企業(yè)信息安全治理框架論文

　　企業(yè)信息安全治理框架論文

　　【 摘 要 】 隨著企業(yè)的信息化建設(shè)，企業(yè)信息安全在持續(xù)、可靠和穩(wěn)定運(yùn)行中面臨著巨大考驗(yàn)，因此企業(yè)急需開展信息安全治理。

　　論文從企業(yè)信息安全治理的實(shí)踐出發(fā)，概述了目前企業(yè)信息安全治理存在的問題和困惑，總結(jié)了企業(yè)實(shí)現(xiàn)有效信息安全治理的關(guān)注領(lǐng)域和實(shí)施內(nèi)容，為企業(yè)建立良好的信息安全治理提供了基本框架。

　　【 關(guān)鍵詞 】 信息安全;安全治理;框架;風(fēng)險(xiǎn)管理

　　1 引言

　　隨著企業(yè)的信息化建設(shè)，企業(yè)信息系統(tǒng)在縱、橫向的耦合程度日益加深，系統(tǒng)間的聯(lián)系也日益緊密，因此企業(yè)的信息安全影響著企業(yè)信息系統(tǒng)的安全、持續(xù)、可靠和穩(wěn)定運(yùn)行。

　　此外，美國明尼蘇達(dá)大學(xué)Bush-Kugel的研究報(bào)告指出企業(yè)在沒有信息資料可用的情況下，金融業(yè)至多只能運(yùn)作2天，商業(yè)則為3天，工業(yè)則為5天。

　　而從經(jīng)濟(jì)情況來看，25%的企業(yè)由于數(shù)據(jù)損毀可能隨即破產(chǎn)，40%會(huì)在兩年內(nèi)破產(chǎn)，而僅有7%不到的企業(yè)在5年后繼續(xù)存活。

　　伴隨著監(jiān)管機(jī)構(gòu)對(duì)信息安全日趨嚴(yán)格的要求，企業(yè)對(duì)信息安全的關(guān)注逐漸提高，并對(duì)信息安全投入的資源不斷增加，從而使得信息安全越來越為公司高級(jí)管理層所關(guān)注。

　　2 信息安全問題

　　目前企業(yè)信息安全問題主要包括幾個(gè)方面。

　　(1)信息質(zhì)量底下：無用信息、有害信息或劣質(zhì)信息滲透到企業(yè)信息資源中， 對(duì)信息資源的收集、開發(fā)和利用造成干擾。

　　(2)信息泄漏：網(wǎng)絡(luò)信息泄漏和操作泄漏是目前企業(yè)普遍存在的信息安全困擾。

　　網(wǎng)絡(luò)信息泄漏是信息在獲取、存儲(chǔ)、使用或傳播的時(shí)候被其他人非法取得的過程。

　　而操作泄漏則是由于不正當(dāng)操作或者未經(jīng)授權(quán)的訪問、蓄意攻擊等行為，從而使企業(yè)信息泄漏。

　　(3)信息破壞：指內(nèi)部員工或者外部人員制造和傳播惡意程序， 破壞計(jì)算機(jī)內(nèi)所存儲(chǔ)的信息和程序， 甚至破壞計(jì)算機(jī)硬件。

　　(4)信息侵權(quán)：指對(duì)信息產(chǎn)權(quán)的侵犯。

　　現(xiàn)代信息技術(shù)的發(fā)展和應(yīng)用， 導(dǎo)致了信息載體的變化、信息內(nèi)容的擴(kuò)展、信息傳遞方式的增加， 一方面實(shí)現(xiàn)了信息的全球共享， 但同時(shí)也帶來了知識(shí)產(chǎn)權(quán)難以解決的糾紛。

　　3 信息安全治理的困惑

　　基于信息安全的重要性，企業(yè)在信息安全治理方面投入了諸多資源，但是在信息安全治理成效方面仍不盡如人意，主要問題在于幾個(gè)方面。

　　(1)信息安全治理的范圍不明確：目前企業(yè)都在盡力實(shí)現(xiàn)良好的信息安全治理，但是由于無法正確理解信息安全治理和信息安全管理的區(qū)別，導(dǎo)致了信息安全治理無法與企業(yè)的安全規(guī)劃和企業(yè)戰(zhàn)略形成一致性。

　　表1從工作內(nèi)容、執(zhí)行主體和技術(shù)深度三個(gè)層面分析了兩者的區(qū)別。

　　從表1中可以明確：信息安全治理是為組織機(jī)構(gòu)的信息安全定義一個(gè)戰(zhàn)略性的框架，指明了具體安全管理工作的目標(biāo)和權(quán)責(zé)范圍，使信息系統(tǒng)安全專業(yè)人員能夠準(zhǔn)確地按照企業(yè)高層管理人員的要求開展工作。

　　(2)企業(yè)信息安全治理路徑的錯(cuò)誤理解：企業(yè)在信息安全治理的過程中，最常用的手法是采用信息安全的技術(shù)措施，如使用加密和防偽技術(shù)、認(rèn)證技術(shù)、防病毒技術(shù)、防火墻技術(shù)等方式來進(jìn)行，但是往往企業(yè)投入很多，卻沒有達(dá)到預(yù)想的效果，問題在于，信息安全治理并不單單是技術(shù)問題，信息安全治理也包含了安全戰(zhàn)略、風(fēng)險(xiǎn)管理、績(jī)效評(píng)估、層級(jí)報(bào)告以及職責(zé)明確等方面。

　　4 信息安全治理關(guān)注的領(lǐng)域

　　(1)戰(zhàn)略一致性：信息安全治理需與企業(yè)的發(fā)展戰(zhàn)略和業(yè)務(wù)戰(zhàn)略相一致，建立相互協(xié)作的解決方案。

　　(2)價(jià)值交付：衡量信息安全治理價(jià)值交付的基準(zhǔn)是信息安全戰(zhàn)略能否按時(shí)、按質(zhì)并在預(yù)算內(nèi)實(shí)現(xiàn)預(yù)期的價(jià)值目標(biāo)。

　　因此需要設(shè)計(jì)明確的價(jià)值目標(biāo)，對(duì)信息安全治理的交付價(jià)值進(jìn)行評(píng)估。

　　(3)資源管理：實(shí)現(xiàn)對(duì)支持信息運(yùn)行的關(guān)鍵資源進(jìn)行最優(yōu)化投資和最佳管理。

　　(4)風(fēng)險(xiǎn)管理：企業(yè)管理層應(yīng)具備足夠的風(fēng)險(xiǎn)意識(shí)，明確企業(yè)風(fēng)險(xiǎn)容忍度，制定風(fēng)險(xiǎn)管理策略，將風(fēng)險(xiǎn)管理融入到企業(yè)的日常運(yùn)營中。

　　(5)績(jī)效度量：利用科學(xué)的管理方法，將信息安全治理轉(zhuǎn)換為可評(píng)價(jià)的目標(biāo)的行動(dòng)，便于對(duì)信息安全各項(xiàng)工作的績(jī)效進(jìn)行有效管理。

　　5 信息安全治理框架

　　通過良好的信息安全治理， 可以保護(hù)企業(yè)的信息資產(chǎn)，避免遭受各種威脅，降低對(duì)企業(yè)之傷害，確保企業(yè)的永續(xù)經(jīng)營，以及提升企業(yè)投資回報(bào)率及競(jìng)爭(zhēng)優(yōu)勢(shì)。

　　通過長期的實(shí)踐經(jīng)驗(yàn)以及結(jié)合COBIT標(biāo)準(zhǔn)和GB/T 22080-2008<信息安全管理體系要求>，總結(jié)出信息安全治理的框架主要由四部分組成，如圖1所示。

　　(1)信息安全戰(zhàn)略：結(jié)合企業(yè)的整體信息技術(shù)戰(zhàn)略規(guī)劃和信息安全治理現(xiàn)狀，制定信息安全戰(zhàn)略。

　　(2)信息安全組織架構(gòu)：根據(jù)企業(yè)層面在決策、管理和執(zhí)行機(jī)制對(duì)組織結(jié)構(gòu)的要求，建立信息安全治理框架和決策溝通機(jī)制，明確公司各級(jí)管理層及相關(guān)部門在信息安全組織架構(gòu)中的工作職責(zé)與角色定位。

　　(3)信息安全職責(zé)：根據(jù)公司信息安全組織架構(gòu)，進(jìn)一步明確信息安全相關(guān)崗位的工作職責(zé)、分工界面和匯報(bào)路徑等。

　　(4)信息安全管理制度：信息安全管理制度通過建立一個(gè)層次化的制度體系，針對(duì)不同的需求方(管理者、執(zhí)行者、檢查者等)從政策、制度、流程、規(guī)范和記錄等方面進(jìn)行信息安全活動(dòng)相關(guān)的規(guī)定，實(shí)現(xiàn)信息安全的功能和管理目標(biāo)。

　　6 信息安全治理評(píng)估

　　企業(yè)信息安全治理評(píng)估有助于提高信息安全治理投資的效益和效果。

　　企業(yè)的最高管理層和管理執(zhí)行層可以使用信息安全治理成熟度模型建立企業(yè)的安全治理級(jí)別。

　　該模型，如表2所示，被應(yīng)用為幾個(gè)方面。

　　(1)在市場(chǎng)環(huán)境中，相對(duì)于國際信息安全治理標(biāo)準(zhǔn)、行業(yè)最佳實(shí)踐，以及直接競(jìng)爭(zhēng)對(duì)手，了解企業(yè)在信息安全治理上的級(jí)別。

　　(2)進(jìn)行差距分析，為改進(jìn)措施提供明確的路徑。

　　(3)了解企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)和劣勢(shì)。

　　(4)有利于對(duì)信息安全治理進(jìn)行績(jī)效評(píng)估。

　　7 結(jié)束語

　　本文從企業(yè)信息安全治理的實(shí)踐出發(fā)，概述了目前企業(yè)信息安全治理存在的問題和困惑，總結(jié)了企業(yè)實(shí)現(xiàn)有效的信息治理的關(guān)注領(lǐng)域和實(shí)施內(nèi)容，為企業(yè)建立良好的信息安全治理提供了基本框架。

　　參考文獻(xiàn)

　　[1] 馬峰輝，劉壽強(qiáng).企業(yè)信息安全治理的經(jīng)濟(jì)性探析.計(jì)算機(jī)安全，2003：70-71.

　　[2] 婁策群，范昊，王菲.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問題及其對(duì)策.中國圖書館學(xué)報(bào)，2000(11)：33-37.

　　[3] 劉金鎖，李筱煒，楊維永.企業(yè)實(shí)現(xiàn)有效的信息安全治理之路.中國管理信息化，2012(11)：37-39.

　　[4] 黃華軍，錢亮，王耀鈞.基于異常特征的釣魚網(wǎng)站URL檢測(cè)技術(shù)[J].信息網(wǎng)絡(luò)安全，2012，(01)：23-25.

　　[5] 黃世中.GF(2m)域SM2算法的實(shí)現(xiàn)與優(yōu)化[J].信息網(wǎng)絡(luò)安全，2012，(01)：36-39.

【企業(yè)信息安全治理框架論文】相關(guān)文章：

企業(yè)信息安全風(fēng)險(xiǎn)管理的框架探討10-08

企業(yè)信息安全的論文10-08

企業(yè)信息安全問題研究論文10-08

企業(yè)信息安全現(xiàn)狀分析研究論文10-08

石油企業(yè)信息安全管理論文10-11

淺談電力企業(yè)信息安全的防護(hù)論文10-08

兩化融合背景下企業(yè)信息化管理創(chuàng)新的理論框架研究論文10-09

大數(shù)據(jù)信息安全風(fēng)險(xiǎn)框架及策略論文10-11

網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理策略論文10-06

企業(yè)信息網(wǎng)絡(luò)安全管理分析論文10-08