将信息系统安全融入治理框架
发布时间:2006年03月21日点击数:
作者:王东红 来源:本站原创
信息系统安全经过了一段艰难的发展期,它的价值定位曾模糊不清。在发展的初期,厂商和业务人员并不重视信息系统的安全性,因此,信息系统的固有风险、应用系统和操作系统的不安全特性、信息系统的非法访问、互联网入侵等引发了许多安全威胁,给各类组织造成了很大损失,专家们只是注重从技术层面来关注资产的保护。
“三分技术,七分管理”,这已经成信息安全界的定论。信息系统安全,就是对信息系统的固有风险和控制风险进行评价与管理,并与企业风险管理相融合。因此,信息系统安全价值定位包括两部分:业务目标的实现和资产保护。信息系统安全涉及到人、流程和技术问题,所以,安全问题要整合到企业风险管理框架中,并且覆盖到整个企业。
治理框架是建立公司模型的正式方法,这种公司模型设定并交付业务战略、绩效衡量、风险管理以及道德标准下的公司文化。为了有效地将信息系统安全整合到治理框架中,信息系统安全必须与业务战略相一致。因此,在业务与信息系统战略下,信任环境的维持、为客户和供应商提供安全的渠道、保持核心业务流程的可用性和完整性,以及保护企业的基础设施等这些新出现的需求都要被满足。安全管理者还要能够及时地满足业务发展的需求。
与信息系统安全战略并存的是,要对角色与职责进行明确的定义。成功的安全战略能够清晰地描述业务负责人和技术支持人员的职责及相互作用。例如:客户数据库的业务负责人可能属于销售或市场部门,但是确保这些敏感信息的安全则可能是IT部门的责任。在这种情况下,IT操作中,关键参数的设定要与业务负责人进行交流沟通,并且IT部门要定期向业务或市场部门报告他们的管理情况。
如果没有有效的流程驱动策略的执行及符合,策略本身是毫无价值的。流程需要相应的知识和人员的支持来维持。安全问题常常是由流程的缺乏和人员问题引起的。流程必须在符合策略的前提下建立并维持。员工的安全意识必须植根于企业文化,并且富有弹性,在安全需求变化的同时也随之变化。安全意识和责任必须灌输于正式职员以及有信息访问权的外部或临时人员。
因此,与非技术性利益相关者的交流沟通是非常重要的,沟通要涉及安全目标、策略、流程。
目前,随着国内外规范要求的不断变化,信息系统安全正逐步走入正轨。建设以ISO17799为主的信息安全管理体系正在成为一种趋势。信息安全管理体系通过系统化、规范化的方法来评价并建立一整套涵盖人、硬件、软件、数据、文档等的管理体系,以改善组织的信息安全风险管理与内部控制,通过内在的机制实现持续改进和精细化管理。
信息安全管理体系,还可以提供一个框架来评估信息安全投资回报率,主要涵盖人员、流程、技术三方面,以促进业务目标的实现和资产的保护。
由此可见,信息系统安全是公司治理和IT治理的重要组成部分。构建良好的信息安全管理体系,将其作为一种有效的管理机制与制度安排,融入公司的治理架构,必将直接推动中国企业国际竞争力的提升。点击按钮自动加关注代码——新浪微博
“三分技术,七分管理”,这已经成信息安全界的定论。信息系统安全,就是对信息系统的固有风险和控制风险进行评价与管理,并与企业风险管理相融合。因此,信息系统安全价值定位包括两部分:业务目标的实现和资产保护。信息系统安全涉及到人、流程和技术问题,所以,安全问题要整合到企业风险管理框架中,并且覆盖到整个企业。
治理框架是建立公司模型的正式方法,这种公司模型设定并交付业务战略、绩效衡量、风险管理以及道德标准下的公司文化。为了有效地将信息系统安全整合到治理框架中,信息系统安全必须与业务战略相一致。因此,在业务与信息系统战略下,信任环境的维持、为客户和供应商提供安全的渠道、保持核心业务流程的可用性和完整性,以及保护企业的基础设施等这些新出现的需求都要被满足。安全管理者还要能够及时地满足业务发展的需求。
与信息系统安全战略并存的是,要对角色与职责进行明确的定义。成功的安全战略能够清晰地描述业务负责人和技术支持人员的职责及相互作用。例如:客户数据库的业务负责人可能属于销售或市场部门,但是确保这些敏感信息的安全则可能是IT部门的责任。在这种情况下,IT操作中,关键参数的设定要与业务负责人进行交流沟通,并且IT部门要定期向业务或市场部门报告他们的管理情况。
如果没有有效的流程驱动策略的执行及符合,策略本身是毫无价值的。流程需要相应的知识和人员的支持来维持。安全问题常常是由流程的缺乏和人员问题引起的。流程必须在符合策略的前提下建立并维持。员工的安全意识必须植根于企业文化,并且富有弹性,在安全需求变化的同时也随之变化。安全意识和责任必须灌输于正式职员以及有信息访问权的外部或临时人员。
因此,与非技术性利益相关者的交流沟通是非常重要的,沟通要涉及安全目标、策略、流程。
目前,随着国内外规范要求的不断变化,信息系统安全正逐步走入正轨。建设以ISO17799为主的信息安全管理体系正在成为一种趋势。信息安全管理体系通过系统化、规范化的方法来评价并建立一整套涵盖人、硬件、软件、数据、文档等的管理体系,以改善组织的信息安全风险管理与内部控制,通过内在的机制实现持续改进和精细化管理。
信息安全管理体系,还可以提供一个框架来评估信息安全投资回报率,主要涵盖人员、流程、技术三方面,以促进业务目标的实现和资产的保护。
由此可见,信息系统安全是公司治理和IT治理的重要组成部分。构建良好的信息安全管理体系,将其作为一种有效的管理机制与制度安排,融入公司的治理架构,必将直接推动中国企业国际竞争力的提升。
上一篇:关于外包的十大建议
推荐专题
订阅
治理评论
- 治理评论第一期[01-20]
- 治理评论第六期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
