IT治理十问十答之十——IT治理中的信息安全问题（下）

 在最高管理层（董事会）层

•  将信息安全及其持续性落实到业务管理者；
• 建立审计委员会。该委员会清楚理解其信息安全任务，知道怎样与管理层和审计师合作；
•  确保内部和外部审计师同意，审计中包括信息安全审计委员会和管理执行层要求的信息安全审计内容；
• 要求信息安全负责人向审计委员会报告信息安全治理的进展和问题；
• 建立危机处理机制，该机制要求执行管理层和最高管理层（董事会）最初就开始参与。

 在执行管理层

• 建立安全职责，协助管理者制定政策，并帮助组织实现这些政策
•  建立可测量的和易于管理的安全战略。该战略以标杆、成熟度模型、差距分析和持续报告绩效为基础
• 由安全和审计专家（内部的和外部的）筹办，进行年度的业务风险头脑风暴法会议
• 得出风险现状评估结论，产生行动建议，并用持续的行动强化执行效果
•  综合运用专家的知识，制订信息安全与风险应急方案
• 建立清晰实用的企业和技术持续性方案，不断评估和更新该方案
•  根据清楚的程序进行信息安全审计，管理层有责任跟踪审计结论执行情况
•  制定清晰的方针政策和详细的指南，多和员工就该计划进行沟通，使每个人认可该计划，这就是善治的安全治理
• 经常性的评估监控系统所发现的系统弱点（CERT），评估非法入侵，压力测试和业务持续计划
• 使业务流程和支持流程的基础设施能够在故障后恢复，特别是遇到一般的故障时
• 建立安全基准线，并严格监控其不被违反
• 实施安全事故响应制度，并经常进行入侵测试
• 通过高标准的控制来强化所有安全设施、重要的服务器和通讯平台
• 基于管理规则授权，授权方式与业务风险管理相配合
• 工作绩效评估包含安全绩效评估，并对此采取适当的奖罚措施

 思考并分析关键成功因素：

• 认识到好的安全方案需要时间发展和完善
• 组织安全责任人直接向高层领导报告并负责安全方案的执行
• 管理层和员工共同理解安全的重要性、必要性、弱点和威胁，理解并接受他们自己的安全责任
•  定期由第三方来评估安全政策和安全的体系结构
• 安全负责人有管理安全的方法和能力，特别是在通过采取入侵测试和主动监控措施时，能将发生事故的可能性降至最低，但事故不可避免发生时，对事故侦查、记录、分析严重性、报告和采取行动的能力
• 清楚定义风险管理责任人的任务和职责及管理层的责任
• 建立定义风险界限和容许的最大风险的政策
• 存在定义、协商和资助风险管理改善行动的职责和程序
• 每隔一段时期由第三方进行更客观的安全战略审查
• 识别并持续监控关键的基础设施
• 使用服务水平协议提高认识，增加与安全和持续性需求提供商间的合作
• 在制定政策时就考虑和确定政策的强制执行
• 适当的测量对政策认识、理解和遵循的程序
• 保证部署前的应用软件的安全
• 信息控制策略与公司整体战略规划相一致
• 管理层确信和认可信息安全、控制政策，强调沟通、理解和遵循这些政策的必要性
•  采用一致的政策制定框架，指导政策的构思、制定、理解和遵循
• 意识到虽然熟悉内幕的专业人士是绝大部分安全风险的根源，但有组织犯罪性质的攻击和其他没有专业知识人员的攻击正在增加
• 适当关注数据保密性、版权和其它与数字时代有关的法律
• 组织高层支持确保员工以合乎道德、安全的方式履行责任的行动
•  榜样的力量是无穷的。管理层必须明白信息安全对于组织成功的关键意义，带头遵守有关规章制度，为所有员工树立起安全意识的榜样

 绩效测量标准

（1）确定信息安全是否成功

•  没有引起公众困惑的事故
• 减少因为安全问题延迟新行动计划的数量
• 有保持依赖IT的关键业务流程连贯性的计划
•  自动监控重要的信息基础设施

（2）确定信息安全治理是否成功

• 全面遵循最低安全要求，或者记录违背最低安全要求的行为；
•  制定和确认的与IT有关的规划和政策包含IT安全的任务、远景、目标、价值和行为守则
•  IT安全规划和政策传达到所有相关各方

1.什么是IT治理？