最高管理层（董事会）和管理执行层应该做些什么？

发布时间：2011年07月05日点击数： 作者：孙强、孟秀转 来源：ITGov中国IT治理研究中心

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:
今年的9月17日，美国联邦政府公布了由关键基础设施委员会（CIPB）制订的保障网络安全计划——《国家保障网络安全策略》。根据该计划，美国政府将在网络安全中发挥主导作用，同时会要求所有用户采取措施，但没有通过加强立法强制采取行动。

今年的9月17日，美国联邦政府公布了由关键基础设施委员会（CIPB）制订的保障网络安全计划——《国家保障网络安全策略》。根据该计划，美国政府将在网络安全中发挥主导作用，同时会要求所有用户采取措施，但没有通过加强立法强制采取行动。美国总统的网络安全特别顾问、CIPB主席Richard Clarke表示，安全策略不会成为静态的文件，而是将不断变化和更新，以适应环境的变化。这份计划显示，美国政府不会制订法律强制私有企业采取行动。但美国政府会在面临重大事故时寻求通过立法，以保护美国人民的健康、安全和幸福。根据这份65页的文件，政府应该首先采用安全的网络协议、对IT企业进行认证、扩大安全评估和政策工具的适用范围，并考虑安全与应急准备演习。该文件还要求上市公司发布经过独立审计的安全报告，建议公司成立公司安全委员会，选用多家IT企业的产品以降低风险。该文件要求一直是网络攻击温床的大学，与Internet服务提供商和执法机构建立24小时的联系。发电厂、水处理设施和其他部门应认真审核将系统与Internet连接的风险，并在两年内采取实施安全认证等措施。CIPB建议成立网络运营中心（NOC），由IT行业、计算机应急反应小组和信息共享与分析中心（ISAC）共同参与。

 根据我国的国情，我们认为有效的信息安全治理需要最高管理层（董事会）和管理执行层：

 理解信息安全治理的必要性

 风险和威胁真实存在并有可能给组织造成重大影响；

 有效的信息安全需要上层管理者到下层员工一致的、统一的行动；

 IT投资额巨大但容易投向错误方向；

 文化和组织因素同等重要；

 必须建立并执行准则和优先级；

 必须向电子交易对方证实自己的信用；

 需要向与系统有利害关系的各方证实系统安全的可靠性；

 安全事故可能暴露于公众；

 可能导致相当大的对公司声誉的损害。

 确保根据IT治理框架进行信息安全治理

随着与黑客相关的非法侵入和损失、计算机病毒和其它的以因特网为基础的威胁之类报道的频繁出现，组织的利益相关者开始关心与信息安全相关的风险、管理规定和投资。这使信息安全治理成为组织管理执行层和最高管理层（董事会）必须经常关注的工作。

有效的安全防卫不仅是技术问题，它也是一个管理问题。管理相关的风险必须考虑公司文化、管理者的安全意识和行为，同时，负责治理的各方共享信息对成功的安全治理也极为重要。

信息安全管理，像其它控制和管理活动一样，是一种转移风险的方法，因此，它应该与公司治理协调一致。事实上，IT治理本身正形成一个独立的分支，成为公司治理必不可少的一部分，它的目标是保证：

 IT与商业紧密相连，实现商业目标，最大化商业收益；

 IT资源被可靠地使用；

 正确管理与IT相关的风险。

在IT治理中，信息安全治理受到密切的关注，特别是信息完整性、持续服务和信息资产保护几个方面。

长期以来，信息安全被看作消极因素，不产生价值。然而，全球网络的出现和企业传统边界地延伸，使其成为价值和机会的创造者，特别在提升IT利益各方的信任感方面。
因此，信息安全治理必将成为IT治理的一个重要且必不可少的部分，忽略信息安全治理将使IT价值的创造无法持久。

采取最高管理层（董事会）级的行动

 及时了解信息安全状况；

 确定方向，驱动方针和战略，定义全局风险概况；

 提供进行信息安全治理所需的资源；

 赋予管理者以责任；

 确定优先级；

 支持变革；

 定义有关风险意识的文化价值；

 获得内部和外部审计师的保证；

 要求管理层进行信息安全方面的投资，确定可测量的安全提升措施，并监督和报

告其执行效果。

采取管理执行层级的行动

 编制信息安全方针政策；（制定方针政策）；

 确保每个人清楚知道并了解各自的角色、责任和权力。这对有效的安全是必要的；（角色与责任）

 识别威胁，分析弱点和适度关注本行业的惯例；

 建立安全基础设施；

 在公司治理委员会批准，确定相关角色和赋予责任后，开发安全和控制框架。该框架由标准、评测措施、实务和规程组成；（设计）

 决定可用的资源，对可能的对策排序，实施组织可以承受的最优先的对策。及时实施并维护解决方案；（实施）

 建立评估措施，查明安全隐患并纠正它们；做到及时发现、审查所有已存在的或被怀疑的不安全之处并按规定处理它们；确保采取的行动符合政策、标准和可接受的最低的安全级别；（控制）

 定期评审和测试；

 实施入侵检测和突发事故演习；

 宣贯保护信息的必要性，提供安全运作信息系统所需技巧的培训，对安全事故的快速反应。安全评测和实务方面的教育对组织安全程序的成功特别重要；（宣贯，培训和教育）

 确保安全被作为系统开发生命周期过程必不可少的一部分考虑，并在这个过程的每个阶段明确考虑安全问题。