今年的9月17日,美国联邦政府公布了由关键基础设施委员会(CIPB)制订的保障网络安全计划——《国家保障网络安全策略》。根据该计划,美国政府将在网络安全中发挥主导作用,同时会要求所有用户采取措施,但没有通过加强立法强制采取行动。
今年的9月17日,美国联邦政府公布了由关键基础设施委员会(CIPB)制订的保障网络安全计划——《国家保障网络安全策略》。根据该计划,美国政府将在网络安全中发挥主导作用,同时会要求所有用户采取措施,但没有通过加强立法强制采取行动。美国总统的网络安全特别顾问、CIPB主席Richard Clarke表示,安全策略不会成为静态的文件,而是将不断变化和更新,以适应环境的变化。这份计划显示,美国政府不会制订法律强制私有企业采取行动。但美国政府会在面临重大事故时寻求通过立法,以保护美国人民的健康、安全和幸福。根据这份65页的文件,政府应该首先采用安全的网络协议、对IT企业进行认证、扩大安全评估和政策工具的适用范围,并考虑安全与应急准备演习。该文件还要求上市公司发布经过独立审计的安全报告,建议公司成立公司安全委员会,选用多家IT企业的产品以降低风险。该文件要求一直是网络攻击温床的大学,与Internet服务提供商和执法机构建立24小时的联系。发电厂、水处理设施和其他部门应认真审核将系统与Internet连接的风险,并在两年内采取实施安全认证等措施。CIPB建议成立网络运营中心(NOC),由IT行业、计算机应急反应小组和信息共享与分析中心(ISAC)共同参与。
根据我国的国情,我们认为有效的信息安全治理需要最高管理层(董事会)和管理执行层:
理解信息安全治理的必要性
风险和威胁真实存在并有可能给组织造成重大影响;
有效的信息安全需要上层管理者到下层员工一致的、统一的行动;
IT投资额巨大但容易投向错误方向;
文化和组织因素同等重要;
必须建立并执行准则和优先级;
必须向电子交易对方证实自己的信用;
需要向与系统有利害关系的各方证实系统安全的可靠性;
安全事故可能暴露于公众;
可能导致相当大的对公司声誉的损害。
确保根据IT治理框架进行信息安全治理
随着与黑客相关的非法侵入和损失、计算机病毒和其它的以因特网为基础的威胁之类报道的频繁出现,组织的利益相关者开始关心与信息安全相关的风险、管理规定和投资。这使信息安全治理成为组织管理执行层和最高管理层(董事会)必须经常关注的工作。
有效的安全防卫不仅是技术问题,它也是一个管理问题。管理相关的风险必须考虑公司文化、管理者的安全意识和行为,同时,负责治理的各方共享信息对成功的安全治理也极为重要。
信息安全管理,像其它控制和管理活动一样,是一种转移风险的方法,因此,它应该与公司治理协调一致。事实上,IT治理本身正形成一个独立的分支,成为公司治理必不可少的一部分,它的目标是保证:
IT与商业紧密相连,实现商业目标,最大化商业收益;
IT资源被可靠地使用;
正确管理与IT相关的风险。
在IT治理中,信息安全治理受到密切的关注,特别是信息完整性、持续服务和信息资产保护几个方面。
长期以来,信息安全被看作消极因素,不产生价值。然而,全球网络的出现和企业传统边界地延伸,使其成为价值和机会的创造者,特别在提升IT利益各方的信任感方面。
因此,信息安全治理必将成为IT治理的一个重要且必不可少的部分,忽略信息安全治理将使IT价值的创造无法持久。
采取最高管理层(董事会)级的行动
及时了解信息安全状况;
确定方向,驱动方针和战略,定义全局风险概况;
提供进行信息安全治理所需的资源;
赋予管理者以责任;
确定优先级;
支持变革;
定义有关风险意识的文化价值;
获得内部和外部审计师的保证;
要求管理层进行信息安全方面的投资,确定可测量的安全提升措施,并监督和报
告其执行效果。
采取管理执行层级的行动
编制信息安全方针政策;(制定方针政策);
确保每个人清楚知道并了解各自的角色、责任和权力。这对有效的安全是必要的;(角色与责任)
识别威胁,分析弱点和适度关注本行业的惯例;
建立安全基础设施;
在公司治理委员会批准,确定相关角色和赋予责任后,开发安全和控制框架。该框架由标准、评测措施、实务和规程组成;(设计)
决定可用的资源,对可能的对策排序,实施组织可以承受的最优先的对策。及时实施并维护解决方案;(实施)
建立评估措施,查明安全隐患并纠正它们;做到及时发现、审查所有已存在的或被怀疑的不安全之处并按规定处理它们;确保采取的行动符合政策、标准和可接受的最低的安全级别;(控制)
定期评审和测试;
实施入侵检测和突发事故演习;
宣贯保护信息的必要性,提供安全运作信息系统所需技巧的培训,对安全事故的快速反应。安全评测和实务方面的教育对组织安全程序的成功特别重要;(宣贯,培训和教育)
确保安全被作为系统开发生命周期过程必不可少的一部分考虑,并在这个过程的每个阶段明确考虑安全问题。
-
没有关键字相关信息!
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]