT治理中，信息安全治理受到密切的關(guān)注，特別是信息完整性、持續(xù)服務(wù)和信息資產(chǎn)保護(hù)幾個方面。

長期以來，信息安全被看作消極因素，不產(chǎn)生價值。然而，全球網(wǎng)絡(luò)的出現(xiàn)和企業(yè)傳統(tǒng)邊界地延伸，使其成為價值和機會的創(chuàng)造者，特別在提升IT利益各方的信任感方面。

因此，信息安全治理必將成為IT治理的一個重要且必不可少的部分，忽略信息安全治理將使IT價值的創(chuàng)造無法持久。

采取最高管理層（董事會）級的行動

及時了解信息安全狀況；

確定方向，驅(qū)動方針和戰(zhàn)略，定義全局風(fēng)險概況；

提供進(jìn)行信息安全治理所需的資源；

賦予管理者以責(zé)任；

確定優(yōu)先級；

支持變革；

定義有關(guān)風(fēng)險意識的文化價值；

獲得內(nèi)部和外部審計師的保證；

要求管理層進(jìn)行信息安全方面的投資，確定可測量的安全提升措施，并監(jiān)督和報告其執(zhí)行效果。

采取管理執(zhí)行層級的行動

編制信息安全方針政策；（制定方針政策）；

確保每個人清楚知道并了解各自的角色、責(zé)任和權(quán)力。這對有效的安全是必要的；（角色與責(zé)任）

識別威脅，分析弱點和適度關(guān)注本行業(yè)的慣例；

建立安全基礎(chǔ)設(shè)施；

在公司治理委員會批準(zhǔn)，確定相關(guān)角色和賦予責(zé)任后，開發(fā)安全和控制框架。該框架由標(biāo)準(zhǔn)、評測措施、實務(wù)和規(guī)程組成；（設(shè)計）

決定可用的資源，對可能的對策排序，實施組織可以承受的最優(yōu)先的對策。及時實施并維護(hù)解決方案；（實施）

建立評估措施，查明安全隱患并糾正它們；做到及時發(fā)現(xiàn)、審查所有已存在的或被懷疑的不安全之處并按規(guī)定處理它們；確保采取的行動符合政策、標(biāo)準(zhǔn)和可接受的最低的安全級別；（控制）

定期評審和測試；

實施入侵檢測和突發(fā)事故演習(xí)；

宣貫保護(hù)信息的必要性，提供安全運作信息系統(tǒng)所需技巧的培訓(xùn)，對安全事故的快速反應(yīng)。安全評測和實務(wù)方面的教育對組織安全程序的成功特別重要；（宣貫，培訓(xùn)和教育）

確保安全被作為系統(tǒng)開發(fā)生命周期過程必不可少的一部分考慮，并在這個過程的每個階段明確考慮安全問題。

未完待續(xù)