(2)信息安全是IT治理的基石
信息安全不是一个孤立静止的概念,它是一个多层面、多因素的、综合的、动态的过程。不同的企业对信息安全会有不同的懂得,长期以来信息安全被看作是消极因素,不产生价值。然而,全球网络的呈现和企业传统边界地的延伸,使其成为价值和机会的发明者,特别在提升IT利益各方的信任感方面。因此,信息安全必将成为IT治理一个重要且必不可少的部分,疏忽信息安全将使IT价值的发明无法持久。信息安全的涵义体现在三个方面:一是安全性,是指确保信息仅可让授权的人获取和访问;二是完整性,是指保护信息和处理方法的正确和完善;三是可用性,是指确保授权人需要时可以获取信息和相应的资产。因此,实现信息安全是一个需要完整的系统来保证的持续过程。有效的安全防卫不仅是技巧问题,也是一个管理问题。
一般来说,信息安全架构是通过实行一套适当的把持措施来实现的,该把持措施包含政策、实践、程序、组织结构和工具软件组成。因此,信息安全架构模型和其它模型一样,具有以下几个方面的优点或作用:①信息安全架构模型涉及信息安全和业务需求的各个方面,能以简略方法测定差别,并有助于断定有关安全性方面的相对程度;②信息安全架构成熟度是测量安全管理处理等级的一种方法,这些等级是一个给定的信息安全管理处理的惯例,体现各个成熟层次的典范模式,有助于企业将重要精力投入到要害的管理方面;③信息安全架构模型等级有助于专业人员向管理层说明信息安全管理存在的缺点,并把组织的把持惯例与最佳惯例对照起来,从而断定企业的未来发展目标。因此,信息安全架构和IT治理不但是息息相干的,也是IT治理的基石。
三、建立高效信息安全架构的流程和方法
信息安全经常被看作只是一个技巧问题,很少有企业认为它是必须的并需要优先考虑的。所以,治理和管理信息安全的义务常常被限制在CIO身上。事实上,这是一个曲解。现在信息安全正越来越成为业务成功的要害因素,信息安全架构将能有效的帮助企业达到业务目标或发明新的竞争机会,而不仅仅是一个技巧环节。本部分提出建立信息安全架构的流程和惯例步骤:
(1)宣传和推广信息安全对业务的重要性
首先是高层管理者必须意识到IT信息安全架构对业务的重要性,这是设计信息安全架构的前提。其次是充分懂得企业的业务安全需求。例如,懂得和分析组织业务所处的风险环境,并在此基础上提出安全保障措施;定义合理的安全投资范围和打算,制定出合理的安全政策和制度。包含对业务内容、性质、目标及其价值进行分析,在信息安全中业务一般是以资产情势表现出来,它包含信息/数据、软/硬件、无形资产、人员及其才能等。
(2)定义信息安全驱动方向和策略
企业应采用最高管理层级的举动及时懂得信息安全状态,以断定信息安全的驱动方向和战略。信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分辨制定不同的信息安全策略。例如,范围较小的组织单位可能只有一个信息安全策略,并实用于组织内所有部门、员工;而范围大的团体组织则需要制定一个信息安全策略文件,分辨实用于不同的子公司或各分支机构。信息安全策略应当简略明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相干员工进行信息安全策略的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
(3)进行信息安全风险评估
ISO/IEC把风险定义为特定的要挟利用资产的一种或一组单薄点,导致资产的丧失或侵害的潜在可能性。风险评估是对信息和信息处理的要挟、影响和单薄点及三者产生的可能性评估,即利用适当的风险评估工具用定性与定量的方法,断定资产风险等级和优先把持次序。简略的说,风险评估重要是对信息安全架构范畴内的信息资产进行鉴定和估价,然后对信息资产面对的各种要挟和脆弱性进行评估,同时对已存在的或计划的安全管制措施进行鉴定。
相关阅读