信息安全治理（三）——?jiǎng)?chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

信息安全治理（三）

——?jiǎng)?chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇

孫強(qiáng) 左天祖 孟秀轉(zhuǎn)

3. 誰(shuí)應(yīng)該關(guān)注信息安全治理，關(guān)注什么？

信息安全經(jīng)常被看作只是一個(gè)技術(shù)問(wèn)題，很少有組織認(rèn)為其是組織必需的并優(yōu)先考慮它。所以，治理和管理安全提升的責(zé)任被限制在技術(shù)負(fù)責(zé)人。但是現(xiàn)在信息安全越來(lái)越成為業(yè)務(wù)成功的關(guān)鍵因素。組織最高管理層（董事會(huì)）和執(zhí)行管理層（如 CIO）越來(lái)越重視信息安全工作，他們關(guān)注的核心是安全性將如何幫助組織達(dá)到業(yè)務(wù)目標(biāo)或創(chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇，而不僅僅是具體的技術(shù)環(huán)節(jié)。從安全性角度而言，高層關(guān)注的目標(biāo)包括以下幾方面：

商務(wù)運(yùn)作中斷：由于攻擊造成的停工會(huì)導(dǎo)致生產(chǎn)率降低和收入損失，而與恢復(fù)受攻擊的網(wǎng)絡(luò)相關(guān)的花費(fèi)又會(huì)增加處理攻擊事件的總體財(cái)務(wù)成本。一旦受到攻擊，企業(yè)通常會(huì)部署解決團(tuán)隊(duì)來(lái)幫助客戶、員工以及合作伙伴盡快恢復(fù)業(yè)務(wù)。在修復(fù)之前，不僅業(yè)務(wù)會(huì)停頓，而且解決團(tuán)隊(duì)疲于應(yīng)對(duì)，無(wú)法進(jìn)行其日常工作，這些都造成了生產(chǎn)率的極大損失。

法律責(zé)任和潛在訴訟：受到攻擊的企業(yè)可能需要作為被告或關(guān)鍵證人出庭。要求遵守隱私和安全性法規(guī)的企業(yè)（如金融機(jī)構(gòu)）可能需要證明其為將網(wǎng)絡(luò)攻擊的威脅降至最小而付出的艱辛努力。這一過(guò)程將極大地消耗員工的工作效率和企業(yè)的現(xiàn)金流。

競(jìng)爭(zhēng)力下降：信息通常被認(rèn)為是企業(yè)最寶貴的資產(chǎn)（70% 或更多公司的價(jià)值在于其知識(shí)產(chǎn)權(quán)資產(chǎn))，這部分?jǐn)?shù)據(jù)的損失或被竊可能造成嚴(yán)重后果，甚至?xí){企業(yè)在市場(chǎng)中的地位。根據(jù) 2002 CSI/FBI 計(jì)算機(jī)犯罪與安全調(diào)查的調(diào)查結(jié)果，由于安全性被破壞而導(dǎo)致的最為嚴(yán)重的財(cái)務(wù)損失包括所有權(quán)信息的被竊(26個(gè)被訪者報(bào)告的損失超過(guò)$170,000,000)。

品牌資產(chǎn)被損害：對(duì)企業(yè)品牌的損害可能會(huì)有多種形式，但每種形式都會(huì)降低企業(yè)在市場(chǎng)中的地位。例如，如果企業(yè)的客戶數(shù)據(jù)（如信用卡信息）被竊并被公布到其他 Web 站點(diǎn)上，該企業(yè)可能會(huì)陷入難以使客戶對(duì)其品牌恢復(fù)信任的困境。

高層管理者有責(zé)任思考這些問(wèn)題，最高管理層（董事會(huì)）也將被希望讓信息安全成為IT治理固有的一部分，最好與IT治理過(guò)程集成。

在這點(diǎn)上，IT治理委員會(huì)和執(zhí)行管理層將對(duì)以下幾個(gè)方面進(jìn)行評(píng)審：

現(xiàn)在和未來(lái)投資于信息技術(shù)的規(guī)模和費(fèi)用；

技術(shù)顯著改變組織和商業(yè)運(yùn)作，創(chuàng)造新的機(jī)會(huì)，和降低成本的潛力；

同時(shí)，他們也應(yīng)該考慮由此導(dǎo)致的后果：

更加依賴信息、系統(tǒng)和傳送信息的通訊系統(tǒng)；

對(duì)企業(yè)無(wú)法直接控制的外部組織的依賴；
 
由于IT故障對(duì)企業(yè)聲譽(yù)和價(jià)值的影響；

為了有效進(jìn)行公司治理和IT治理，最高管理層（董事會(huì)）和執(zhí)行管理層必須對(duì)應(yīng)從企業(yè)的信息安全治理所抱的期望有一個(gè)清晰的了解。他們必須知道怎樣實(shí)施信息安全治理，怎樣評(píng)價(jià)其在安全治理過(guò)程中的恰當(dāng)身份，和怎樣確定所需的安全程序。

鑒于安全從來(lái)就不是一種非黑即白的概念，其背景關(guān)系遠(yuǎn)比技術(shù)更重要。因此，管理好信息安全需要最高管理層（董事會(huì)）、管理執(zhí)行層和業(yè)務(wù)流程所有者的更多參與；貫徹好信息安全需要信息系統(tǒng)審計(jì)師、安全專家、技術(shù)和業(yè)務(wù)等各方面的專家，所有相關(guān)各方應(yīng)參與這個(gè)過(guò)程。

今年的9月17日，美國(guó)聯(lián)邦政府公布了由關(guān)鍵基礎(chǔ)設(shè)施委員會(huì)（CIPB）制訂的保障網(wǎng)絡(luò)安全計(jì)劃——《國(guó)家保障網(wǎng)絡(luò)安全策略》。根據(jù)該計(jì)劃，美國(guó)政府將在網(wǎng)絡(luò)安全中發(fā)揮主導(dǎo)作用，同時(shí)會(huì)要求所有用戶采取措施，但沒(méi)有通過(guò)加強(qiáng)立法強(qiáng)制采取行動(dòng)。美國(guó)總統(tǒng)的網(wǎng)絡(luò)安全特別顧問(wèn)、CIPB主席Richard Clarke表示，安全策略不會(huì)成為靜態(tài)的文件，而是將不斷變化和更新，以適應(yīng)環(huán)境的變化。這份計(jì)劃顯示，美國(guó)政府不會(huì)制訂法律強(qiáng)制私有企業(yè)采取行動(dòng)。但美國(guó)政府會(huì)在面臨重大事故時(shí)尋求通過(guò)立法，以保護(hù)美國(guó)人民的健康、安全和幸福。根據(jù)這份65頁(yè)的文件，政府應(yīng)該首先采用安全的網(wǎng)絡(luò)協(xié)議、對(duì)IT企業(yè)進(jìn)行認(rèn)證、擴(kuò)大安全評(píng)估和政策工具的適用范圍，并考慮安全與應(yīng)急準(zhǔn)備演習(xí)。該文件還要求上市公司發(fā)布經(jīng)過(guò)獨(dú)立審計(jì)的安全報(bào)告，建議公司成立公司安全委員會(huì)，選用多家IT企業(yè)的產(chǎn)品以降低風(fēng)險(xiǎn)。該文件要求一直是網(wǎng)絡(luò)攻擊溫床的大學(xué)，與Internet服務(wù)提供商和執(zhí)法機(jī)構(gòu)建立24小時(shí)的聯(lián)系。發(fā)電廠、水處理設(shè)施和其他部門應(yīng)認(rèn)真審核將系統(tǒng)與Internet連接的風(fēng)險(xiǎn)，并在兩年內(nèi)采取實(shí)施安全認(rèn)證等措施。CIPB建議成立網(wǎng)絡(luò)運(yùn)營(yíng)中心（NOC），由IT行業(yè)、計(jì)算機(jī)應(yīng)急反應(yīng)小組和信息共享與分析中心（ISAC）共同參與。

根據(jù)我國(guó)的國(guó)情，我們認(rèn)為有效的信息安全治理需要最高管理層（董事會(huì)）和管理執(zhí)行層：

理解信息安全治理的必要性

風(fēng)險(xiǎn)和威脅真實(shí)存在并有可能給組織造成重大影響；

有效的信息安全需要上層管理者到下層員工一致的、統(tǒng)一的行動(dòng)；

IT投資額巨大但容易投向錯(cuò)誤方向；

文化和組織因素同等重要；

必須建立并執(zhí)行準(zhǔn)則和優(yōu)先級(jí)；

必須向電子交易對(duì)方證實(shí)自己的信用；

需要向與系統(tǒng)有利害關(guān)系的各方證實(shí)系統(tǒng)安全的可靠性；

安全事故可能暴露于公眾；

可能導(dǎo)致相當(dāng)大的對(duì)公司聲譽(yù)的損害。

確保根據(jù)IT治理框架進(jìn)行信息安全治理

隨著與黑客相關(guān)的非法侵入和損失、計(jì)算機(jī)病毒和其它的以因特網(wǎng)為基礎(chǔ)的威脅之類報(bào)道的頻繁出現(xiàn)，組織的利益相關(guān)者開(kāi)始關(guān)心與信息安全相關(guān)的風(fēng)險(xiǎn)、管理規(guī)定和投資。這使信息安全治理成為組織管理執(zhí)行層和最高管理層（董事會(huì)）必須經(jīng)常關(guān)注的工作。
有效的安全防衛(wèi)不僅是技術(shù)問(wèn)題，它也是一個(gè)管理問(wèn)題。管理相關(guān)的風(fēng)險(xiǎn)必須考慮公司文化、管理者的安全意識(shí)和行為，同時(shí)，負(fù)責(zé)治理的各方共享信息對(duì)成功的安全治理也極為重要。

信息安全管理，像其它控制和管理活動(dòng)一樣，是一種轉(zhuǎn)移風(fēng)險(xiǎn)的方法，因此，它應(yīng)該與公司治理協(xié)調(diào)一致。事實(shí)上，IT治理本身正形成一個(gè)獨(dú)立的分支，成為公司治理必不可少的一部分，它的目標(biāo)是保證：

IT與商業(yè)緊密相連，實(shí)現(xiàn)商業(yè)目標(biāo)，最大化商業(yè)收益；
 
IT資源被可靠地使用；

正確管理與IT相關(guān)的風(fēng)險(xiǎn)。

在IT治理中，信息安全治理受到密切的關(guān)注，特別是信息完整性、持續(xù)服務(wù)和信息資產(chǎn)保護(hù)幾個(gè)方面。

長(zhǎng)期以來(lái)，信息安全被看作消極因素，不產(chǎn)生價(jià)值。然而，全球網(wǎng)絡(luò)的出現(xiàn)和企業(yè)傳統(tǒng)邊界地延伸，使其成為價(jià)值和機(jī)會(huì)的創(chuàng)造者，特別在提升IT利益各方的信任感方面。

因此，信息安全治理必將成為IT治理的一個(gè)重要且必不可少的部分，忽略信息安全治理將使IT價(jià)值的創(chuàng)造無(wú)法持久。

采取最高管理層（董事會(huì)）級(jí)的行動(dòng)

及時(shí)了解信息安全狀況；

確定方向，驅(qū)動(dòng)方針和戰(zhàn)略，定義全局風(fēng)險(xiǎn)概況；

提供進(jìn)行信息安全治理所需的資源；

賦予管理者以責(zé)任；

確定優(yōu)先級(jí)；

支持變革；

定義有關(guān)風(fēng)險(xiǎn)意識(shí)的文化價(jià)值；

獲得內(nèi)部和外部審計(jì)師的保證；

要求管理層進(jìn)行信息安全方面的投資，確定可測(cè)量的安全提升措施，并監(jiān)督和報(bào)告其執(zhí)行效果。

采取管理執(zhí)行層級(jí)的行動(dòng)

編制信息安全方針政策；（制定方針政策）；

確保每個(gè)人清楚知道并了解各自的角色、責(zé)任和權(quán)力。這對(duì)有效的安全是必要的；（角色與責(zé)任）

識(shí)別威脅，分析弱點(diǎn)和適度關(guān)注本行業(yè)的慣例；

建立安全基礎(chǔ)設(shè)施；

在公司治理委員會(huì)批準(zhǔn)，確定相關(guān)角色和賦予責(zé)任后，開(kāi)發(fā)安全和控制框架。該框架由標(biāo)準(zhǔn)、評(píng)測(cè)措施、實(shí)務(wù)和規(guī)程組成；（設(shè)計(jì)）

決定可用的資源，對(duì)可能的對(duì)策排序，實(shí)施組織可以承受的最優(yōu)先的對(duì)策。及時(shí)實(shí)施并維護(hù)解決方案；（實(shí)施）

建立評(píng)估措施，查明安全隱患并糾正它們；做到及時(shí)發(fā)現(xiàn)、審查所有已存在的或被懷疑的不安全之處并按規(guī)定處理它們；確保采取的行動(dòng)符合政策、標(biāo)準(zhǔn)和可接受的最低的安全級(jí)別；（控制）

定期評(píng)審和測(cè)試；

實(shí)施入侵檢測(cè)和突發(fā)事故演習(xí)；

宣貫保護(hù)信息的必要性，提供安全運(yùn)作信息系統(tǒng)所需技巧的培訓(xùn)，對(duì)安全事故的快速反應(yīng)。安全評(píng)測(cè)和實(shí)務(wù)方面的教育對(duì)組織安全程序的成功特別重要；（宣貫，培訓(xùn)和教育）

確保安全被作為系統(tǒng)開(kāi)發(fā)生命周期過(guò)程必不可少的一部分考慮，并在這個(gè)過(guò)程的每個(gè)階段明確考慮安全問(wèn)題。

未完待續(xù)