在今天的商业环境中,IT已成为企业业务发展和管理不可或缺的重要组成部分,其作用和影响力已扩散到企业的每一个范畴。但IT给企业带来活力、利润和竞争力的同时,也给企业带来了风险。例如,日益依附IT的企业面临着因信息安全导致的业务灾害风险。因此,如何最大限度地保证信息安全成为每个企业都必须正视的问题。 近日在深圳召开的“中国信息化与IT治理高层研究会”上,信息安全架构和IT治理成为众多CIO关注的热门。会议认为加强信息安全离不开IT治理,完善的IT治理是信息安全的保障;而建立有效的信息安全架构则是IT治理的基石,企业才可以在很大程度上防御IT带来的信息安全风险。那么,信息安全架构是什么?为什么没有信息安全架构,IT治理就容易成为空中楼阁?
一、IT治理面临的信息安全挑衅
在中国经济强劲复苏的背后,企业的业务发展与创新对IT的依附程度越来越高。但任何事物都有它的两面性。正确、适当地应用IT系统能为企业带来飞速的发展,但系统缺点、人为误操作、系统攻击等不可预感的各种IT风险也同样会使企业面临宏大的灾害。长期以来,人们对保障信息安全的手段着重于依附技巧,例如加密技巧、数据备份、防病毒、防火墙等手段。而且在大多数IT管理人员的视角中,信息安全也仅仅局限在技巧层面的操作,信息安全经常被看作只是一个技巧问题,很少认为它是企业必须的并需要优先考虑。事实上,仅仅依附技巧来保障信息安全的愿望往往是难尽人意的,因为面对复杂多变的安全要挟和隐患单靠技巧手段是无法打消的。
据实践经验表明,信息安全治理是与IT治理密不可分的。假如把信息安全治理比作指引组织进行安全项目标路标,那么信息安全架构的设计便是组织通往信息安全这个目标所用的交通工具。因此,没有了信息安全架构,IT治理基本无从谈起。信息安全架构是指企业管理层利用它来监督企业在信息安全战略上的过程、结构和接洽,以确保IT运营处于正确的轨道之上。因此,缺乏良好信息安全架构的企业,就是说缺乏健全的风险把持机制,因而不可能很好的进行信息安全管理,进而也不可能取得IT治理的成功;同样,没有信息安全管理系统的畅通,IT治理也只能是一个美好的蓝图,而缺乏实际的内容。
二、为什么信息安全架构是IT治理的基石?
(1)IT治理要以IT风险防治为核心
目前,信息系统已在企业和政府组织中得到了广泛的利用,IT治理成为企业治理越来越要害的一部分。在复杂的现实环境中,不安全因素总是存在的。各种各样的材料都显示着信息安全风险以及灾害性事件的数量,正随着时间的推移而增加。IT治理的一个重要内容是估计相干风险对企业的经营收益和IT绩效的影响,并有效把持IT风险,避免IT资产的丧失。IT风险是一种潜在的可能,是指某些要挟将会造成IT资产甚至其它相干资产丧失或者损坏的潜在可能性。安全从来就不是一种非黑即白的概念。目前的信息安全早已不只是人们传统意义上的安全,即添加防火墙或路由器等简略的设备就可保证安全,而是成为一种系统和全局的观念。信息安全是指使信息避免一系列要挟,保障业务持续性,最大限度地减少业务丧失,从而最大限度地获取投资和回报的一种保障机制。
传统的信息安全管理基础上是一种静态的、局部的、突击式、事后改正式的管理方法,导致的成果是不能从基本上避免和下降各类风险,也不能下降信息安全故障导致的综合丧失。而基于信息安全架构的思想是一个系统化、程序化和文件化的管理系统,基于系统、全面、科学的安全风险评估,体现预防把持为主的思想,强调遵照有关信息安全的法律法规及请求,强调全过程动态把持,本着把持费用与风险平衡的原则合理选择安全把持方法保护要害信息资产,使信息风险的产生概率和成果下降到可接收收程度。COSO(美国内部把持委员会)在最新一期的IT治理指南中将IT信息安全架构界定为内部把持和风险防备的起点与核心,足以阐明IT治理应以信息安全的辨认和防备为着力点。因此,企业需要建立完善、健全的信息安全架构来规范IT治理行动,通过建立详尽的风险把持机制来下降企业的IT风险。
相关阅读