信息安全治理与评估.docVIP

信息安全治理与评估 石鉴[1]，孙德钰[2]，张杰[3] 摘要：本文首先介绍信息化时代企业所面对的越来越严重的信息安全问题以及由此产生的企业信息安全治理问题，分析了信息安全治理、信息安全管理以及信息安全战略各自的含义及其相互关系，接着探讨了当前企业如何实施信息安全治理，最后对企业在实施信息安全治理过程中几种评估手段做了初步介绍。 关键词：信息安全管理；信息安全治理；绩效评估 Information Security Governance and Evaluation SHI Jian, SUN De-yu, ZHANG Jie Abstract: Issues on information security in enterprises and measures they should take are first discussed in this paper. Moreover, it is very important for enterprises to carry out IT security governance and set up strategy on information security. Different mechanism on IT security governance operates in giant enterprises to small ones. The IDEAL（TM） model can measure their performance. Finally，several methods on performance evaluation are introduced and discussed. Key words: IT security management, IT security governance， performance evaluation 现代化的企业组织都在信息技术的支撑下高效整合上下游系统，这样可极大增强企业获利能力和竞争力。目前的企业有逐渐扩大为企业集团或网络型企业组织之势，它们对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为企业管理越来越关键的一部分。目前业界普遍认为，信息安全是政府和企业必须携手面对的问题。政府和企业管理层有责任确保为所有使用者提供一个安全的信息系统环境，而且，政府部门和企业在认识到安全的信息系统好处的同时，应该自我保护以避免使用信息系统时的固有风险。在这种大环境下，怎样界定信息系统风险？信息安全问题会对企业带来什么样的影响？如何对信息安全风险进行有效的评估和治理？这些都是每一个企业管理者必须要考虑的问题。 一、信息安全问题分析 ISO/IEC 的IT 安全管理指南（GMITS，即ISO/IEC 13335）对信息（Information）的定义是：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。通常情况下，我们可以把信息理解为消息、信号、数据、情报和知识。针对企业而言，信息可以被认为是一种资产，例如商业机密、知识产权、规章制度、设计方案等等，都对企业具有重要价值，因此需要进行妥善保管。 对于信息安全，很多学者或组织都进行过定义。IBM公司将信息安全定义为“对信息资产的有意或意外情况下，未经授权的公开、修改、破坏或使失效等行为的保护”。Hutt（1995）认为“信息安全的威胁可分为：潜在的威胁、实体灾难、设备故障、软件故障、人员失误、资料误用及资料遗失等威胁”。Parker（1998）指出“信息安全就是对于有关个人或组织在使用所有关于言论、行为记录等的保护，以及保护信息的产生、处理、传递、存储、展示以及控制等”。Finne（2000）则认为信息安全是“为降低信息的风险所进行的各种测量方法”。这些定义针对信息安全的对象、表现、后果等内容从不同的方面进行了表述，对实行信息安全管理起到了很好的指导作用。 针对信息安全可能面临的各种威胁，Spruit和Looijen等人（1996）进行了分类： 外部影响：如发生水、火灾等来自系统外部的影响。 基础设施发生故障：如组织使用的电源、电话等设施发生故障。 软、硬件故障：如通讯设施、网络、系统、存储设备等。 人员疏忽：包括操作、维护、管理等各方面的疏忽。 计算机犯罪：包括内部非法入侵，外部黑客攻击、计算机病毒等。 信息作为一种资产，是企业正常运作和管理不可缺少的资源，同时也面临着各种安全威胁，因此需对其进行妥善保护。由上述各种定义可知，信息安全管理就是要采取有效措施（从技术和管理两方面）让这些信息资产免受损失，或者将威胁带来的后果降到最低，以维护企业正常运作。 同时，信息安全管理问题发展到一定阶段后，就不再仅仅是一个静态的技术问题。经