企業(yè)實現(xiàn)有效的信息安全治理之路

1 企業(yè)信息安全建設(shè)的困惑

    隨著我國信息產(chǎn)業(yè)持續(xù)高速發(fā)展，企業(yè)的信息化建設(shè)已經(jīng)進入到“建設(shè)應(yīng)用并重，著力深化應(yīng)用”的階段，企業(yè)內(nèi)部信息系統(tǒng)在縱向、橫向兩個方面耦合程度日益加深。系統(tǒng)問的相互聯(lián)系日益增強。為保障企業(yè)信息系統(tǒng)安全、持續(xù)、可靠、穩(wěn)定運行，企業(yè)在信息安全方面投入了很多資源，包括建立一定的安全管理規(guī)范、制度和流程，采取通用或?qū)Ｓ玫陌踩�防護技術(shù)和產(chǎn)品進行落實，等等。但是通常企業(yè)領(lǐng)導和信息安全主管還存在一系列的困惑，比如，企業(yè)在安全方面投入了較多的資源，但仍不時有安全的問題困擾。為什么付出了很多的資源代價。實施了安全管理卻沒有達到最初的安全管理目標?是因為技術(shù)層面上資金投入不夠，還是管理落實上難以實現(xiàn)，或者是公司層面上對信息安全風險理解得不透徹?做安全項目制定一大堆的制度，寫了一大堆的文檔，如何能真正地執(zhí)行下去?這都需要管理者深入思考。

2 企業(yè)信息安全建設(shè)存在的問題分析

    回顧我國企業(yè)信息化的發(fā)展，基本上是“從無到有，從有到精，從精到強”的過程，企業(yè)信息安全建設(shè)也是伴隨著信息化的建設(shè)開展的。但整體滯后。目前大多數(shù)企業(yè)的信息安全建設(shè)處于“零散實施，查缺補漏”的被動防御階段，在信息安全建設(shè)中存在安全管理規(guī)范、制度和流程無法落實，安全審計工作不成體系．缺少有效的內(nèi)控機制，沒有形成管控測評制度及測評指標體系，企業(yè)很難及時對公司整體信息安全現(xiàn)狀作出準確評估，安全防護更多來自被動的事件驅(qū)動，缺少信息安全標準、信息安全事件知識庫，缺少對流程的梳理與固化，服務(wù)響應(yīng)速度不可控。信息運行工作量化的可視度低，企業(yè)安全管理所涉及的制度、規(guī)范不健全等諸多問題。

    仔細分析上述問題，其中一個重要原因是因為企業(yè)的管理者沒有正確理解什么是信息安全治理，以及信息安全治理與信息安全管理的主要區(qū)別。實際上，兩者在工作內(nèi)容、執(zhí)行主體和技術(shù)深度3個層面有著本質(zhì)的區(qū)別，如表1所示。

表1企業(yè)信息安全治理與信息安全管理的區(qū)別

    從表1中可以看出，信息安全治理是為組織的信息安全運行定義了一個戰(zhàn)略性的框架，指明了具體安全管理工作的目標和權(quán)責范圍，使信息系統(tǒng)安全專業(yè)人員能夠準確地按照組織高層領(lǐng)導的要求開展工作。企業(yè)進行信息安全治理可以帶來以下好處：

    (1)降低安全風險。滿足行業(yè)合規(guī)性政策強制要求。提升控制和管理能力，阻止安全威脅，避免非法滲透，實現(xiàn)有效的風險管理，降低業(yè)務(wù)損失。

    (2)降低管理復(fù)雜度。降低信息基礎(chǔ)架構(gòu)和業(yè)務(wù)應(yīng)用系統(tǒng)的安全管理復(fù)雜度，提高企業(yè)安全管理效率，支持業(yè)務(wù)未來發(fā)展。

    (3)減少費用。減少信息運維費用，減少信息安全重復(fù)投資；降低企業(yè)信息總所有成本(TC0)，提高企業(yè)競爭力。

    所以企業(yè)要想解決信息安全建設(shè)中存在的種種問題，必須開展有效的信息安全治理工作。

3 企業(yè)信息安全治理目標

    信息安全治理是將被動的事件驅(qū)動型管理模式轉(zhuǎn)變?yōu)橹鲃拥娘L險管控模式，主動地對威脅和風險進行評估。主動地采取風險處置措施。通過資源的調(diào)控實現(xiàn)對信息安全工作的調(diào)控。在信息安全治理過程中大量借鑒管理學方法，通過PDCA環(huán)，進行動態(tài)的控制和治理，全過程強調(diào)測評和監(jiān)控，通過治理的流程控制措施進行資源的調(diào)配，實現(xiàn)對關(guān)鍵項目、關(guān)鍵技術(shù)、關(guān)鍵措施的扶持。對非關(guān)鍵活動的控制，確保安全項目按規(guī)劃要求進行實施和交付。企業(yè)開展有效的信息安全治理必須實現(xiàn)以下幾個目標：

    (1)戰(zhàn)略一致。實現(xiàn)在信息安全計劃與組織整體規(guī)劃和業(yè)務(wù)計劃之間建立關(guān)聯(lián)，實現(xiàn)合理的描述并確認信息價值。

    (2)價值交付。實現(xiàn)提供信息安全承諾，降低安全管理組織成本。提高業(yè)務(wù)可靠性和穩(wěn)定性。

    (3)資源管理。實現(xiàn)對支持信息運行的關(guān)鍵資源進行最優(yōu)化投資和最佳管理。

    (4)風險管理。實現(xiàn)企業(yè)人員具備足夠的風險意識。能夠充分理解組織面臨的主要風險，并在組織結(jié)構(gòu)設(shè)計中劃分和明確指派風險責任。

    (5)績效度量。實現(xiàn)科學地對信息運行的戰(zhàn)略目標實現(xiàn)程度、信息資源的使用情況、信息過程的執(zhí)行情況以及信息服務(wù)的交付效果進行跟蹤和監(jiān)控。

4 企業(yè)信息安全治理的方案

    企業(yè)信息安全治理的總體思路是：從企業(yè)發(fā)展戰(zhàn)略和統(tǒng)一的信息安全體系需求出發(fā)，結(jié)合信息安全治理標準及實踐，制定安全政策，明確角色與責任，確保相關(guān)人員清楚知道和理餌各自的角色、責任和權(quán)力。開發(fā)及實篪由標準、評測措施、實務(wù)和規(guī)程組成的安全治理規(guī)范，建立控制措施，查明安全隱患，并確保其得到改正。開展全員安全文化教育和安全意識的養(yǎng)成，宣貫保護信息的必要性，提供安全運作信息系統(tǒng)所需技巧的教育培訓。

    企業(yè)開展信息安全治理主要從信息安全管理控制、信息安全運行控制，信息安全合規(guī)管理和信息安全風險管理4個方面開展，實現(xiàn)企業(yè)以業(yè)務(wù)為關(guān)注焦點的協(xié)同工作，為管理者提供更好的信息管理視角，形成基于流程導向的清晰的所有者關(guān)系及職責，形成被第三方監(jiān)管機構(gòu)認可的基于通用語言，被所有的利益相關(guān)方所理解的總體信息安全治理。

    從圖l可以看出。企業(yè)信息安全治理的過程通過信息安全管理控制設(shè)定目標和制定策略，通過信息安全運行控制對安全事件、制度、流程有效監(jiān)控，確保信息服務(wù)的客戶、服務(wù)評估標準滿足業(yè)務(wù)需求，利用合規(guī)檢查與改善加強信息安全的合規(guī)管理，通過風險評估的識別與應(yīng)對處置加強信息安全風險管理，PDCA貫穿治理的各個環(huán)節(jié)。形成動態(tài)有效的安全治理模型。

圖1安全治理模型

5 企業(yè)信息安全治理實施路線

    考慮到企業(yè)信息安全治理的復(fù)雜程度和關(guān)聯(lián)問題等，信息安全治理工作要分步走。采用標準先行，試點建設(shè)。完善體系和深化應(yīng)用的階段演進實施路線。標準先行階段主要是通過對國際信息治理，信息安全管理、運維、風險、內(nèi)控審計等相關(guān)的標準進行深入研究。結(jié)合企業(yè)業(yè)務(wù)發(fā)展對信息安全管理的需求進行梳理，形成企業(yè)信息安全治理管控標準。試點建設(shè)階段將國際標準和最佳時間研究后形成的信息安全治理體系中的思路、方法、方案等成果通過試點單位的應(yīng)用和反饋逐步向全企業(yè)推廣。體系完善階段通過建設(shè)的實踐經(jīng)驗。對現(xiàn)有管控措施查漏補缺，通過規(guī)范制度，優(yōu)化流程、落實責任、提升效率逐步形成信息安全治理體系。深化應(yīng)用階段實現(xiàn)流程間的有效集成和融合，利用平臺工具進行流程固化，通過平臺改進和專項系統(tǒng)建設(shè)提升治理工作效率。

    企業(yè)信息安全治理的實施路線如圖2所示。整個實施路線從信息安全治理建設(shè)階段和治理內(nèi)容兩個方面進行分析。

圖2信息安全治理實施路線圖

    5.1信息安全管理控制實施

    對于企業(yè)信息安全管理控制的實施，主要從安全管控策略、安全審計、安全測評和安全內(nèi)控4個方面進行。對于安全管控策略首先要梳理、制定信息安全策略體系并將安全策略體系電子化實現(xiàn)，通過定期評估和策略調(diào)整對體系進行完善。對于安全審計要設(shè)計審核列表、計劃和方案，并定期實施安全審計，出具審計報告。對于安全測評要建立測評模型，確定提升目標，要識別企業(yè)的CSF/KGI/KPI等關(guān)鍵指標，定期實施安全管控測評。對于安全內(nèi)控要制定內(nèi)控目標、計劃和方案，統(tǒng)一內(nèi)控流程和內(nèi)控文檔，定期開展內(nèi)控流程;最終要將安全審計、測評和內(nèi)控的整改活動納人到安全管控的流程管理中，并將安全管控的指標、數(shù)據(jù)進行智能分析和可視化展現(xiàn)。

    5.2信息安全運行控制實施

    對于企業(yè)信息安全運行控制的實施，主要從運行監(jiān)控、流程管理、運行職責管理和運行質(zhì)量管理4個方面進行。運行監(jiān)控要結(jié)合企業(yè)業(yè)務(wù)數(shù)據(jù)的特點進行監(jiān)控指標的設(shè)計，監(jiān)控平臺和流程報表的建立。在流程管理中，企業(yè)要梳理現(xiàn)有的安全流程進行差距分析，并開展統(tǒng)一的運行流程設(shè)計。在運行職責管理中，重點要完成運行職責的設(shè)計，并將運行安全流程執(zhí)行和推廣，將流程平臺化和固化。在運行質(zhì)量管理，企業(yè)要建立安全檢測系統(tǒng)和質(zhì)量管理系統(tǒng)，將運行質(zhì)量管理固化。

    5.3信息安全合規(guī)管理實施

    信息安全合規(guī)管理是企業(yè)健康發(fā)展的關(guān)鍵，企業(yè)首先要對國家法律、法規(guī)，行業(yè)規(guī)范，企業(yè)內(nèi)部制度、手冊進行收集、梳理和分析，建立企業(yè)的合規(guī)知識庫，并要不斷進行維護。

    5.4信息安全風險控制實施

    企業(yè)對于信息安全風險的實施要首先對企業(yè)進行風險管理差距分析，建立風險管理標準，并有針對性的進行風險評估方案設(shè)計，風險處置方案設(shè)計和風險管理制度設(shè)計。要定期開展風險評估、風險處置和風險控制活動，并強整改活動納人統(tǒng)一的流程管理。

    企業(yè)信息安全治理是一個長期的系統(tǒng)工程，實施路線要適應(yīng)企業(yè)戰(zhàn)略和發(fā)展需要，確保信息安全相關(guān)管理措施和技術(shù)手段適應(yīng)企業(yè)的目標和文化，并與之協(xié)調(diào)一致。要準確把握當前和未來一定時期內(nèi)信息系統(tǒng)所面臨的威脅和風險，用適當?shù)耐度擞行Ч芸厮�有的威脅和風險。企業(yè)信息安全治理以企業(yè)運行流程為依托，結(jié)合信息安全管控點，將管控流程與組織機構(gòu)相對應(yīng)。確保企業(yè)信息安全知識庫、架構(gòu)、平臺和工具有效使用，測量、監(jiān)控和審計管控手段和流程，確保安全管控的目標完成和實現(xiàn)。最終通過適當安全投人，有效的安全項目的實施和交付，確保企業(yè)業(yè)務(wù)發(fā)展的目標實現(xiàn)。

6 結(jié)論

    本文通過對企業(yè)信息安全治理體系的研究和大量企業(yè)治理體系的實施，總結(jié)出了實現(xiàn)企業(yè)有效信息安全治理的方法論和最佳實踐，即企業(yè)信息安全治理可以通過從信息安全管理控制、信息安全運行控制、安全合規(guī)管理和安全風險控制4個方面分階段開展工作，通過企業(yè)領(lǐng)導的大力支持，輔以管控決策支持平臺、運控流程平臺、合規(guī)知識庫和風險管控流程等相關(guān)流程與工具，結(jié)合定期全面的審計工作，企業(yè)的信息安全建設(shè)有望見到成效。    

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.hanmeixuan.com/

本文標題：企業(yè)實現(xiàn)有效的信息安全治理之路

本文網(wǎng)址：http://www.hanmeixuan.com/html/support/1112188181.html