企業(yè)信息安全治理框架論文

　　企業(yè)信息安全治理框架論文

　　【 摘 要 】 隨著(zhù)企業(yè)的信息化建設，企業(yè)信息安全在持續、可靠和穩定運行中面臨著(zhù)巨大考驗，因此企業(yè)急需開(kāi)展信息安全治理。

　　論文從企業(yè)信息安全治理的實(shí)踐出發(fā)，概述了目前企業(yè)信息安全治理存在的問(wèn)題和困惑，總結了企業(yè)實(shí)現有效信息安全治理的關(guān)注領(lǐng)域和實(shí)施內容，為企業(yè)建立良好的信息安全治理提供了基本框架。

　　【 關(guān)鍵詞 】 信息安全;安全治理;框架;風(fēng)險管理

　　1 引言

　　隨著(zhù)企業(yè)的信息化建設，企業(yè)信息系統在縱、橫向的耦合程度日益加深，系統間的聯(lián)系也日益緊密，因此企業(yè)的信息安全影響著(zhù)企業(yè)信息系統的安全、持續、可靠和穩定運行。

　　此外，美國明尼蘇達大學(xué)Bush-Kugel的研究報告指出企業(yè)在沒(méi)有信息資料可用的情況下，金融業(yè)至多只能運作2天，商業(yè)則為3天，工業(yè)則為5天。

　　而從經(jīng)濟情況來(lái)看，25%的企業(yè)由于數據損毀可能隨即破產(chǎn)，40%會(huì )在兩年內破產(chǎn)，而僅有7%不到的企業(yè)在5年后繼續存活。

　　伴隨著(zhù)監管機構對信息安全日趨嚴格的要求，企業(yè)對信息安全的關(guān)注逐漸提高，并對信息安全投入的資源不斷增加，從而使得信息安全越來(lái)越為公司高級管理層所關(guān)注。

　　2 信息安全問(wèn)題

　　目前企業(yè)信息安全問(wèn)題主要包括幾個(gè)方面。

　　(1)信息質(zhì)量底下：無(wú)用信息、有害信息或劣質(zhì)信息滲透到企業(yè)信息資源中， 對信息資源的收集、開(kāi)發(fā)和利用造成干擾。

　　(2)信息泄漏：網(wǎng)絡(luò )信息泄漏和操作泄漏是目前企業(yè)普遍存在的信息安全困擾。

　　網(wǎng)絡(luò )信息泄漏是信息在獲取、存儲、使用或傳播的時(shí)候被其他人非法取得的過(guò)程。

　　而操作泄漏則是由于不正當操作或者未經(jīng)授權的訪(fǎng)問(wèn)、蓄意攻擊等行為，從而使企業(yè)信息泄漏。

　　(3)信息破壞：指內部員工或者外部人員制造和傳播惡意程序， 破壞計算機內所存儲的信息和程序， 甚至破壞計算機硬件。

　　(4)信息侵權：指對信息產(chǎn)權的侵犯。

　　現代信息技術(shù)的發(fā)展和應用， 導致了信息載體的變化、信息內容的擴展、信息傳遞方式的增加， 一方面實(shí)現了信息的全球共享， 但同時(shí)也帶來(lái)了知識產(chǎn)權難以解決的糾紛。

　　3 信息安全治理的困惑

　　基于信息安全的重要性，企業(yè)在信息安全治理方面投入了諸多資源，但是在信息安全治理成效方面仍不盡如人意，主要問(wèn)題在于幾個(gè)方面。

　　(1)信息安全治理的范圍不明確：目前企業(yè)都在盡力實(shí)現良好的信息安全治理，但是由于無(wú)法正確理解信息安全治理和信息安全管理的區別，導致了信息安全治理無(wú)法與企業(yè)的安全規劃和企業(yè)戰略形成一致性。

　　表1從工作內容、執行主體和技術(shù)深度三個(gè)層面分析了兩者的區別。

　　從表1中可以明確：信息安全治理是為組織機構的信息安全定義一個(gè)戰略性的框架，指明了具體安全管理工作的目標和權責范圍，使信息系統安全專(zhuān)業(yè)人員能夠準確地按照企業(yè)高層管理人員的要求開(kāi)展工作。

　　(2)企業(yè)信息安全治理路徑的錯誤理解：企業(yè)在信息安全治理的過(guò)程中，最常用的手法是采用信息安全的技術(shù)措施，如使用加密和防偽技術(shù)、認證技術(shù)、防病毒技術(shù)、防火墻技術(shù)等方式來(lái)進(jìn)行，但是往往企業(yè)投入很多，卻沒(méi)有達到預想的效果，問(wèn)題在于，信息安全治理并不單單是技術(shù)問(wèn)題，信息安全治理也包含了安全戰略、風(fēng)險管理、績(jì)效評估、層級報告以及職責明確等方面。

　　4 信息安全治理關(guān)注的領(lǐng)域

　　(1)戰略一致性：信息安全治理需與企業(yè)的發(fā)展戰略和業(yè)務(wù)戰略相一致，建立相互協(xié)作的解決方案。

　　(2)價(jià)值交付：衡量信息安全治理價(jià)值交付的基準是信息安全戰略能否按時(shí)、按質(zhì)并在預算內實(shí)現預期的價(jià)值目標。

　　因此需要設計明確的價(jià)值目標，對信息安全治理的交付價(jià)值進(jìn)行評估。

　　(3)資源管理：實(shí)現對支持信息運行的關(guān)鍵資源進(jìn)行最優(yōu)化投資和最佳管理。

　　(4)風(fēng)險管理：企業(yè)管理層應具備足夠的風(fēng)險意識，明確企業(yè)風(fēng)險容忍度，制定風(fēng)險管理策略，將風(fēng)險管理融入到企業(yè)的日常運營(yíng)中。

　　(5)績(jì)效度量：利用科學(xué)的管理方法，將信息安全治理轉換為可評價(jià)的目標的行動(dòng)，便于對信息安全各項工作的績(jì)效進(jìn)行有效管理。

　　5 信息安全治理框架

　　通過(guò)良好的信息安全治理， 可以保護企業(yè)的信息資產(chǎn)，避免遭受各種威脅，降低對企業(yè)之傷害，確保企業(yè)的永續經(jīng)營(yíng)，以及提升企業(yè)投資回報率及競爭優(yōu)勢。

　　通過(guò)長(cháng)期的實(shí)踐經(jīng)驗以及結合COBIT標準和GB/T 22080-2008<信息安全管理體系要求>，總結出信息安全治理的框架主要由四部分組成，如圖1所示。

　　(1)信息安全戰略：結合企業(yè)的整體信息技術(shù)戰略規劃和信息安全治理現狀，制定信息安全戰略。

　　(2)信息安全組織架構：根據企業(yè)層面在決策、管理和執行機制對組織結構的要求，建立信息安全治理框架和決策溝通機制，明確公司各級管理層及相關(guān)部門(mén)在信息安全組織架構中的工作職責與角色定位。

　　(3)信息安全職責：根據公司信息安全組織架構，進(jìn)一步明確信息安全相關(guān)崗位的工作職責、分工界面和匯報路徑等。

　　(4)信息安全管理制度：信息安全管理制度通過(guò)建立一個(gè)層次化的制度體系，針對不同的需求方(管理者、執行者、檢查者等)從政策、制度、流程、規范和記錄等方面進(jìn)行信息安全活動(dòng)相關(guān)的規定，實(shí)現信息安全的功能和管理目標。

　　6 信息安全治理評估

　　企業(yè)信息安全治理評估有助于提高信息安全治理投資的效益和效果。

　　企業(yè)的最高管理層和管理執行層可以使用信息安全治理成熟度模型建立企業(yè)的安全治理級別。

　　該模型，如表2所示，被應用為幾個(gè)方面。

　　(1)在市場(chǎng)環(huán)境中，相對于國際信息安全治理標準、行業(yè)最佳實(shí)踐，以及直接競爭對手，了解企業(yè)在信息安全治理上的級別。

　　(2)進(jìn)行差距分析，為改進(jìn)措施提供明確的路徑。

　　(3)了解企業(yè)的競爭優(yōu)勢和劣勢。

　　(4)有利于對信息安全治理進(jìn)行績(jì)效評估。

　　7 結束語(yǔ)

　　本文從企業(yè)信息安全治理的實(shí)踐出發(fā)，概述了目前企業(yè)信息安全治理存在的問(wèn)題和困惑，總結了企業(yè)實(shí)現有效的信息治理的關(guān)注領(lǐng)域和實(shí)施內容，為企業(yè)建立良好的信息安全治理提供了基本框架。

　　參考文獻

　　[1] 馬峰輝，劉壽強.企業(yè)信息安全治理的經(jīng)濟性探析.計算機安全，2003：70-71.

　　[2] 婁策群，范昊，王菲.現代信息技術(shù)環(huán)境中的信息安全問(wèn)題及其對策.中國圖書(shū)館學(xué)報，2000(11)：33-37.

　　[3] 劉金鎖，李筱煒，楊維永.企業(yè)實(shí)現有效的信息安全治理之路.中國管理信息化，2012(11)：37-39.

　　[4] 黃華軍，錢(qián)亮，王耀鈞.基于異常特征的釣魚(yú)網(wǎng)站URL檢測技術(shù)[J].信息網(wǎng)絡(luò )安全，2012，(01)：23-25.

　　[5] 黃世中.GF(2m)域SM2算法的實(shí)現與優(yōu)化[J].信息網(wǎng)絡(luò )安全，2012，(01)：36-39.

【企業(yè)信息安全治理框架論文】相關(guān)文章：

安全風(fēng)險隱患治理方案12-05

安全隱患治理方案09-08

消防安全治理方案12-02

安全隱患治理方案07-18

公司企業(yè)信息安全保密承諾書(shū)12-07

安全風(fēng)險隱患排查治理方案12-15

安全隱患排查治理方案10-17

安全隱患治理排查方案11-01

安全隱患排查治理方案08-21

安全風(fēng)險隱患排查治理方案09-18