信息安全治理之二.docVIP

　　信息安全治理之二|第1 4.谁应该关注信息安全治理，关注什么？ 信息安全经常被看作只是一个技术问题，很少有组织认为其是组织必需的并优先考虑它。所以，治理和管理安全提升的责任被限制在技术负责人。但是现在信息安全越来越成为业务成功的关键因素。组织最高管理层（董事会）和执行管理层（如CIO）越来越重视信息安全工作，他们关注的核心是安全性将如何帮助组织达到业务目标或创造新的战略竞争机遇，而不仅仅是具体的技术环节。从安全性角度而言，高层关注的目标包括以下几方面： 商务运作中断：由于攻击造成的停工会导致生产率降低和收入损失，而与恢复受攻击的网络相关的花费又会增加处理攻击事件的总体财务成本。一旦受到攻击，企业通常会部署解决团队来帮助客户、员工以及合作伙伴尽快恢复业务。在修复之前，不仅业务会停顿，而且解决团队疲于应对，无法进行其日常工作，这些都造成了生产率的极大损失。 法律责任和潜在诉讼：受到攻击的企业可能需要作为被告或关键证人出庭。要求遵守隐私和安全性法规的企业（如金融机构）可能需要证明其为将网络攻击的威胁降至最小而付出的艰辛努力。这一过程将极大地消耗员工的工作效率和企业的现金流。 竞争力下降：信息通常被认为是企业最宝贵的资产（70%或更多公司的价值在于其知识产权资产)，这部分数据的损失或被窃可能造成严重后果，甚至会威胁企业在市场中的地位。根据2002CSI/FBI计算机犯罪与安全调查的调查结果，由于安全性被破坏而导致的最为严重的财务损失包括所有权信息的被窃(26个被访者报告的损失超过$170,000,000)。 品牌资产被损害：对企业品牌的损害可能会有多种形式，但每种形式都会降低企业在市场中的地位。例如，如果企业的客户数据（如信用卡信息）被窃并被公布到其他Web站点上，该企业可能会陷入难以使客户对其品牌恢复信任的困境。 高层管理者有责任思考这些问题，最高管理层（董事会）也将被希望让信息安全成为IT治理固有的一部分，最好与IT治理过程集成。 在这点上，IT治理委员会和执行管理层将对以下几个方面进行评审： 现在和未来投资于信息技术的规模和费用； 技术显著改变组织和商业运作，创造新的机会，和降低成本的潜力； 同时，他们也应该考虑由此导致的后果： 更加依赖信息、系统和传送信息的通讯系统； 对企业无法直接控制的外部组织的依赖； 由于IT故障对企业声誉和价值的影响； 为了有效进行公司治理和IT治理，最高管理层（董事会）和执行管理层必须对应从企业的信息安全治理所抱的期望有一个清晰的了解。他们必须知道怎样实施信息安全治理，怎样评价其在安全治理过程中的恰当身份，和怎样确定所需的安全程序。 鉴于安全从来就不是一种非黑即白的概念，其背景关系远比技术更重要。因此，管理好信息安全需要最高管理层（董事会）、管理执行层和业务流程所有者的更多参与；贯彻好信息安全需要信息系统审计师、安全专家、技术和业务等各方面的专家，所有相关各方应参与这个过程。 5.最高管理层（董事会）和管理执行层应该做些什么？ 今年的9月17日，美国联邦政府公布了由关键基础设施委员会（CIPB）制订的保障网络安全计划——《国家保障网络安全策略》。根据该计划，美国政府将在网络安全中发挥主导作用，同时会要求所有用户采取措施，但没有通过加强立法强制采取行动。美国总统的网络安全特别顾问、CIPB主席RichardClarke表示，安全策略不会成为静态的文件，而是将不断变化和更新，以适应环境的变化。这份计划显示，美国政府不会制订法律强制私有企业采取行动。但美国政府会在面临重大事故时寻求通过立法，以保护美国人民的健康、安全和幸福。根据这份65页的文件，政府应该首先采用安全的网络协议、对IT企业进行认证、扩大安全评估和政策工具的适用范围，并考虑安全与应急准备演习。该文件还要求上市公司发布经过独立审计的安全报告，建议公司成立公司安全委员会，选用多家IT企业的产品以降低风险。该文件要求一直是网络攻击温床的大学，与Inter服务提供商和执法机构建立24小时的联系。发电厂、水处理设施和其他部门应认真审核将系统与Inter连接的风险，并在两年内采取实施安全认证等措施。CIPB建议成立网络运营中心（NOC），由IT行业、计算机应急反应小组和信息共享与分析中心（ISAC）共同参与。 根据我国的国情，我们认为有效的信息安全治理需要最高管理层（董事会）和管理执行层： 理解信息安全治理的必要性 风险和威胁真实存在并有可能给组织造成重大影响； 有效的信息安全需要上层管理者到下层员工一致的、统一的行动； IT投资额巨大但容易投向错误方向； 文化和组织因素同等重要； 必须建立并执行准则和优先级； 必须向电子交易对方证实自己的信用； 需要向与系统有利害关系的各方证实系统安全的可靠性； 安全事故可能暴露于公众； 可能导致相当大的对公司声誉的