1 企業(yè)信息安全建設(shè)的困惑
隨著我國(guó)信息產(chǎn)業(yè)持續(xù)高速發(fā)展,企業(yè)的信息化建設(shè)已經(jīng)進(jìn)入到“建設(shè)應(yīng)用并重,著力深化應(yīng)用”的階段,企業(yè)內(nèi)部信息系統(tǒng)在縱向、橫向兩個(gè)方面耦合程度日益加深。系統(tǒng)問(wèn)的相互聯(lián)系日益增強(qiáng)。為保障企業(yè)信息系統(tǒng)安全、持續(xù)、可靠、穩(wěn)定運(yùn)行,企業(yè)在信息安全方面投入了很多資源,包括建立一定的安全管理規(guī)范、制度和流程,采取通用或?qū)S玫陌踩雷o(hù)技術(shù)和產(chǎn)品進(jìn)行落實(shí),等等。但是通常企業(yè)領(lǐng)導(dǎo)和信息安全主管還存在一系列的困惑,比如,企業(yè)在安全方面投入了較多的資源,但仍不時(shí)有安全的問(wèn)題困擾。為什么付出了很多的資源代價(jià)。實(shí)施了安全管理卻沒(méi)有達(dá)到最初的安全管理目標(biāo)?是因?yàn)榧夹g(shù)層面上資金投入不夠,還是管理落實(shí)上難以實(shí)現(xiàn),或者是公司層面上對(duì)信息安全風(fēng)險(xiǎn)理解得不透徹?做安全項(xiàng)目制定一大堆的制度,寫(xiě)了一大堆的文檔,如何能真正地執(zhí)行下去?這都需要管理者深入思考。
2 企業(yè)信息安全建設(shè)存在的問(wèn)題分析
回顧我國(guó)企業(yè)信息化的發(fā)展,基本上是“從無(wú)到有,從有到精,從精到強(qiáng)”的過(guò)程,企業(yè)信息安全建設(shè)也是伴隨著信息化的建設(shè)開(kāi)展的。但整體滯后。目前大多數(shù)企業(yè)的信息安全建設(shè)處于“零散實(shí)施,查缺補(bǔ)漏”的被動(dòng)防御階段,在信息安全建設(shè)中存在安全管理規(guī)范、制度和流程無(wú)法落實(shí),安全審計(jì)工作不成體系.缺少有效的內(nèi)控機(jī)制,沒(méi)有形成管控測(cè)評(píng)制度及測(cè)評(píng)指標(biāo)體系,企業(yè)很難及時(shí)對(duì)公司整體信息安全現(xiàn)狀作出準(zhǔn)確評(píng)估,安全防護(hù)更多來(lái)自被動(dòng)的事件驅(qū)動(dòng),缺少信息安全標(biāo)準(zhǔn)、信息安全事件知識(shí)庫(kù),缺少對(duì)流程的梳理與固化,服務(wù)響應(yīng)速度不可控。信息運(yùn)行工作量化的可視度低,企業(yè)安全管理所涉及的制度、規(guī)范不健全等諸多問(wèn)題。
仔細(xì)分析上述問(wèn)題,其中一個(gè)重要原因是因?yàn)槠髽I(yè)的管理者沒(méi)有正確理解什么是信息安全治理,以及信息安全治理與信息安全管理的主要區(qū)別。實(shí)際上,兩者在工作內(nèi)容、執(zhí)行主體和技術(shù)深度3個(gè)層面有著本質(zhì)的區(qū)別,如表1所示。
表1企業(yè)信息安全治理與信息安全管理的區(qū)別
從表1中可以看出,信息安全治理是為組織的信息安全運(yùn)行定義了一個(gè)戰(zhàn)略性的框架,指明了具體安全管理工作的目標(biāo)和權(quán)責(zé)范圍,使信息系統(tǒng)安全專(zhuān)業(yè)人員能夠準(zhǔn)確地按照組織高層領(lǐng)導(dǎo)的要求開(kāi)展工作。企業(yè)進(jìn)行信息安全治理可以帶來(lái)以下好處:
(1)降低安全風(fēng)險(xiǎn)。滿足行業(yè)合規(guī)性政策強(qiáng)制要求。提升控制和管理能力,阻止安全威脅,避免非法滲透,實(shí)現(xiàn)有效的風(fēng)險(xiǎn)管理,降低業(yè)務(wù)損失。
(2)降低管理復(fù)雜度。降低信息基礎(chǔ)架構(gòu)和業(yè)務(wù)應(yīng)用系統(tǒng)的安全管理復(fù)雜度,提高企業(yè)安全管理效率,支持業(yè)務(wù)未來(lái)發(fā)展。
(3)減少費(fèi)用。減少信息運(yùn)維費(fèi)用,減少信息安全重復(fù)投資;降低企業(yè)信息總所有成本(TC0),提高企業(yè)競(jìng)爭(zhēng)力。
所以企業(yè)要想解決信息安全建設(shè)中存在的種種問(wèn)題,必須開(kāi)展有效的信息安全治理工作。
3 企業(yè)信息安全治理目標(biāo)
信息安全治理是將被動(dòng)的事件驅(qū)動(dòng)型管理模式轉(zhuǎn)變?yōu)橹鲃?dòng)的風(fēng)險(xiǎn)管控模式,主動(dòng)地對(duì)威脅和風(fēng)險(xiǎn)進(jìn)行評(píng)估。主動(dòng)地采取風(fēng)險(xiǎn)處置措施。通過(guò)資源的調(diào)控實(shí)現(xiàn)對(duì)信息安全工作的調(diào)控。在信息安全治理過(guò)程中大量借鑒管理學(xué)方法,通過(guò)PDCA環(huán),進(jìn)行動(dòng)態(tài)的控制和治理,全過(guò)程強(qiáng)調(diào)測(cè)評(píng)和監(jiān)控,通過(guò)治理的流程控制措施進(jìn)行資源的調(diào)配,實(shí)現(xiàn)對(duì)關(guān)鍵項(xiàng)目、關(guān)鍵技術(shù)、關(guān)鍵措施的扶持。對(duì)非關(guān)鍵活動(dòng)的控制,確保安全項(xiàng)目按規(guī)劃要求進(jìn)行實(shí)施和交付。企業(yè)開(kāi)展有效的信息安全治理必須實(shí)現(xiàn)以下幾個(gè)目標(biāo):
(1)戰(zhàn)略一致。實(shí)現(xiàn)在信息安全計(jì)劃與組織整體規(guī)劃和業(yè)務(wù)計(jì)劃之間建立關(guān)聯(lián),實(shí)現(xiàn)合理的描述并確認(rèn)信息價(jià)值。
(2)價(jià)值交付。實(shí)現(xiàn)提供信息安全承諾,降低安全管理組織成本。提高業(yè)務(wù)可靠性和穩(wěn)定性。
(3)資源管理。實(shí)現(xiàn)對(duì)支持信息運(yùn)行的關(guān)鍵資源進(jìn)行最優(yōu)化投資和最佳管理。
(4)風(fēng)險(xiǎn)管理。實(shí)現(xiàn)企業(yè)人員具備足夠的風(fēng)險(xiǎn)意識(shí)。能夠充分理解組織面臨的主要風(fēng)險(xiǎn),并在組織結(jié)構(gòu)設(shè)計(jì)中劃分和明確指派風(fēng)險(xiǎn)責(zé)任。
(5)績(jī)效度量。實(shí)現(xiàn)科學(xué)地對(duì)信息運(yùn)行的戰(zhàn)略目標(biāo)實(shí)現(xiàn)程度、信息資源的使用情況、信息過(guò)程的執(zhí)行情況以及信息服務(wù)的交付效果進(jìn)行跟蹤和監(jiān)控。
4 企業(yè)信息安全治理的方案
企業(yè)信息安全治理的總體思路是:從企業(yè)發(fā)展戰(zhàn)略和統(tǒng)一的信息安全體系需求出發(fā),結(jié)合信息安全治理標(biāo)準(zhǔn)及實(shí)踐,制定安全政策,明確角色與責(zé)任,確保相關(guān)人員清楚知道和理餌各自的角色、責(zé)任和權(quán)力。開(kāi)發(fā)及實(shí)篪由標(biāo)準(zhǔn)、評(píng)測(cè)措施、實(shí)務(wù)和規(guī)程組成的安全治理規(guī)范,建立控制措施,查明安全隱患,并確保其得到改正。開(kāi)展全員安全文化教育和安全意識(shí)的養(yǎng)成,宣貫保護(hù)信息的必要性,提供安全運(yùn)作信息系統(tǒng)所需技巧的教育培訓(xùn)。
企業(yè)開(kāi)展信息安全治理主要從信息安全管理控制、信息安全運(yùn)行控制,信息安全合規(guī)管理和信息安全風(fēng)險(xiǎn)管理4個(gè)方面開(kāi)展,實(shí)現(xiàn)企業(yè)以業(yè)務(wù)為關(guān)注焦點(diǎn)的協(xié)同工作,為管理者提供更好的信息管理視角,形成基于流程導(dǎo)向的清晰的所有者關(guān)系及職責(zé),形成被第三方監(jiān)管機(jī)構(gòu)認(rèn)可的基于通用語(yǔ)言,被所有的利益相關(guān)方所理解的總體信息安全治理。
從圖l可以看出。企業(yè)信息安全治理的過(guò)程通過(guò)信息安全管理控制設(shè)定目標(biāo)和制定策略,通過(guò)信息安全運(yùn)行控制對(duì)安全事件、制度、流程有效監(jiān)控,確保信息服務(wù)的客戶、服務(wù)評(píng)估標(biāo)準(zhǔn)滿足業(yè)務(wù)需求,利用合規(guī)檢查與改善加強(qiáng)信息安全的合規(guī)管理,通過(guò)風(fēng)險(xiǎn)評(píng)估的識(shí)別與應(yīng)對(duì)處置加強(qiáng)信息安全風(fēng)險(xiǎn)管理,PDCA貫穿治理的各個(gè)環(huán)節(jié)。形成動(dòng)態(tài)有效的安全治理模型。
圖1安全治理模型
5 企業(yè)信息安全治理實(shí)施路線
考慮到企業(yè)信息安全治理的復(fù)雜程度和關(guān)聯(lián)問(wèn)題等,信息安全治理工作要分步走。采用標(biāo)準(zhǔn)先行,試點(diǎn)建設(shè)。完善體系和深化應(yīng)用的階段演進(jìn)實(shí)施路線。標(biāo)準(zhǔn)先行階段主要是通過(guò)對(duì)國(guó)際信息治理,信息安全管理、運(yùn)維、風(fēng)險(xiǎn)、內(nèi)控審計(jì)等相關(guān)的標(biāo)準(zhǔn)進(jìn)行深入研究。結(jié)合企業(yè)業(yè)務(wù)發(fā)展對(duì)信息安全管理的需求進(jìn)行梳理,形成企業(yè)信息安全治理管控標(biāo)準(zhǔn)。試點(diǎn)建設(shè)階段將國(guó)際標(biāo)準(zhǔn)和最佳時(shí)間研究后形成的信息安全治理體系中的思路、方法、方案等成果通過(guò)試點(diǎn)單位的應(yīng)用和反饋逐步向全企業(yè)推廣。體系完善階段通過(guò)建設(shè)的實(shí)踐經(jīng)驗(yàn)。對(duì)現(xiàn)有管控措施查漏補(bǔ)缺,通過(guò)規(guī)范制度,優(yōu)化流程、落實(shí)責(zé)任、提升效率逐步形成信息安全治理體系。深化應(yīng)用階段實(shí)現(xiàn)流程間的有效集成和融合,利用平臺(tái)工具進(jìn)行流程固化,通過(guò)平臺(tái)改進(jìn)和專(zhuān)項(xiàng)系統(tǒng)建設(shè)提升治理工作效率。
企業(yè)信息安全治理的實(shí)施路線如圖2所示。整個(gè)實(shí)施路線從信息安全治理建設(shè)階段和治理內(nèi)容兩個(gè)方面進(jìn)行分析。
圖2信息安全治理實(shí)施路線圖
5.1信息安全管理控制實(shí)施
對(duì)于企業(yè)信息安全管理控制的實(shí)施,主要從安全管控策略、安全審計(jì)、安全測(cè)評(píng)和安全內(nèi)控4個(gè)方面進(jìn)行。對(duì)于安全管控策略首先要梳理、制定信息安全策略體系并將安全策略體系電子化實(shí)現(xiàn),通過(guò)定期評(píng)估和策略調(diào)整對(duì)體系進(jìn)行完善。對(duì)于安全審計(jì)要設(shè)計(jì)審核列表、計(jì)劃和方案,并定期實(shí)施安全審計(jì),出具審計(jì)報(bào)告。對(duì)于安全測(cè)評(píng)要建立測(cè)評(píng)模型,確定提升目標(biāo),要識(shí)別企業(yè)的CSF/KGI/KPI等關(guān)鍵指標(biāo),定期實(shí)施安全管控測(cè)評(píng)。對(duì)于安全內(nèi)控要制定內(nèi)控目標(biāo)、計(jì)劃和方案,統(tǒng)一內(nèi)控流程和內(nèi)控文檔,定期開(kāi)展內(nèi)控流程;最終要將安全審計(jì)、測(cè)評(píng)和內(nèi)控的整改活動(dòng)納人到安全管控的流程管理中,并將安全管控的指標(biāo)、數(shù)據(jù)進(jìn)行智能分析和可視化展現(xiàn)。
5.2信息安全運(yùn)行控制實(shí)施
對(duì)于企業(yè)信息安全運(yùn)行控制的實(shí)施,主要從運(yùn)行監(jiān)控、流程管理、運(yùn)行職責(zé)管理和運(yùn)行質(zhì)量管理4個(gè)方面進(jìn)行。運(yùn)行監(jiān)控要結(jié)合企業(yè)業(yè)務(wù)數(shù)據(jù)的特點(diǎn)進(jìn)行監(jiān)控指標(biāo)的設(shè)計(jì),監(jiān)控平臺(tái)和流程報(bào)表的建立。在流程管理中,企業(yè)要梳理現(xiàn)有的安全流程進(jìn)行差距分析,并開(kāi)展統(tǒng)一的運(yùn)行流程設(shè)計(jì)。在運(yùn)行職責(zé)管理中,重點(diǎn)要完成運(yùn)行職責(zé)的設(shè)計(jì),并將運(yùn)行安全流程執(zhí)行和推廣,將流程平臺(tái)化和固化。在運(yùn)行質(zhì)量管理,企業(yè)要建立安全檢測(cè)系統(tǒng)和質(zhì)量管理系統(tǒng),將運(yùn)行質(zhì)量管理固化。
5.3信息安全合規(guī)管理實(shí)施
信息安全合規(guī)管理是企業(yè)健康發(fā)展的關(guān)鍵,企業(yè)首先要對(duì)國(guó)家法律、法規(guī),行業(yè)規(guī)范,企業(yè)內(nèi)部制度、手冊(cè)進(jìn)行收集、梳理和分析,建立企業(yè)的合規(guī)知識(shí)庫(kù),并要不斷進(jìn)行維護(hù)。
5.4信息安全風(fēng)險(xiǎn)控制實(shí)施
企業(yè)對(duì)于信息安全風(fēng)險(xiǎn)的實(shí)施要首先對(duì)企業(yè)進(jìn)行風(fēng)險(xiǎn)管理差距分析,建立風(fēng)險(xiǎn)管理標(biāo)準(zhǔn),并有針對(duì)性的進(jìn)行風(fēng)險(xiǎn)評(píng)估方案設(shè)計(jì),風(fēng)險(xiǎn)處置方案設(shè)計(jì)和風(fēng)險(xiǎn)管理制度設(shè)計(jì)。要定期開(kāi)展風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置和風(fēng)險(xiǎn)控制活動(dòng),并強(qiáng)整改活動(dòng)納人統(tǒng)一的流程管理。
企業(yè)信息安全治理是一個(gè)長(zhǎng)期的系統(tǒng)工程,實(shí)施路線要適應(yīng)企業(yè)戰(zhàn)略和發(fā)展需要,確保信息安全相關(guān)管理措施和技術(shù)手段適應(yīng)企業(yè)的目標(biāo)和文化,并與之協(xié)調(diào)一致。要準(zhǔn)確把握當(dāng)前和未來(lái)一定時(shí)期內(nèi)信息系統(tǒng)所面臨的威脅和風(fēng)險(xiǎn),用適當(dāng)?shù)耐度擞行Ч芸厮械耐{和風(fēng)險(xiǎn)。企業(yè)信息安全治理以企業(yè)運(yùn)行流程為依托,結(jié)合信息安全管控點(diǎn),將管控流程與組織機(jī)構(gòu)相對(duì)應(yīng)。確保企業(yè)信息安全知識(shí)庫(kù)、架構(gòu)、平臺(tái)和工具有效使用,測(cè)量、監(jiān)控和審計(jì)管控手段和流程,確保安全管控的目標(biāo)完成和實(shí)現(xiàn)。最終通過(guò)適當(dāng)安全投人,有效的安全項(xiàng)目的實(shí)施和交付,確保企業(yè)業(yè)務(wù)發(fā)展的目標(biāo)實(shí)現(xiàn)。
6 結(jié)論
本文通過(guò)對(duì)企業(yè)信息安全治理體系的研究和大量企業(yè)治理體系的實(shí)施,總結(jié)出了實(shí)現(xiàn)企業(yè)有效信息安全治理的方法論和最佳實(shí)踐,即企業(yè)信息安全治理可以通過(guò)從信息安全管理控制、信息安全運(yùn)行控制、安全合規(guī)管理和安全風(fēng)險(xiǎn)控制4個(gè)方面分階段開(kāi)展工作,通過(guò)企業(yè)領(lǐng)導(dǎo)的大力支持,輔以管控決策支持平臺(tái)、運(yùn)控流程平臺(tái)、合規(guī)知識(shí)庫(kù)和風(fēng)險(xiǎn)管控流程等相關(guān)流程與工具,結(jié)合定期全面的審計(jì)工作,企業(yè)的信息安全建設(shè)有望見(jiàn)到成效。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)實(shí)現(xiàn)有效的信息安全治理之路
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112188181.html