隨著企業(yè)的信息化建設(shè),企業(yè)信息系統(tǒng)在縱、橫向的耦合程度日益加深,系統(tǒng)間的聯(lián)系也日益緊密,因此企業(yè)的信息安全影響著企業(yè)信息系統(tǒng)的安全、持續(xù)、可靠和穩(wěn)定運(yùn)行。此外,美國(guó)明尼蘇達(dá)大學(xué)Bush-Kugel的研究報(bào)告指出企業(yè)在沒(méi)有信息資料可用的情況下。金融業(yè)至多只能運(yùn)作2天,商業(yè)則為3天,工業(yè)則為5天。而從經(jīng)濟(jì)情況來(lái)看,25%的企業(yè)由于數(shù)據(jù)損毀可能隨即破產(chǎn),40%會(huì)在兩年內(nèi)破產(chǎn),而僅有7%不到的企業(yè)在5年后繼續(xù)存活。伴隨著監(jiān)管機(jī)構(gòu)對(duì)信息安全Et趨嚴(yán)格的要求,企業(yè)對(duì)信息安全的關(guān)注逐漸提高,并對(duì)信息安全投入的資源不斷增加,從而使得信息安全越來(lái)越為公司高級(jí)管理層所關(guān)注。
2 信息安全問(wèn)題
目前企業(yè)信息安全問(wèn)題主要包括幾個(gè)方面。
(1)信息質(zhì)量底下:無(wú)用信息、有害信息或劣質(zhì)信息滲透到企業(yè)信息資源中,對(duì)信息資源的收集、開(kāi)發(fā)和利用造成干擾。
(2)信息泄漏:網(wǎng)絡(luò)信息泄漏和操作泄漏是目前企業(yè)普遍存在的信息安全困擾。網(wǎng)絡(luò)信息泄漏是信息在獲取、存儲(chǔ)、使用或傳播的時(shí)候被其他人非法取得的過(guò)程。
而操作泄漏則是由于不正當(dāng)操作或者未經(jīng)授權(quán)的訪問(wèn)、蓄意攻擊等行為,從而使企業(yè)信息泄漏。
(3)信息破壞:指內(nèi)部員工或者外部人員制造和傳播惡意程序,破壞計(jì)算機(jī)內(nèi)所存儲(chǔ)的信息和程序,甚至破壞計(jì)算機(jī)硬件。
(4)信息侵權(quán):指對(duì)信息產(chǎn)權(quán)的侵犯。現(xiàn)代信息技術(shù)的發(fā)展和應(yīng)用,導(dǎo)致了信息載體的變化、信息內(nèi)容的擴(kuò)展、信息傳遞方式的增加,一方面實(shí)現(xiàn)了信息的全球共享,但同時(shí)也帶來(lái)了知識(shí)產(chǎn)權(quán)難以解決的糾紛。
3 信息安全治理的困惑
基于信息安全的重要性,企業(yè)在信息安全治理方面投入了諸多資源,但是在信息安全治理成效方面仍不盡如人意,主要問(wèn)題在于幾個(gè)方面。
(1)信息安全治理的范圍不明確:目前企業(yè)都在盡力實(shí)現(xiàn)良好的信息安全治理,但是由于無(wú)法正確理解信息安全治理和信息安全管理的區(qū)別,導(dǎo)致了信息安全治理無(wú)法與企業(yè)的安全規(guī)劃和企業(yè)戰(zhàn)略形成一致性。表l從工作內(nèi)容、執(zhí)行主體和技術(shù)深度三個(gè)層面分析了兩者的區(qū)別。
從表1中可以明確:信息安全治理是為組織機(jī)構(gòu)的信息安全定義一個(gè)戰(zhàn)略性的框架,指明了具體安全管理工作的目標(biāo)和權(quán)責(zé)范圍,使信息系統(tǒng)安全專業(yè)人員能夠準(zhǔn)確地按照企業(yè)高層管理人員的要求開(kāi)展工作。
(2)企業(yè)信息安全治理路徑的錯(cuò)誤理解:企業(yè)在信息安全治理的過(guò)程中,最常用的手法是采用信息安全的技術(shù)措施,如使用加密和防偽技術(shù)、認(rèn)證技術(shù)、防病毒技術(shù)、防火墻技術(shù)等方式來(lái)進(jìn)行,但是往往企業(yè)投入很多,卻沒(méi)有達(dá)到預(yù)想的效果,問(wèn)題在于,信息安全治理并不單單是技術(shù)問(wèn)題,信息安全治理也包含了安全戰(zhàn)略、風(fēng)險(xiǎn)管理、績(jī)效評(píng)估、層級(jí)報(bào)告以及職責(zé)明確等方面。
4 信息安全治理關(guān)注的領(lǐng)域
(1)戰(zhàn)略一致性:信息安全治理需與企業(yè)的發(fā)展戰(zhàn)略和業(yè)務(wù)戰(zhàn)略相一致,建立相互協(xié)作的解決方案。
(2)價(jià)值交付:衡量信息安全治理價(jià)值交付的基準(zhǔn)是信息安全戰(zhàn)略能否按時(shí)、按質(zhì)并在預(yù)算內(nèi)實(shí)現(xiàn)預(yù)期的價(jià)值目標(biāo)。因此需要設(shè)計(jì)明確的價(jià)值目標(biāo)。對(duì)信息安全治理的交付價(jià)值進(jìn)行評(píng)估。
(3)資源管理:實(shí)現(xiàn)對(duì)支持信息運(yùn)行的關(guān)鍵資源進(jìn)行最優(yōu)化投資和最佳管理。
(4)風(fēng)險(xiǎn)管理:企業(yè)管理層應(yīng)具備足夠的風(fēng)險(xiǎn)意識(shí),明確企業(yè)風(fēng)險(xiǎn)容忍度,制定風(fēng)險(xiǎn)管理策略,將風(fēng)險(xiǎn)管理融人到企業(yè)的日常運(yùn)營(yíng)中。
(5)績(jī)效度量:利用科學(xué)的管理方法,將信息安全治理轉(zhuǎn)換為可評(píng)價(jià)的目標(biāo)的行動(dòng),便于對(duì)信息安全各項(xiàng)工作的績(jī)效進(jìn)行有效管理。
5 信息安全治理框架
通過(guò)良好的信息安全治理。可以保護(hù)企業(yè)的信息資產(chǎn),避免遭受各種威脅,降低對(duì)企業(yè)之傷害,確保企業(yè)的永續(xù)經(jīng)營(yíng),以及提升企業(yè)投資回報(bào)率及競(jìng)爭(zhēng)優(yōu)勢(shì)。
通過(guò)長(zhǎng)期的實(shí)踐經(jīng)驗(yàn)以及結(jié)合COBIT標(biāo)準(zhǔn)和GB/T 22080,2008<信息安全管理體系要求>,總結(jié)出信息安全治理的框架主要由四部分組成
京公網(wǎng)安備 11010502049343號(hào)