谁应该关注信息安全治理，关注什么？

发布时间：2011年07月05日点击数： 作者：孙强、孟秀转 来源：ITGov中国IT治理研究中心

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:
信息安全经常被看作只是一个技术问题，很少有组织认为其是组织必需的并优先考虑它。所以，治理和管理安全提升的责任被限制在技术负责人。但是现在信息安全越来越成为业务成功的关键因素。组织最高管理层（董事会）和执行管理层（如 CIO）越来越重视信息安全工作，他们关注的核心是安全性将如何帮助组织达到业务目标或创造新的战略竞争机遇，而不仅仅是具体的技术环节。从安全性角度而言，高层关注的目标包括以下几方面：

信息安全经常被看作只是一个技术问题，很少有组织认为其是组织必需的并优先考虑它。所以，治理和管理安全提升的责任被限制在技术负责人。但是现在信息安全越来越成为业务成功的关键因素。组织最高管理层（董事会）和执行管理层（如 CIO）越来越重视信息安全工作，他们关注的核心是安全性将如何帮助组织达到业务目标或创造新的战略竞争机遇，而不仅仅是具体的技术环节。从安全性角度而言，高层关注的目标包括以下几方面：

商务运作中断：由于攻击造成的停工会导致生产率降低和收入损失，而与恢复受攻击的网络相关的花费又会增加处理攻击事件的总体财务成本。一旦受到攻击，企业通常会部署解决团队来帮助客户、员工以及合作伙伴尽快恢复业务。在修复之前，不仅业务会停顿，而且解决团队疲于应对，无法进行其日常工作，这些都造成了生产率的极大损失。

法律责任和潜在诉讼：受到攻击的企业可能需要作为被告或关键证人出庭。要求遵守隐私和安全性法规的企业（如金融机构）可能需要证明其为将网络攻击的威胁降至最小而付出的艰辛努力。这一过程将极大地消耗员工的工作效率和企业的现金流。

 竞争力下降：信息通常被认为是企业最宝贵的资产（70% 或更多公司的价值在于其知识产权资产)，这部分数据的损失或被窃可能造成严重后果，甚至会威胁企业在市场中的地位。根据 2002 CSI/FBI 计算机犯罪与安全调查的调查结果，由于安全性被破坏而导致的最为严重的财务损失包括所有权信息的被窃(26个被访者报告的损失超过$170,000,000)。

品牌资产被损害：对企业品牌的损害可能会有多种形式，但每种形式都会降低企业在市场中的地位。例如，如果企业的客户数据（如信用卡信息）被窃并被公布到其他 Web 站点上，该企业可能会陷入难以使客户对其品牌恢复信任的困境。

高层管理者有责任思考这些问题，最高管理层（董事会）也将被希望让信息安全成为IT治理固有的一部分，最好与IT治理过程集成。

在这点上，IT治理委员会和执行管理层将对以下几个方面进行评审：

现在和未来投资于信息技术的规模和费用；

技术显著改变组织和商业运作，创造新的机会，和降低成本的潜力；
同时，他们也应该考虑由此导致的后果：

更加依赖信息、系统和传送信息的通讯系统；

对企业无法直接控制的外部组织的依赖；

由于IT故障对企业声誉和价值的影响；

为了有效进行公司治理和IT治理，最高管理层（董事会）和执行管理层必须对应从企业的信息安全治理所抱的期望有一个清晰的了解。他们必须知道怎样实施信息安全治理，怎样评价其在安全治理过程中的恰当身份，和怎样确定所需的安全程序。

鉴于安全从来就不是一种非黑即白的概念，其背景关系远比技术更重要。因此，管理好信息安全需要最高管理层（董事会）、管理执行层和业务流程所有者的更多参与；贯彻好信息安全需要信息系统审计师、安全专家、技术和业务等各方面的专家，所有相关各方应参与这个过程。