IT治理十問十答之九—— IT治理中的信息安全問題（上）

 在當今的全球商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛的應用。許多組織對其信息系統(tǒng)不斷增長的依賴性，加上在信息系統(tǒng)上運作業(yè)務的風險、收益和機會，使IT治理成為企業(yè)治理越來越關鍵的一部分。最高管理層（董事會）和執(zhí)行管理層同樣需要確保IT適應企業(yè)戰(zhàn)略，企業(yè)戰(zhàn)略也恰當利用IT的優(yōu)勢。為了更有效的進行公司治理和IT治理，最高管理層也越來越希望將信息安全治理成為IT治理中必不可少的一個環(huán)節(jié)，與IT治理集成。

 信息安全治理的內容

信息安全治理是指最高管理層（董事會）利用它來監(jiān)督管理層在信息安全戰(zhàn)略上的過程、結構和聯(lián)系，以確保這種運營處于正確的軌道之上。缺乏良好信息安全治理機制的組織，也就是說缺乏健全的制度安排，因而不可能很好的信息安全管理體系，進而也不可能取得信息化的成功；同樣，沒有信息安全管理體系的暢通，單純的治理機制也只能是一個美好的藍圖，而缺乏實際的內容。

正確實施信息安全治理4個基本成果：

（1）戰(zhàn)略聯(lián)盟

• 業(yè)務需求驅動安全需求；
• 安全方案適應業(yè)務流程；
• 信息安全投資與企業(yè)戰(zhàn)略和最大風險狀況密切相關。

（2） 價值傳遞

• 一套安全實務標準，即最佳安全實務基準；
• 正確區(qū)分行動的優(yōu)先次序并分配給有最大影響和商業(yè)利益的地方；
• 規(guī)范的、商業(yè)化的解決方案；
• 完整的解決方案，包括組織、流程和技術；
• 持續(xù)改進的文化。

（3） 風險管理

• 最大風險狀況；
• 了解風險暴露程度；
• 告知管理風險的優(yōu)先行動。

（4） 績效測量

•  定義測量標準；
• 反饋進展的測量程序；
• 獨立性保證。

高層應該關注的信息安全問題

信息安全經常被看作只是一個技術問題，很少有組織認為其是組織必需的并優(yōu)先考慮它。但是現(xiàn)在信息安全越來越成為業(yè)務成功的關鍵因素。組織最高管理層（董事會）和執(zhí)行管理層（如CIO）越來越重視信息安全工作，他們關注的核心是安全性將如何幫助組織達到業(yè)務目標或創(chuàng)造新的戰(zhàn)略競爭機遇，而不僅僅是具體的技術環(huán)節(jié)。

從安全性角度而言，高層關注的信息安全問題包括以下幾方面：

• 商務運作中斷：由于攻擊造成的停工會導致生產率降低和收入損失，而與恢復受攻擊的網絡相關的花費又會增加處理攻擊事件的總體財務成本。
• 法律責任和潛在訴訟：受到攻擊的企業(yè)可能需要作為被告或關鍵證人出庭。
• 競爭力下降：信息通常被認為是企業(yè)最寶貴的資產（70%或更多公司的價值在于其知識產權資產），這部分數據的損失或被竊可能造成嚴重后果，甚至會威脅企業(yè)在市場中的地位。
• 品牌資產被損害：對企業(yè)品牌的損害可能會有多種形式，但每種形式都會降低企業(yè)在市場中的地位。

 高層管理者有責任思考這些問題，最高管理層（董事會）也將被希望讓信息安全成為IT治理固有的一部分，最好與IT治理過程集成。

 在這點上，IT治理委員會和執(zhí)行管理層將對以下幾個方面進行評審：

• 現(xiàn)在和未來投資于信息技術的規(guī)模和費用；
• 技術顯著改變組織和商業(yè)運作，創(chuàng)造新的機會，和降低成本的潛力；
• 同時，他們也應該考慮由此導致的后果：
• 更加依賴信息、系統(tǒng)和傳送信息的通訊系統(tǒng)；
•  對企業(yè)無法直接控制的外部組織的依賴；
• 由于IT故障對企業(yè)聲譽和價值的影響；

為了有效進行公司治理和IT治理，最高管理層（董事會）和執(zhí)行管理層必須對應從企業(yè)的信息安全治理所抱的期望有一個清晰的了解。他們必須知道怎樣實施信息安全治理，怎樣評價其在安全治理過程中的恰當身份，和怎樣確定所需的安全程序。

鑒于安全從來就不是一種非黑即白的概念，其背景關系遠比技術更重要。因此，管理好信息安全需要最高管理層（董事會）、管理執(zhí)行層和業(yè)務流程所有者的更多參與；貫徹好信息安全需要信息系統(tǒng)審計師、安全專家、技術和業(yè)務等各方面的專家，所有相關各方應參與這個過程。

1.什么是IT治理？