35:如何建立我国信息安全治理机制?
发布时间:2011年06月15日点击数: 作者:孙强、孟秀转 来源:ITGov中国IT治理研究中心
【字体: 收藏 打印文章
摘要:
从战略视角来看,信息安全是一项包括技术层面、管理层面、法律层面的社会系统工程,延伸开来还应该包括观念和文化层面,例如从文化意义上构建信息技术的行为准则,培育网络空间的道德规范。我国已经颁布了一系列有关信息安全的管理条例,但较零散,尤为突出的是缺少国家级的统领全局的信息安全框架。信息安全的管理工作、标准的制定、安全产品评测与认证等工作政出多门、各行其是,目前相关政府部门在网吧管理上的不一致就是这种情况的表现。因此要求政府部门必须采取相互协调、目标明确的措施,以免在制订和审定策略时发生拖沓、重复、甚至冲突的现象。

如何建立我国信息安全治理机制?

(1)制定国家层面上的信息安全框架及安全组织机构

从战略视角来看,信息安全是一项包括技术层面、管理层面、法律层面的社会系统工程,延伸开来还应该包括观念和文化层面,例如从文化意义上构建信息技术的行为准则,培育网络空间的道德规范。我国已经颁布了一系列有关信息安全的管理条例,但较零散,尤为突出的是缺少国家级的统领全局的信息安全框架。信息安全的管理工作、标准的制定、安全产品评测与认证等工作政出多门、各行其是,目前相关政府部门在网吧管理上的不一致就是这种情况的表现。因此要求政府部门必须采取相互协调、目标明确的措施,以免在制订和审定策略时发生拖沓、重复、甚至冲突的现象。

安全组织包括建立健全组织体系,明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门。制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务。发达国家一般都建立有信息安全管理机构,美国安全委员会下设了国家保密策略委员会和信息系统安全保密委员会;英、法等国家建立了“国家信息安全委员会”:德国成立了“国家信息安全局”。我国设置信息安全管理机构可采用建立专门信息安全管理机构或在现有的安全部门下设立信息安全管理分支机构。

(2)在条件较为成熟的地方试行建立安全治理的机制

信息安全不是个产品,它是一个完整的过程。作为一个过程,它有人、技术、流程这三个组成部分,这些组成部分匹配得越好,过程进展得越顺利。因此,如果要使我们的信息系统安全,在外部环境上亟需建立、健全统一指挥、统一步调的强有力的各级信息安全治理机制,这是实现信息安全目标的基本组织保障;在内部结构上就必须建立一整套从组织最高管理层(董事会)到执行管理层以及业务运营层的管理结构来约束和保证这三个组成部分。

环境的动态性决定了信息安全工作将是一个长期的、无止境的攻防与挑战,但对于企业而言,除非碰到严重的安全问题,否则大都仍无法体会信息安全治理机制的重要性,甚至会有人认为即使碰上了,也损失不大的错误观念。因此,我们建议在需求较为强烈的政府电子政务和金融业等条件较为成熟的地方试行建立安全治理的机制,达到预先防治、应急处理及事后复原的基本要求,在长期的工作目标上,逐步形成广泛的安全文化和安全治理机制,建立与国际接轨的信息安全机制,促进国际化合作网络的建立与发展,以提升国内企业在国际上的竞争力。

(3)信息安全治理机制和策略的制定要建立在上下互动的基础上

这就是为什么使用“治理”而不是监管、监控或其它词语的原因。加强信息安全治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色,并且尤其需要强调的是政府制定规则比较合理的方法是通过上下协商、交互式地制定规则,这样才能解决规则的充分合法性、可执行性问题,“治理不是一种正式的制度,而是持续的互动”。对于企业的最高管理层(董事会)在制定信息安全策略时亦是如此,只有这样才有可能制定出与企业需要相匹配的安全策略。另外,由于国家制定标准会出现滞后于信息技术的发展、把用户“锁定”在过时的技术上、有可能阻碍技术创新等问题,在对国内外信息安全治理广泛研究的基础上,我们认为与信息安全有关的产品或服务将不会只有一种标准,技术标准也不必是强制性的。因此,国家应该鼓励协会等自愿性组织在制订促进可互操作的标准和行业自律规范方面发挥作用。在某些情况下,多个标准将在市场上竞争,看哪种标准能被大家认可。在另一些情况下,不同的标准将应用于不同的环境。简言之,在市场竞争中胜出的标准将有利于促进信息安全产业的发展。

很多这方面的安全策略和标准实际上是为“理想环境”所写的,在这种环境所有的标准和技术控制与整个组织匹配得天衣无缝。然而,这样的策略在实际实施过程中必然会出现问题,组织或使用者会发现策略的定制者们并未理解他们真正的需要。这就产生了所谓的“一致性鸿沟”──组织或使用者希望在策略中体现的规则与实际制定出的规则的差异。当"一致性鸿沟"在组织中出现并达到一定的程度时,如果这些策略过于理论化或限制性太强,那么组织的执行管理层人员和最终用户就会漠视这这些策略。因此,我们认为在策略定制、发展过程中需要体现所有信息拥有者和知识财产的管理者的心声,并且这一点是非常重要的。

同时,在制定信息安全制度时要注意考虑组织文化。许多信息安全方面的规章制度都是参考制度模板或者以其他组织的规章制度为模板而制定出来的。与组织文化和组织业务活动不相适应的信息安全制度往往会导致发生大范围的不遵守现象。另外,规章制度还必须包括适当的监督机制。

(4)建议设立一年一度的"安全意识日",树立信息安全第一的意识

目前,非常多的信息安全工作都将工作重点放在技术方面,而将员工的信息安全意识和安全教育放在次要的位置,这样做的结果是企业不恰当地在技术方面花费太多的时间。但是信息并非只是一个技术问题,它也是一个关于人和管理的问题。纵观各类的信息安全规则,我们会发现它们都具有一个共同点──进行员工培训。一年一度的“安全意识日”应当通过讲座、研讨会、新闻媒体、网站和其它宣传方式将安全意识扩展为一种氛围,努力提高和强化社会的信息安全观念意识,确立信息安全管理的基本思想与策略,加快信息安全人才的培养,同时倡导信息伦理,提高公务员和公民的信息安全自律水平。这就将焦点从强制性的安全策略转换为自主接受的安全策略文化,这也是我们实现信息安全目标的基本前提。

(5)对信息系统进行安全审计

信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以完成组织的战略目标,同时最经济的使用资源。它综合运用IT技术与审计理论及方法为信息时代信息的使用者提供合理的保证。

信息安全审计工作可以分为两大类:一种是组织自行完成的内部审计,另一种是由会计师事务所或专业技术服务提供商完成的外部审计。内部审计的主要目的是检查组织各部门对安防制度的遵守情况,外部审计通常是因为上市、并购、年终检查或其它法规的要求而进行,一般都很正规,也非常深入。

(6)把安全视为一种理念,不断推进

许多单位都把信息安全看成是一个项目,具有开始和结束,但是一旦将它看成一个动态的过程,就更容易分阶段地引入一些更为全面的安全策略。还有安全策略必须变得更具用户导向性和更加动态。技术发展日新月异,组织如果想继续保持竞争力,就必须更多地承担起教育员工、合作伙伴和客户的责任。而这一切是一个没有终点的过程,必须建立在一套善治的信息安全治理机制的基础上。

 

京ICP备06004481号   Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved