企业信息安全治理框架论文.doc

企业信息安全治理框架论文 企业信息安全治理框架论文 【摘要】随着企业的信息化建设企业信息安全在持续、可靠和稳定运行中面临着巨大考验因此企业急需开展信息安全治理 论文从企业信息安全治理的实践出发概述了目前企业信息安全治理存在的问题和困惑总结了企业实现有效信息安全治理的关注领域和实施内容为企业建立良好的信息安全治理提供了基本框架 【关键词】信息安全;安全治理;框架;风险管理 1引言 随着企业的信息化建设企业信息系统在纵、横向的耦合程度日益加深系统间的联系也日益紧密因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行 此外美国明尼苏达大学BushKugel的研究报告指出企业在没有信息资料可用的情况下金融业至多只能运作2天商业则为3天工业则为5天 而从经济情况来看25%的企业由于数据损毁可能随即破产40%会在两年内破产而仅有7%不到的企业在5年后继续存活 伴随着监管机构对信息安全日趋严格的要求企业对信息安全的关注逐渐提高并对信息安全投入的资源不断增加从而使得信息安全越来越为公司高级管理层所关注 2信息安全问题 目前企业信息安全问题主要包括几个方面 (1)信息质量底下：无用信息、有害信息或劣质信息渗透到企业信息资源中对信息资源的收集、开发和利用造成干扰 (2)信息泄漏：网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰 网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程 而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为从而使企业信息泄漏 (3)信息破坏：指内部员工或者外部人员制造和传播恶意程序破坏计算机内所存储的信息和程序甚至破坏计算机硬件 (4)信息侵权：指对信息产权的侵犯 现代信息技术的发展和应用导致了信息载体的变化、信息内容的扩展、信息传递方式的增加一方面实现了信息的全球共享但同时也带来了知识产权难以解决的纠纷 3信息安全治理的困惑 基于信息安全的重要性企业在信息安全治理方面投入了诸多资源但是在信息安全治理成效方面仍不尽如人意主要问题在于几个方面 (1)信息安全治理的范围不明确：目前企业都在尽力实现良好的信息安全治理但是由于无法正确理解信息安全治理和信息安全管理的区别导致了信息安全治理无法与企业的安全规划和企业战略形成一致性 表1从工作内容、执行主体和技术深度三个层面分析了两者的区别 从表1中可以明确：信息安全治理是为组织机构的信息安全定义一个战略性的框架指明了具体安全管理工作的目标和权责范围使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作 (2)企业信息安全治理路径的错误理解：企业在信息安全治理的过程中最常用的手法是采用信息安全的技术措施如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行但是往往企业投入很多却没有达到预想的效果问题在于信息安全治理并不单单是技术问题信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面 4信息安全治理关注的领域 (1)战略一致性：信息安全治理需与企业的发展战略和业务战略相一致建立相互协作的解决方案 (2)价值交付：衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标 因此需要设计明确的价值目标对信息安全治理的交付价值进行评估 (3)资源管理：实现对支持信息运行的关键资源进行最优化投资和最佳管理 (4)风险管理：企业管理层应具备足够的风险意识明确企业风险容忍度制定风险管理策略将风险管理融入到企业的日常运营中 (5)绩效度量：利用科学的管理方法将信息安全治理转换为可评价的目标的行动便于对信息安全各项工作的绩效进行有效管理 5信息安全治理框架 通过良好的信息安全治理可以保护企业的信息资产避免遭受各种威胁降低对企业之伤害确保企业的永续经营以及提升企业投资回报率及竞争优势 通过长期的实践经验以及结合COBIT标准和GB/T22080总结出信息安全治理的框架主要由四部分组成如图1所示 (1)信息安全战略：结合企业的整体信息技术战略规划和信息安全治理现状制定信息安全战略 (2)信息安全组织架构：根据企业层面在决策、管理和执行机制对组织结构的要求建立信息安全治理框架和决策沟通机制明确公司各级管理层及相关部门在信息安全组织架构中的工作职责与角色定位 (3)信息安全职责：根据公司信息安全组织架构进一步明确信息安全相关岗位的工作职责、分工界面和汇报路径等 (4)信息安全管理制度：信息安全管理制度通过建立一个层次化的制度体系针对不同的需求方(管理者、执行者、检查者等)从政策、制度、流程、规范和记录等方面进行信息安全活动相关的规定实现信息安全的功能和管理目标 6信息安全治理评估 企业信息安全治理评估有助于提高信息安全治理投资的效益和效果 企业的最高管理层和管理执行层可以使用信息安全治理成熟度模型建立企业的安全治理级别 该模型如表2所示被应用为几个方面 (1)在市场环境中相对于国际信息安全治理标准、行业最佳实践以及直接竞争对手了解企业在信息安全治理上的级别 (2)进行差距分析为改进措施提供明确的路径 (3)了解企业的竞争优势和劣势 (4)有利于对信息安全治理进行绩效评估 7结束语 本文从企业信息安全治理的实践出发概述了目前企业信息安全治理存在的问题和困惑总结了企业实现有效的信息治理的关注领域和实施内容为企业建立良好的信息安全治理提供了基本框架 参考文献 1马峰辉刘寿强.企业信息安全治理的经济性探析.计算机安全：7071. 2娄策群范昊王菲.现代信息技术环境中的信息安全问题及其对策.中国图书馆学报2000(11)：3337. 3刘金锁李筱炜杨维永.企