您现在的位置:ITGov-IT治理研究中心>> 研究>> 信息安全管理>>正文内容
最高管理层(董事会)和管理执行层应该做些什么?
发布时间:2011年07月05日点击数: 作者:孙强、孟秀转 来源:ITGov中国IT治理研究中心
【字体: 收藏 打印文章 查看评论( 0 )】
摘要:
今年的9月17日,美国联邦政府公布了由关键基础设施委员会(CIPB)制订的保障网络安全计划——《国家保障网络安全策略》。根据该计划,美国政府将在网络安全中发挥主导作用,同时会要求所有用户采取措施,但没有通过加强立法强制采取行动。

今年的9月17日,美国联邦政府公布了由关键基础设施委员会(CIPB)制订的保障网络安全计划——《国家保障网络安全策略》。根据该计划,美国政府将在网络安全中发挥主导作用,同时会要求所有用户采取措施,但没有通过加强立法强制采取行动。美国总统的网络安全特别顾问、CIPB主席Richard Clarke表示,安全策略不会成为静态的文件,而是将不断变化和更新,以适应环境的变化。这份计划显示,美国政府不会制订法律强制私有企业采取行动。但美国政府会在面临重大事故时寻求通过立法,以保护美国人民的健康、安全和幸福。根据这份65页的文件,政府应该首先采用安全的网络协议、对IT企业进行认证、扩大安全评估和政策工具的适用范围,并考虑安全与应急准备演习。该文件还要求上市公司发布经过独立审计的安全报告,建议公司成立公司安全委员会,选用多家IT企业的产品以降低风险。该文件要求一直是网络攻击温床的大学,与Internet服务提供商和执法机构建立24小时的联系。发电厂、水处理设施和其他部门应认真审核将系统与Internet连接的风险,并在两年内采取实施安全认证等措施。CIPB建议成立网络运营中心(NOC),由IT行业、计算机应急反应小组和信息共享与分析中心(ISAC)共同参与。

 根据我国的国情,我们认为有效的信息安全治理需要最高管理层(董事会)和管理执行层:

 理解信息安全治理的必要性

 风险和威胁真实存在并有可能给组织造成重大影响;

 有效的信息安全需要上层管理者到下层员工一致的、统一的行动;

 IT投资额巨大但容易投向错误方向;

 文化和组织因素同等重要;

 必须建立并执行准则和优先级;

 必须向电子交易对方证实自己的信用;

 需要向与系统有利害关系的各方证实系统安全的可靠性;

 安全事故可能暴露于公众;

 可能导致相当大的对公司声誉的损害。

 确保根据IT治理框架进行信息安全治理

随着与黑客相关的非法侵入和损失、计算机病毒和其它的以因特网为基础的威胁之类报道的频繁出现,组织的利益相关者开始关心与信息安全相关的风险、管理规定和投资。这使信息安全治理成为组织管理执行层和最高管理层(董事会)必须经常关注的工作。

有效的安全防卫不仅是技术问题,它也是一个管理问题。管理相关的风险必须考虑公司文化、管理者的安全意识和行为,同时,负责治理的各方共享信息对成功的安全治理也极为重要。

信息安全管理,像其它控制和管理活动一样,是一种转移风险的方法,因此,它应该与公司治理协调一致。事实上,IT治理本身正形成一个独立的分支,成为公司治理必不可少的一部分,它的目标是保证:

 IT与商业紧密相连,实现商业目标,最大化商业收益;

 IT资源被可靠地使用;

 正确管理与IT相关的风险。

在IT治理中,信息安全治理受到密切的关注,特别是信息完整性、持续服务和信息资产保护几个方面。

长期以来,信息安全被看作消极因素,不产生价值。然而,全球网络的出现和企业传统边界地延伸,使其成为价值和机会的创造者,特别在提升IT利益各方的信任感方面。
因此,信息安全治理必将成为IT治理的一个重要且必不可少的部分,忽略信息安全治理将使IT价值的创造无法持久。

采取最高管理层(董事会)级的行动

 及时了解信息安全状况;

 确定方向,驱动方针和战略,定义全局风险概况;

 提供进行信息安全治理所需的资源;

 赋予管理者以责任;

 确定优先级;

 支持变革;

 定义有关风险意识的文化价值;

 获得内部和外部审计师的保证;

 要求管理层进行信息安全方面的投资,确定可测量的安全提升措施,并监督和报

告其执行效果。

采取管理执行层级的行动

 编制信息安全方针政策;(制定方针政策);

 确保每个人清楚知道并了解各自的角色、责任和权力。这对有效的安全是必要的;(角色与责任)

 识别威胁,分析弱点和适度关注本行业的惯例;

 建立安全基础设施;

 在公司治理委员会批准,确定相关角色和赋予责任后,开发安全和控制框架。该框架由标准、评测措施、实务和规程组成;(设计)

 决定可用的资源,对可能的对策排序,实施组织可以承受的最优先的对策。及时实施并维护解决方案;(实施)

 建立评估措施,查明安全隐患并纠正它们;做到及时发现、审查所有已存在的或被怀疑的不安全之处并按规定处理它们;确保采取的行动符合政策、标准和可接受的最低的安全级别;(控制)

 定期评审和测试;

 实施入侵检测和突发事故演习;

 宣贯保护信息的必要性,提供安全运作信息系统所需技巧的培训,对安全事故的快速反应。安全评测和实务方面的教育对组织安全程序的成功特别重要;(宣贯,培训和教育)

 确保安全被作为系统开发生命周期过程必不可少的一部分考虑,并在这个过程的每个阶段明确考虑安全问题。

分享到:
点击按钮自动加关注代码——新浪微博 点击这里给我发消息
相关文章
    没有关键字相关信息!
推荐文章
订阅
  关于ITGov | 联系ITGov | 收藏本站 | 服务条款 | 隐私保护 | 人员招聘 | 网站地图

京ICP备06004481号   Copyright 2002 - By ITGov.org.cn, All Rights Reserved

 

我要啦免费统计