浅谈企业信息安全治理框架

来源：作者：发布时间： 2013-07-17

随着企业的信息化建设，企业信息安全在持续、可靠和稳定运行中面临着巨大考验。因此企业急需开展信息安全治理。论文从企业信息安全治理的实践出发，概述了目前企业信息安全治理存在的问题和困惑，总结了企业实现有效信息安全治理的关注领域和实旋内容，为企业建立良好的信息安全治理提供了基本框架。

1引言

随着企业的信息化建设，企业信息系统在纵、横向的耦合程度日益加深，系统间的联系也日益紧密，因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行。此外，美国明尼苏达大学Bush-Kugel的研究报告指出企业在没有信息资料可用的情况下。金融业至多只能运作2天，商业则为3天，工业则为5天。而从经济情况来看，25％的企业由于数据损毁可能随即破产，40％会在两年内破产，而仅有7％不到的企业在5年后继续存活。伴随着监管机构对信息安全Et趋严格的要求，企业对信息安全的关注逐渐提高，并对信息安全投入的资源不断增加，从而使得信息安全越来越为公司高级管理层所关注。

2信息安全问题

目前企业信息安全问题主要包括几个方面。

(1)信息质量底下：无用信息、有害信息或劣质信息渗透到企业信息资源中，对信息资源的收集、开发和利用造成干扰。

(2)信息泄漏：网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰。网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程。

而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为，从而使企业信息泄漏。

(3)信息破坏：指内部员工或者外部人员制造和传播恶意程序，破坏计算机内所存储的信息和程序，甚至破坏计算机硬件。

(4)信息侵权：指对信息产权的侵犯。现代信息技术的发展和应用，导致了信息载体的变化、信息内容的扩展、信息传递方式的增加，一方面实现了信息的全球共享，但同时也带来了知识产权难以解决的纠纷。

3信息安全治理的困惑

基于信息安全的重要性，企业在信息安全治理方面投入了诸多资源，但是在信息安全治理成效方面仍不尽如人意，主要问题在于几个方面。

(1)信息安全治理的范围不明确：目前企业都在尽力实现良好的信息安全治理，但是由于无法正确理解信息安全治理和信息安全管理的区别，导致了信息安全治理无法与企业的安全规划和企业战略形成一致性。表l从工作内容、执行主体和技术深度三个层面分析了两者的区别。

从表1中可以明确：信息安全治理是为组织机构的信息安全定义一个战略性的框架，指明了具体安全管理工作的目标和权责范围，使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作。

(2)企业信息安全治理路径的错误理解：企业在信息安全治理的过程中，最常用的手法是采用信息安全的技术措施，如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行，但是往往企业投入很多，却没有达到预想的效果，问题在于，信息安全治理并不单单是技术问题，信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面。

4信息安全治理关注的领域

(1)战略一致性：信息安全治理需与企业的发展战略和业务战略相一致，建立相互协作的解决方案。

(2)价值交付：衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标。因此需要设计明确的价值目标。对信息安全治理的交付价值进行评估。

(3)资源管理：实现对支持信息运行的关键资源进行最优化投资和最佳管理。

(4)风险管理：企业管理层应具备足够的风险意识，明确企业风险容忍度，制定风险管理策略，将风险管理融人到企业的日常运营中。

(5)绩效度量：利用科学的管理方法，将信息安全治理转换为可评价的目标的行动，便于对信息安全各项工作的绩效进行有效管理。

5信息安全治理框架

通过良好的信息安全治理。可以保护企业的信息资产，避免遭受各种威胁，降低对企业之伤害，确保企业的永续经营，以及提升企业投资回报率及竞争优势。

通过长期的实践经验以及结合COBIT标准和GB／T22080，2008<信息安全管理体系要求>，总结出信息安全治理的框架主要由四部分组成，如图1所示。

130183510614758970_new.jpg(292×256)