信息安全治理：创造新的战略竞争机遇之二

申请免费试用、咨询电话：400-8352-114

信息安全治理：创造新的战略竞争机遇之二
作者：孙 强 郝亚斌 发表：2004.04.07 来源：赛迪网
 
　　"没有安全的工程就是豆腐渣工程"

　　　　　　－徐匡迪 中国工程院院长

　　"技术本身实际上是信息安全体系里最不重要的部分了。不管一项技术有多先进，都只不过是辅助实现信息安全的手段而已。我们并不是认为技术不重要，但在信息安全的架构里，它一定要在好的信息安全治理的基础上。"

－ 作者题记

　　赛迪顾问股份有限公司

　　赛迪培训中心

　　孙 强 郝亚斌

　　4. 谁应该关注信息安全治理，关注什么？

　　信息安全经常被看作只是一个技术问题，很少有组织认为其是组织必需的并优先考虑它。所以，治理和管理安全提升的责任被限制在技术负责人。但是现在信息安全越来越成为业务成功的关键因素。组织最高管理层（董事会）和执行管理层（如 CIO）越来越重视信息安全工作，他们关注的核心是安全性将如何帮助组织达到业务目标或创造新的战略竞争机遇，而不仅仅是具体的技术环节。从安全性角度而言，高层关注的目标包括以下几方面：

·商务运作中断：由于攻击造成的停工会导致生产率降低和收入损失，而与恢复受攻击的网络相关的花费又会增加处理攻击事件的总体财务成本。一旦受到攻击，企业通常会部署解决团队来帮助客户、员工以及合作伙伴尽快恢复业务。在修复之前，不仅业务会停顿，而且解决团队疲于应对，无法进行其日常工作，这些都造成了生产率的极大损失。

·法律责任和潜在诉讼：受到攻击的企业可能需要作为被告或关键证人出庭。要求遵守隐私和安全性法规的企业（如金融机构）可能需要证明其为将网络攻击的威胁降至最小而付出的艰辛努力。这一过程将极大地消耗员工的工作效率和企业的现金流。

·竞争力下降：信息通常被认为是企业最宝贵的资产（70% 或更多公司的价值在于其知识产权资产)，这部分数据的损失或被窃可能造成严重后果，甚至会威胁企业在市场中的地位。根据 2002 CSI/FBI 计算机犯罪与安全调查的调查结果，由于安全性被破坏而导致的最为严重的财务损失包括所有权信息的被窃(26个被访者报告的损失超过$170,000,000)。

·品牌资产被损害：对企业品牌的损害可能会有多种形式，但每种形式都会降低企业在市场中的地位。例如，如果企业的客户数据（如信用卡信息）被窃并被公布到其他 Web 站点上，该企业可能会陷入难以使客户对其品牌恢复信任的困境。

　　高层管理者有责任思考这些问题，最高管理层（董事会）也将被希望让信息安全成为IT治理固有的一部分，最好与IT治理过程集成。

　　在这点上，IT治理委员会和执行管理层将对以下几个方面进行评审：

·现在和未来投资于信息技术的规模和费用；

·技术显著改变组织和商业运作，创造新的机会，和降低成本的潜力；

　　同时，他们也应该考虑由此导致的后果：

·更加依赖信息、系统和传送信息的通讯系统；

·对企业无法直接控制的外部组织的依赖；

·由于IT故障对企业声誉和价值的影响；

　　为了有效进行公司治理和IT治理，最高管理层（董事会）和执行管理层必须对应从企业的信息安全治理所抱的期望有一个清晰的了解。他们必须知道怎样实施信息安全治理，怎样评价其在安全治理过程中的恰当身份，和怎样确定所需的安全程序。

　　鉴于安全从来就不是一种非黑即白的概念，其背景关系远比技术更重要。因此，管理好信息安全需要最高管理层（董事会）、管理执行层和业务流程所有者的更多参与；贯彻好信息安全需要信息系统审计师、安全专家、技术和业务等各方面的专家，所有相关各方应参与这个过程。

　　5. 最高管理层（董事会）和管理执行层应该做些什么？

　　今年的9月17日，美国联邦政府公布了由关键基础设施委员会（CIPB）制订的保障网络安全计划--《国家保障网络安全策略》。根据该计划，美国政府将在网络安全中发挥主导作用，同时会要求所有用户采取措施，但没有通过加强立法强制采取行动。美国总统的网络安全特别顾问、CIPB主席Richard Clarke表示，安全策略不会成为静态的文件，而是将不断变化和更新，以适应环境的变化。这份计划显示，美国政府不会制订法律强制私有企业采取行动。但美国政府会在面临重大事故时寻求通过立法，以保护美国人民的健康、安全和幸福。根据这份65页的文件，政府应该首先采用安全的网络协议、对IT企业进行认证、扩大安全评估和政策工具的适用范围，并考虑安全与应急准备演习。该文件还要求上市公司发布经过独立审计的安全报告，建议公司成立公司安全委员会，选用多家IT企业的产品以降低风险。该文件要求一直是网络攻击温床的大学，与Internet服务提供商和执法机构建立24小时的联系。发电厂、水处理设施和其他部门应认真审核将系统与Internet连接的风险，并在两年内采取实施安全认证等措施。CIPB建议成立网络运营中心（NOC），由IT行业、计算机应急反应小组和信息共享与分析中心（ISAC）共同参与。

·根据我国的国情，我们认为有效的信息安全治理需要最高管理层（董事会）和管理执行层：

　　理解信息安全治理的必要性

·风险和威胁真实存在并有可能给组织造成重大影响；

·有效的信息安全需要上层管理者到下层员工一致的、统一的行动；

·IT投资额巨大但容易投向错误方向；

·文化和组织因素同等重要；

·必须建立并执行准则和优先级；

·必须向电子交易对方证实自己的信用；

·需要向与系统有利害关系的各方证实系统安全的可靠性；

·安全事故可能暴露于公众；

·可能导致相当大的对公司声誉的损害。

　　确保根据IT治理框架进行信息安全治理

　　随着与黑客相关的非法侵入和损失、计算机病毒和其它的以因特网为基础的威胁之类报道的频繁出现，组织的利益相关者开始关心与信息安全相关的风险、管理规定和投资。这使信息安全治理成为组织管理执行层和最高管理层（董事会）必须经常关注的工作。

　　有效的安全防卫不仅是技术问题，它也是一个管理问题。管理相关的风险必须考虑公司文化、管理者的安全意识和行为，同时，负责治理的各方共享信息对成功的安全治理也极为重要。

　　信息安全管理，像其它控制和管理活动一样，是一种转移风险的方法，因此，它应该与公司治理协调一致。事实上，IT治理本身正形成一个独立的分支，成为公司治理必不可少的一部分，它的目标是保证：

·IT与商业紧密相连，实现商业目标，最大化商业收益；

·IT资源被可靠地使用；

·正确管理与IT相关的风险。

　　在IT治理中，信息安全治理受到密切的关注，特别是信息完整性、持续服务和信息资产保护几个方面。

　　长期以来，信息安全被看作消极因素，不产生价值。然而，全球网络的出现和企业传统边界地延伸，使其成为价值和机会的创造者，特别在提升IT利益各方的信任感方面。

　　因此，信息安全治理必将成为IT治理的一个重要且必不可少的部分，忽略信息安全治理将使IT价值的创造无法持久。

　　采取最高管理层（董事会）级的行动

·及时了解信息安全状况；

·确定方向，驱动方针和战略，定义全局风险概况；

·提供进行信息安全治理所需的资源；

·赋予管理者以责任；

·确定优先级；

·支持变革；

·定义有关风险意识的文化价值；

·获得内部和外部审计师的保证；

·要求管理层进行信息安全方面的投资，确定可测量的安全提升措施，并监督和报告其执行效果。

　　采取管理执行层级的行动

·编制信息安全方针政策；（制定方针政策）；

·确保每个人清楚知道并了解各自的角色、责任和权力。这对有效的安全是必要的；（角色与责任）

·识别威胁，分析弱点和适度关注本行业的惯例；

·建立安全基础设施；

·在公司治理委员会批准，确定相关角色和赋予责任后，开发安全和控制框架。该框架由标准、评测措施、实务和规程组成；（设计）

·决定可用的资源，对可能的对策排序，实施组织可以承受的最优先的对策。及时实施并维护解决方案；（实施）

·建立评估措施，查明安全隐患并纠正它们；做到及时发现、审查所有已存在的或被怀疑的不安全之处并按规定处理它们；确保采取的行动符合政策、标准和可接受的最低的安全级别；（控制）

·定期评审和测试；

·实施入侵检测和突发事故演习；

·宣贯保护信息的必要性，提供安全运作信息系统所需技巧的培训，对安全事故的快速反应。安全评测和实务方面的教育对组织安全程序的成功特别重要；（宣贯，培训和教育）

·确保安全被作为系统开发生命周期过程必不可少的一部分考虑，并在这个过程的每个阶段明确考虑安全问题。

　　6. 怎样全面理解信息安全治理？

　　本文第八部分提供了一套完整的、结构化的问题和实务准则，但是安全治理负责人需要提出一些问题，以帮助人们思考和提高安全意识，发现信息安全问题，并初步了解解决这些问题的方法。

　　用来发现信息安全状况的问题

·上一次管理执行层关注安全相关的决定是什么时候？管理执行层多常时间参与一次安全方案的改进？

·管理执行层知道谁负责安全吗？负责人自己知道吗？其他人都知道吗？

·当碰到安全事故时，人们这么认为吗？人们忽视它吗？他们知道怎样处理它吗？

·每个人知道公司有多少台计算机吗？管理执行层知道计算机的遗失吗？

·管理执行层识别了泄漏后造成困难或竞争劣势的所有信息（客户资料，战略规划，研究报告等）吗？

·公司最近遭到病毒攻击是什么时候？上一年受到多少次病毒攻击？

·有否有人探测公司的网络？有过非法入侵吗？频率是多少？对公司有什么影响？

·是否每个人都知道有多少人使用公司的系统？知道他们能否使用，或使用其做什么吗？

·事后处理还是事前预防安全问题？

·根据损失的收入，丢失的客户和投资者的信心，评估一次严重的安全事故的后果是什么？

　　用来发现管理执行层怎样看待信息安全的问题：

·企业明确信息安全相对于IT和安全风险的定位吗？企业趋向于避免风险还是接受风险？

·用于信息安全的费用是多少？用于哪些方面？怎样花费的？上一年进行了什么项目提高信息安全？

·上一年多少员工接受了安全培训？管理层多少人接受了培训？

·组织怎样发现安全事故？怎样向上级汇报这些事故？管理执行层采取什么行动?

·管理执行层如何准备从主要的安全事故中恢复吗？

·有否涉及所有上述问题的安全工作程序？负责人的职责清楚吗？

　　自我评价信息安全的实务准则

·管理执行层可以确信在公司安全得到足够考虑吗？

·管理执行层知道最新的安全问题和最佳实践吗？

·其他人在做什么，企业怎样正确处理与他们的关系？

·行业最佳实践是什么，本企业怎样与其比较？

·管理执行层清楚表明和宣贯企业对信息安全的需求吗？

·管理执行层认为企业将投资多少用于信息安全的提升？

·在制定商业和IT战略时考虑了信息安全吗？

·公司跟踪安全风险和可用的技术方案吗？

·管理执行层定期获得安全状况和安全提升项目效果的报告吗？

·管理执行层建立了独立的IT安全审计程序吗？他们关注审计结论的执行效果吗？