信息安全治理之三.docVIP

　　信息安全治理之三|第1 内容显示中6.怎样全面理解信息安全治理？ 本文第八部分提供了一套完整的、结构化的问题和实务准则，但是安全治理负责人需要提出一些问题，以帮助人们思考和提高安全意识，发现信息安全问题，并初步了解解决这些问题的方法。 用来发现信息安全状况的问题 上一次管理执行层关注安全相关的决定是什么时候？管理执行层多长时间参与一次安全方案的改进？ 管理执行层知道谁负责安全吗？负责人自己知道吗？其他人都知道吗？ 当碰到安全事故时，人们这么认为吗？人们忽视它吗？他们知道怎样处理它吗？ 每个人知道公司有多少台计算机吗？管理执行层知道计算机的遗失吗？ 管理执行层识别了泄漏后造成困难或竞争劣势的所有信息（客户资料，战略规划，研究报告等）吗？ 公司最近遭到病毒攻击是什么时候？上一年受到多少次病毒攻击？ 有否有人探测公司的网络？有过非法入侵吗？频率是多少？对公司有什么影响？ 是否每个人都知道有多少人使用公司的系统？知道他们能否使用，或使用其做什么吗？ 事后处理还是事前预防安全问题？ 根据损失的收入，丢失的客户和投资者的信心，评估一次严重的安全事故的后果是什么？ 用来发现管理执行层怎样看待信息安全的问题： 企业明确信息安全相对于IT和安全风险的定位吗？企业趋向于避免风险还是接受风险？ 用于信息安全的费用是多少？用于哪些方面？怎样花费的？上一年进行了什么项目提高信息安全？ 上一年多少员工接受了安全培训？管理层多少人接受了培训？ 组织怎样发现安全事故？怎样向上级汇报这些事故？管理执行层采取什么行动? 管理执行层如何准备从主要的安全事故中恢复吗？ 有否涉及所有上述问题的安全工作程序？负责人的职责清楚吗？ 自我评价信息安全的实务准则 管理执行层可以确信在公司安全得到足够考虑吗？ 管理执行层知道最新的安全问题和最佳实践吗？ 其他人在做什么，企业怎样正确处理与他们的关系？ 行业最佳实践是什么，本企业怎样与其比较？ 管理执行层清楚表明和宣贯企业对信息安全的需求吗？ 管理执行层认为企业将投资多少用于信息安全的提升？ 在制定商业和IT战略时考虑了信息安全吗？ 公司跟踪安全风险和可用的技术方案吗？ 管理执行层定期获得安全状况和安全提升项目效果的报告吗？ 管理执行层建立了独立的IT安全审计程序吗？他们关注审计结论的执行效果吗？ 7.信息安全管理和信息安全治理 信息安全管理提供管理程序、技术和保证措施，使商业管理者确信商业交易的可信性；确保信息技术服务的可用性，能适当地抵抗不正当操作、蓄意攻击或者自然灾害，并从这些故障中恢复；确保拒绝没经授权的访问重要的机密信息。信息安全管理的目标是公司的信息及信息系统的安全运营，确定IT目标以及实现此目标所采取的行动。 信息安全治理是指最高管理层（董事会）利用它来监督管理层在信息安全战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。缺乏良好信息安全治理机制的组织，也就是说缺乏健全的制度安排，因而不可能很好的信息安全管理体系，进而也不可能取得信息化的成功；同样，没有信息安全管理体系的畅通，单纯的治理机制也只能是一个美好的蓝图，而缺乏实际的内容。就目前我国信息化建设的现状而言，无论是信息安全治理，还是信息安全管理都是我们所迫切需要健全的。 通俗地讲，安全是一种“买不到”的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的。建立一个有效的信息安全体系首先需要在好的信息安全治理的基础上，其次要制定出相关的管理策略和规章制度，然后才是在安全产品的帮助下搭建起整个架构。相反，就不可能得到一个真正意义上的安全防护体系。这些单位可能安装了一些安全产品，但并没有一个安全的体系，因为没有建立它的基础。 8．信息安全治理的内容是什么？ 正确实施信息安全治理将提供4个基本成果： 战略联盟 业务需求驱动安全需求； 安全方案适应业务流程； 信息安全投资与企业战略和最大风险状况密切相关。 价值传递 一套安全实务标准，即最佳安全实务基准； 正确区分行动的优先次序并分配给有最大影响和商业利益的地方； 规范的、商业化的解决方案； 完整的解决方案，包括组织、流程和技术； 持续改进的文化。 风险管理 最大风险状况； 了解风险暴露程度； 告知管理风险的优先行动。 绩效测量 定义测量标准； 反馈进展的测量程序； 独立性保证。 9.怎样成功实现信息安全治理？ 下列问题为最高管理层（董事会）和管理执行层开始实施有效的信息安全治理提供了一种的正确的方法，也是负责信息安全治理的人将要提的问题： 需要最高管理层（董事会）回答的问题 信息和信息安全对组织重要吗？如果是的，最高管理层（董事会）理解信息安全的重要性吗？ 最高管理层（董事会）制定了信息安全政策吗？如果有，该政策得到持续的更新吗？如果没有制定该政策，原因是什么？ 组织哪三项信息资产最关键？