1 引言
隨著企業(yè)的信息化建設,企業(yè)信息系統(tǒng)在縱、橫向的耦合程度日益加深,系統(tǒng)間的聯(lián)系也日益緊密,因此企業(yè)的信息安全影響著企業(yè)信息系統(tǒng)的安全、持續(xù)、可靠和穩(wěn)定運行。此外,美國明尼蘇達大學Bush-Kugel的研究報告指出企業(yè)在沒有信息資料可用的情況下。金融業(yè)至多只能運作2天,商業(yè)則為3天,工業(yè)則為5天。而從經(jīng)濟情況來看,25%的企業(yè)由于數(shù)據(jù)損毀可能隨即破產(chǎn),40%會在兩年內(nèi)破產(chǎn),而僅有7%不到的企業(yè)在5年后繼續(xù)存活。伴隨著監(jiān)管機構對信息安全Et趨嚴格的要求,企業(yè)對信息安全的關注逐漸提高,并對信息安全投入的資源不斷增加,從而使得信息安全越來越為公司高級管理層所關注。
2 信息安全問題
目前企業(yè)信息安全問題主要包括幾個方面。
(1)信息質量底下:無用信息、有害信息或劣質信息滲透到企業(yè)信息資源中,對信息資源的收集、開發(fā)和利用造成干擾。
(2)信息泄漏:網(wǎng)絡信息泄漏和操作泄漏是目前企業(yè)普遍存在的信息安全困擾。網(wǎng)絡信息泄漏是信息在獲取、存儲、使用或傳播的時候被其他人非法取得的過程。
而操作泄漏則是由于不正當操作或者未經(jīng)授權的訪問、蓄意攻擊等行為,從而使企業(yè)信息泄漏。
(3)信息破壞:指內(nèi)部員工或者外部人員制造和傳播惡意程序,破壞計算機內(nèi)所存儲的信息和程序,甚至破壞計算機硬件。
(4)信息侵權:指對信息產(chǎn)權的侵犯,F(xiàn)代信息技術的發(fā)展和應用,導致了信息載體的變化、信息內(nèi)容的擴展、信息傳遞方式的增加,一方面實現(xiàn)了信息的全球共享,但同時也帶來了知識產(chǎn)權難以解決的糾紛。
3 信息安全治理的困惑
基于信息安全的重要性,企業(yè)在信息安全治理方面投入了諸多資源,但是在信息安全治理成效方面仍不盡如人意,主要問題在于幾個方面。
(1)信息安全治理的范圍不明確:目前企業(yè)都在盡力實現(xiàn)良好的信息安全治理,但是由于無法正確理解信息安全治理和信息安全管理的區(qū)別,導致了信息安全治理無法與企業(yè)的安全規(guī)劃和企業(yè)戰(zhàn)略形成一致性。表l從工作內(nèi)容、執(zhí)行主體和技術深度三個層面分析了兩者的區(qū)別。
從表1中可以明確:信息安全治理是為組織機構的信息安全定義一個戰(zhàn)略性的框架,指明了具體安全管理工作的目標和權責范圍,使信息系統(tǒng)安全專業(yè)人員能夠準確地按照企業(yè)高層管理人員的要求開展工作。
(2)企業(yè)信息安全治理路徑的錯誤理解:企業(yè)在信息安全治理的過程中,最常用的手法是采用信息安全的技術措施,如使用加密和防偽技術、認證技術、防病毒技術、防火墻技術等方式來進行,但是往往企業(yè)投入很多,卻沒有達到預想的效果,問題在于,信息安全治理并不單單是技術問題,信息安全治理也包含了安全戰(zhàn)略、風險管理、績效評估、層級報告以及職責明確等方面。
4 信息安全治理關注的領域
(1)戰(zhàn)略一致性:信息安全治理需與企業(yè)的發(fā)展戰(zhàn)略和業(yè)務戰(zhàn)略相一致,建立相互協(xié)作的解決方案。
(2)價值交付:衡量信息安全治理價值交付的基準是信息安全戰(zhàn)略能否按時、按質并在預算內(nèi)實現(xiàn)預期的價值目標。因此需要設計明確的價值目標。對信息安全治理的交付價值進行評估。
(3)資源管理:實現(xiàn)對支持信息運行的關鍵資源進行最優(yōu)化投資和最佳管理。
(4)風險管理:企業(yè)管理層應具備足夠的風險意識,明確企業(yè)風險容忍度,制定風險管理策略,將風險管理融人到企業(yè)的日常運營中。
(5)績效度量:利用科學的管理方法,將信息安全治理轉換為可評價的目標的行動,便于對信息安全各項工作的績效進行有效管理。
5 信息安全治理框架
通過良好的信息安全治理?梢员Wo企業(yè)的信息資產(chǎn),避免遭受各種威脅,降低對企業(yè)之傷害,確保企業(yè)的永續(xù)經(jīng)營,以及提升企業(yè)投資回報率及競爭優(yōu)勢。
通過長期的實踐經(jīng)驗以及結合COBIT標準和GB/T 22080,2008<信息安全管理體系要求>,總結出信息安全治理的框架主要由四部分組成,如圖1所示。
圖1信息安全治理框架
(1)信息安全戰(zhàn)略:結合企業(yè)的整體信息技術戰(zhàn)略規(guī)劃和信息安全治理現(xiàn)狀,制定信息安全戰(zhàn)略。
(2)信息安全組織架構:根據(jù)企業(yè)層面在決策、管理和執(zhí)行機制對組織結構的要求,建立信息安全治理框架和決策溝通機制。明確公司各級管理層及相關部門在信息安全組織架構中的工作職責與角色定位。
(3)信息安全職責:根據(jù)公司信息安全組織架構,進一步明確信息安全相關崗位的工作職責、分工界面和匯報路徑等。
(4)信息安全管理制度:信息安全管理制度通過建立一個層次化的制度體系,針對不同的需求方(管理者、執(zhí)行者、檢查者等)從政策、制度、流程、規(guī)范和記錄等方面進行信息安全活動相關的規(guī)定,實現(xiàn)信息安全的功能和管理目標。
表1信息安全治理和信息安全管理的區(qū)別
6 信息安全治理評估
企業(yè)信息安全治理評估有助于提高信息安全治理投資的效益和效果。企業(yè)的最高管理層和管理執(zhí)行層可以使用信息安全治理成熟度模型建立企業(yè)的安全治理級別。該模型,如表2所示,被應用為幾個方面。
表2信息安全治理成熟度模型
(1)在市場環(huán)境中,相對于國際信息安全治理標準、行業(yè)最佳實踐,以及直接競爭對手,了解企業(yè)在信息安全治理上的級別。
(2)進行差距分析,為改進措施提供明確的路徑。
(3)了解企業(yè)的競爭優(yōu)勢和劣勢。
(4)有利于對信息安全治理進行績效評估。
7 結束語
本文從企業(yè)信息安全治理的實踐出發(fā),概述了目前企業(yè)信息安全治理存在的問題和困惑,總結了企業(yè)實現(xiàn)有效的信息治理的關注領域和實施內(nèi)容,為企業(yè)建立良好的信息安全治理提供了基本框架。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:淺談企業(yè)信息安全治理框架
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112189877.html