浅议企业信息安全治理框架.doc

浅议企业信息安全治理框架.doc浅议企业信息安全治理框架
【摘 要】随着企业的信息化建设，企业信息安全在 持续、可靠和稳定运行中面临着巨大考验，因此企业急需开 展信息安全治理。论文从企业信息安全治理的实践出发，概 述了目前企业信息安全治理存在的问题和困惑，总结了企业 实现有效信息安全治理的关注领域和实施内容，为企业建立 良好的信息安全治理提供了基本框架。
［关键词】信息安全；安全治理；框架；风险管理
1引言
随着企业的信息化建设，企业信息系统在纵、横向的耦 合程度日益加深，系统间的联系也日益紧密，因此企业的信 息安全影响着企业信息系统的安全、持续、可靠和稳定运行。 此外，美国明尼苏达大学Bush-Kugel的研究报告指出企业 在没有信息资料可用的情况下，金融业至多只能运作2天， 商业则为3天，工业则为5天。而从经济情况来看，25%的 企业由于数据损毁可能随即破产，40%会在两年内破产，而 仅有7%不到的企业在5年后继续存活。伴随着监管机构对信 息安全日趋严格的要求，企业对信息安全的关注逐渐提高， 并对信息安全投入的资源不断增加，从而使得信息安全越来 越为公司高级管理层所关注。
2信息安全问题
目前企业信息安全问题主要包括几个方面。
信息质量底下：无用信息、有害信息或劣质信息 渗透到企业信息资源中，对信息资源的收集、开发和利用 造成干扰。
信息泄漏：网络信息泄漏和操作泄漏是目前企业 普遍存在的信息安全困扰。网络信息泄漏是信息在获取、存 储、使用或传播的时候被其他人非法取得的过程。而操作泄 漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行 为，从而使企业信息泄漏。
信息破坏：指内部员工或者外部人员制造和传播 恶意程序，破坏计算机内所存储的信息和程序，甚至破坏 计算机硬件。
信息侵权：指对信息产权的侵犯。现代信息技术 的发展和应用，导致了信息载体的变化、信息内容的扩展、 信息传递方式的增加，一方面实现了信息的全球共享，但 同时也带来了知识产权难以解决的纠纷。
3信息安全治理的困惑
基于信息安全的重要性，企业在信息安全治理方面投入 了诸多资源，但是在信息安全治理成效方面仍不尽如人意， 主要问题在于几个方面。
信息安全治理的范围不明确：目前企业都在尽力 实现良好的信息安全治理，但是由于无法正确理解信息安全 治理和信息安全管理的区别，导致了信息安全治理无法与企 业的安全规划和企业战略形成一致性。表1从工作内容、执 行主体和技术深度三个层面分析了两者的区别。
从表1中可以明确：信息安全治理是为组织机构的信息 安全定义一个战略性的框架，指明了具体安全管理工作的目 标和权责范围，使信息系统安全专业人员能够准确地按照企 业高层管理人员的要求开展工作。
企业信息安全治理路径的错误理解：企业在信息 安全治理的过程中，最常用的手法是采用信息安全的技术措 施，如使用加密和防伪技术、认证技术、防病毒技术、防火 墙技术等方式来进行，但是往往企业投入很多，却没有达到 预想的效果，问题在于，信息安全治理并不单单是技术问题, 信息安全治理也包含了安全战略、风险管理、绩效评估、层 级报告以及职责明确等方面。
4信息安全治理关注的领域
战略一致性：信息安全治理需与企业的发展战略 和业务战略相一致，建立相互协作的解决方案。
价值交付：衡量信息安全治理价值交付的基准是 信息安全战