IT治理十问十答之十——IT治理中的信息安全问题(下)
AMTeam.org
引言:信息安全治理必将成为IT治理中一个重要且必不可少的部分,缺乏信息安全治理将使IT价值的创造无法持久。所以对于公司的管理层来说,应该怎样实施信息安全治理?实施后怎样进行绩效评估呢?
IT治理十问十答
国内外关于“公司治理”的研究热潮始于亚洲金融危机(建立公司治理机制的公司能为其股东制造更高的获利机会,并且得以在金融危机中拥有较高的存活率),目前世界各国和国际相关经济组织例如ADEC,PECC,ADB和WB等都有大量的理论和实践,并在各国极力建议推行公司治理。而“IT治理”开始于1999年下半年的美国,尽管已迅速成为热点,并细分到安全治理领域,但国际上这方面的文献资料非常之少,在加上要切合中国国情,尽管我们从去年年底开始这方面的研究工作,但仍需要克服不少的困难和障碍。
当前,业界在总结一些具有典型意义的问题,例如:在IT设备配置水平相近的企业,IT应用水平却相去甚远等,这表明当前这个阶段国民经济和社会信息化已发展到对 “IT治理”有迫切需求的阶段,这要求中国的信息化推动者借鉴和创新。
在最高管理层(董事会)层
- 将信息安全及其持续性落实到业务管理者;
- 建立审计委员会。该委员会清楚理解其信息安全任务,知道怎样与管理层和审计师合作;
- 确保内部和外部审计师同意,审计中包括信息安全审计委员会和管理执行层要求的信息安全审计内容;
- 要求信息安全负责人向审计委员会报告信息安全治理的进展和问题;
- 建立危机处理机制,该机制要求执行管理层和最高管理层(董事会)最初就开始参与。
在执行管理层
- 建立安全职责,协助管理者制定政策,并帮助组织实现这些政策
- 建立可测量的和易于管理的安全战略。该战略以标杆、成熟度模型、差距分析和持续报告绩效为基础
- 由安全和审计专家(内部的和外部的)筹办,进行年度的业务风险头脑风暴法会议
- 得出风险现状评估结论,产生行动建议,并用持续的行动强化执行效果
- 综合运用专家的知识,制订信息安全与风险应急方案
- 建立清晰实用的企业和技术持续性方案,不断评估和更新该方案
- 根据清楚的程序进行信息安全审计,管理层有责任跟踪审计结论执行情况
- 制定清晰的方针政策和详细的指南,多和员工就该计划进行沟通,使每个人认可该计划,这就是善治的安全治理
- 经常性的评估监控系统所发现的系统弱点(CERT),评估非法入侵,压力测试和业务持续计划
- 使业务流程和支持流程的基础设施能够在故障后恢复,特别是遇到一般的故障时
- 建立安全基准线,并严格监控其不被违反
- 实施安全事故响应制度,并经常进行入侵测试
- 通过高标准的控制来强化所有安全设施、重要的服务器和通讯平台
- 基于管理规则授权,授权方式与业务风险管理相配合
- 工作绩效评估包含安全绩效评估,并对此采取适当的奖罚措施
思考并分析关键成功因素:
- 认识到好的安全方案需要时间发展和完善
- 组织安全责任人直接向高层领导报告并负责安全方案的执行
- 管理层和员工共同理解安全的重要性、必要性、弱点和威胁,理解并接受他们自己的安全责任
- 定期由第三方来评估安全政策和安全的体系结构
- 安全负责人有管理安全的方法和能力,特别是在通过采取入侵测试和主动监控措施时,能将发生事故的可能性降至最低,但事故不可避免发生时,对事故侦查、记录、分析严重性、报告和采取行动的能力
- 清楚定义风险管理责任人的任务和职责及管理层的责任
- 建立定义风险界限和容许的最大风险的政策
- 存在定义、协商和资助风险管理改善行动的职责和程序
- 每隔一段时期由第三方进行更客观的安全战略审查
- 识别并持续监控关键的基础设施
- 使用服务水平协议提高认识,增加与安全和持续性需求提供商间的合作
- 在制定政策时就考虑和确定政策的强制执行
- 适当的测量对政策认识、理解和遵循的程序
- 保证部署前的应用软件的安全
- 信息控制策略与公司整体战略规划相一致
- 管理层确信和认可信息安全、控制政策,强调沟通、理解和遵循这些政策的必要性
- 采用一致的政策制定框架,指导政策的构思、制定、理解和遵循
- 意识到虽然熟悉内幕的专业人士是绝大部分安全风险的根源,但有组织犯罪性质的攻击和其他没有专业知识人员的攻击正在增加
- 适当关注数据保密性、版权和其它与数字时代有关的法律
- 组织高层支持确保员工以合乎道德、安全的方式履行责任的行动
- 榜样的力量是无穷的。管理层必须明白信息安全对于组织成功的关键意义,带头遵守有关规章制度,为所有员工树立起安全意识的榜样
绩效测量标准
(1)确定信息安全是否成功
- 没有引起公众困惑的事故
- 减少因为安全问题延迟新行动计划的数量
- 有保持依赖IT的关键业务流程连贯性的计划
- 自动监控重要的信息基础设施
(2)确定信息安全治理是否成功
- 全面遵循最低安全要求,或者记录违背最低安全要求的行为;
- 制定和确认的与IT有关的规划和政策包含IT安全的任务、远景、目标、价值和行为守则
- IT安全规划和政策传达到所有相关各方
1.什么是IT治理?
2.IT治理在国内的现状
3.IT治理的目标及解决的问题
4.怎样建立动态的IT治理机制?
5.IT治理和公司治理的关系
6.怎样确定IT治理结构?
7.IT治理架构COBIT
8.IT治理绩效评估
9.IT治理中的信息安全问题(上)
10.IT治理中的信息安全问题(下)
当前,业界在总结一些具有典型意义的问题,例如:在IT设备配置水平相近的企业,IT应用水平却相去甚远等,这表明当前这个阶段国民经济和社会信息化已发展到对 “IT治理”有迫切需求的阶段,这要求中国的信息化推动者借鉴和创新。
相关栏目:
相关文章:
- 1IT治理与公司治理(AMT 管政)
- 2IT治理信息安全管理:标准、理解与实施(孙强 郝晓玲)
- 3浅谈信息时代下如何进行公司治理(陈倩慈)
- 42008年IT渠道的六大调整趋势
- 5长沙OA信息化平台建立的三种方式
- 6国内有关专家表示公司治理从信息化抓起
- 7拥有免责权? 当好CIO离不开IT治理机制
- 8郎咸平:IT治理将逐渐起到更大的作用
- 9专题文章:从公司治理的角度看集团信息部门组织结构设置(AMT 杨赟)
- 10平衡记分卡与IT治理(By AMT 陈景琏 编译)
- 11IT治理迫在眉睫 “萨班斯”考验赴美企业
- 12IT治理十问十答之七——IT治理架构COBIT
- 13企业架构(EA)的成熟度评估(张艳编译)
- 14信息安全产业分析:SOX法案的启示
- 15高层经理培训(AMT研究院 肖迪 编译)
- 16协同办公OA软件的质量体系文件管理
- 17企业知识多元化战略(上) (AMT研究院 周瑛)
- 18知识工程中的组织建模(二)(AMT研究院 袁磊)
- 19IT融入战略四条路
- 20IT治理——一种治理的常态(AMT 陈琦)
- 21泛普软件的CRM开发解决方案
- 22如何利用IT治理的理念推动信息系统上线应用?(冯亚琳)
- 23泛普软件长沙OA信息化系统常用接口模式与列表
- 24信息化与我国政府治理变革
- 25IT治理十问十答之八——IT治理绩效评估
- 26信息化从IT治理展开
- 27IT审计 独立于IT管理的监督过程
- 28以内部流程信息化管理根除公司治理顽疾
- 29平衡记分卡帮助制造业提升竞争力(金蝶软件(中国)有限公司中央研究院李敏波 傅仕伟)
- 30战略化IT:简化今天,建设明天(AMT 研究院高欣 编译)
长沙OA系统
联系方式
成都公司:成都市成华区建设南路160号1层9号
重庆公司:重庆市江北区红旗河沟华创商务大厦18楼
友情链接