IT治理十問十答之十——IT治理中的信息安全問題（下）

 在最高管理層（董事會(huì)）層

•  將信息安全及其持續(xù)性落實(shí)到業(yè)務(wù)管理者；
• 建立審計(jì)委員會(huì)。該委員會(huì)清楚理解其信息安全任務(wù)，知道怎樣與管理層和審計(jì)師合作；
•  確保內(nèi)部和外部審計(jì)師同意，審計(jì)中包括信息安全審計(jì)委員會(huì)和管理執(zhí)行層要求的信息安全審計(jì)內(nèi)容；
• 要求信息安全負(fù)責(zé)人向?qū)徲?jì)委員會(huì)報(bào)告信息安全治理的進(jìn)展和問題；
• 建立危機(jī)處理機(jī)制，該機(jī)制要求執(zhí)行管理層和最高管理層（董事會(huì)）最初就開始參與。

 在執(zhí)行管理層

• 建立安全職責(zé)，協(xié)助管理者制定政策，并幫助組織實(shí)現(xiàn)這些政策
•  建立可測(cè)量的和易于管理的安全戰(zhàn)略。該戰(zhàn)略以標(biāo)桿、成熟度模型、差距分析和持續(xù)報(bào)告績(jī)效為基礎(chǔ)
• 由安全和審計(jì)專家（內(nèi)部的和外部的）籌辦，進(jìn)行年度的業(yè)務(wù)風(fēng)險(xiǎn)頭腦風(fēng)暴法會(huì)議
• 得出風(fēng)險(xiǎn)現(xiàn)狀評(píng)估結(jié)論，產(chǎn)生行動(dòng)建議，并用持續(xù)的行動(dòng)強(qiáng)化執(zhí)行效果
•  綜合運(yùn)用專家的知識(shí)，制訂信息安全與風(fēng)險(xiǎn)應(yīng)急方案
• 建立清晰實(shí)用的企業(yè)和技術(shù)持續(xù)性方案，不斷評(píng)估和更新該方案
•  根據(jù)清楚的程序進(jìn)行信息安全審計(jì)，管理層有責(zé)任跟蹤審計(jì)結(jié)論執(zhí)行情況
•  制定清晰的方針政策和詳細(xì)的指南，多和員工就該計(jì)劃進(jìn)行溝通，使每個(gè)人認(rèn)可該計(jì)劃，這就是善治的安全治理
• 經(jīng)常性的評(píng)估監(jiān)控系統(tǒng)所發(fā)現(xiàn)的系統(tǒng)弱點(diǎn)（CERT），評(píng)估非法入侵，壓力測(cè)試和業(yè)務(wù)持續(xù)計(jì)劃
• 使業(yè)務(wù)流程和支持流程的基礎(chǔ)設(shè)施能夠在故障后恢復(fù)，特別是遇到一般的故障時(shí)
• 建立安全基準(zhǔn)線，并嚴(yán)格監(jiān)控其不被違反
• 實(shí)施安全事故響應(yīng)制度，并經(jīng)常進(jìn)行入侵測(cè)試
• 通過高標(biāo)準(zhǔn)的控制來強(qiáng)化所有安全設(shè)施、重要的服務(wù)器和通訊平臺(tái)
• 基于管理規(guī)則授權(quán)，授權(quán)方式與業(yè)務(wù)風(fēng)險(xiǎn)管理相配合
• 工作績(jī)效評(píng)估包含安全績(jī)效評(píng)估，并對(duì)此采取適當(dāng)?shù)莫?jiǎng)罰措施

 思考并分析關(guān)鍵成功因素：

• 認(rèn)識(shí)到好的安全方案需要時(shí)間發(fā)展和完善
• 組織安全責(zé)任人直接向高層領(lǐng)導(dǎo)報(bào)告并負(fù)責(zé)安全方案的執(zhí)行
• 管理層和員工共同理解安全的重要性、必要性、弱點(diǎn)和威脅，理解并接受他們自己的安全責(zé)任
•  定期由第三方來評(píng)估安全政策和安全的體系結(jié)構(gòu)
• 安全負(fù)責(zé)人有管理安全的方法和能力，特別是在通過采取入侵測(cè)試和主動(dòng)監(jiān)控措施時(shí)，能將發(fā)生事故的可能性降至最低，但事故不可避免發(fā)生時(shí)，對(duì)事故偵查、記錄、分析嚴(yán)重性、報(bào)告和采取行動(dòng)的能力
• 清楚定義風(fēng)險(xiǎn)管理責(zé)任人的任務(wù)和職責(zé)及管理層的責(zé)任
• 建立定義風(fēng)險(xiǎn)界限和容許的最大風(fēng)險(xiǎn)的政策
• 存在定義、協(xié)商和資助風(fēng)險(xiǎn)管理改善行動(dòng)的職責(zé)和程序
• 每隔一段時(shí)期由第三方進(jìn)行更客觀的安全戰(zhàn)略審查
• 識(shí)別并持續(xù)監(jiān)控關(guān)鍵的基礎(chǔ)設(shè)施
• 使用服務(wù)水平協(xié)議提高認(rèn)識(shí)，增加與安全和持續(xù)性需求提供商間的合作
• 在制定政策時(shí)就考慮和確定政策的強(qiáng)制執(zhí)行
• 適當(dāng)?shù)臏y(cè)量對(duì)政策認(rèn)識(shí)、理解和遵循的程序
• 保證部署前的應(yīng)用軟件的安全
• 信息控制策略與公司整體戰(zhàn)略規(guī)劃相一致
• 管理層確信和認(rèn)可信息安全、控制政策，強(qiáng)調(diào)溝通、理解和遵循這些政策的必要性
•  采用一致的政策制定框架，指導(dǎo)政策的構(gòu)思、制定、理解和遵循
• 意識(shí)到雖然熟悉內(nèi)幕的專業(yè)人士是絕大部分安全風(fēng)險(xiǎn)的根源，但有組織犯罪性質(zhì)的攻擊和其他沒有專業(yè)知識(shí)人員的攻擊正在增加
• 適當(dāng)關(guān)注數(shù)據(jù)保密性、版權(quán)和其它與數(shù)字時(shí)代有關(guān)的法律
• 組織高層支持確保員工以合乎道德、安全的方式履行責(zé)任的行動(dòng)
•  榜樣的力量是無窮的。管理層必須明白信息安全對(duì)于組織成功的關(guān)鍵意義，帶頭遵守有關(guān)規(guī)章制度，為所有員工樹立起安全意識(shí)的榜樣

 績(jī)效測(cè)量標(biāo)準(zhǔn)

（1）確定信息安全是否成功

•  沒有引起公眾困惑的事故
• 減少因?yàn)榘踩珕栴}延遲新行動(dòng)計(jì)劃的數(shù)量
• 有保持依賴IT的關(guān)鍵業(yè)務(wù)流程連貫性的計(jì)劃
•  自動(dòng)監(jiān)控重要的信息基礎(chǔ)設(shè)施

（2）確定信息安全治理是否成功

• 全面遵循最低安全要求，或者記錄違背最低安全要求的行為；
•  制定和確認(rèn)的與IT有關(guān)的規(guī)劃和政策包含IT安全的任務(wù)、遠(yuǎn)景、目標(biāo)、價(jià)值和行為守則
•  IT安全規(guī)劃和政策傳達(dá)到所有相關(guān)各方

1.什么是IT治理？