企業(yè)信息安全治理框架論文

　　企業(yè)信息安全治理框架論文

　　【 摘 要 】 隨著企業(yè)的信息化建設(shè)，企業(yè)信息安全在持續(xù)、可靠和穩(wěn)定運(yùn)行中面臨著巨大考驗，因此企業(yè)急需開展信息安全治理。

　　論文從企業(yè)信息安全治理的實踐出發(fā)，概述了目前企業(yè)信息安全治理存在的問題和困惑，總結(jié)了企業(yè)實現(xiàn)有效信息安全治理的關(guān)注領(lǐng)域和實施內(nèi)容，為企業(yè)建立良好的信息安全治理提供了基本框架。

　　【 關(guān)鍵詞 】 信息安全;安全治理;框架;風(fēng)險管理

　　1 引言

　　隨著企業(yè)的信息化建設(shè)，企業(yè)信息系統(tǒng)在縱、橫向的耦合程度日益加深，系統(tǒng)間的聯(lián)系也日益緊密，因此企業(yè)的信息安全影響著企業(yè)信息系統(tǒng)的安全、持續(xù)、可靠和穩(wěn)定運(yùn)行。

　　此外，美國明尼蘇達(dá)大學(xué)Bush-Kugel的研究報告指出企業(yè)在沒有信息資料可用的情況下，金融業(yè)至多只能運(yùn)作2天，商業(yè)則為3天，工業(yè)則為5天。

　　而從經(jīng)濟(jì)情況來看，25%的企業(yè)由于數(shù)據(jù)損毀可能隨即破產(chǎn)，40%會在兩年內(nèi)破產(chǎn)，而僅有7%不到的企業(yè)在5年后繼續(xù)存活。

　　伴隨著監(jiān)管機(jī)構(gòu)對信息安全日趨嚴(yán)格的要求，企業(yè)對信息安全的關(guān)注逐漸提高，并對信息安全投入的資源不斷增加，從而使得信息安全越來越為公司高級管理層所關(guān)注。

　　2 信息安全問題

　　目前企業(yè)信息安全問題主要包括幾個方面。

　　(1)信息質(zhì)量底下：無用信息、有害信息或劣質(zhì)信息滲透到企業(yè)信息資源中， 對信息資源的收集、開發(fā)和利用造成干擾。

　　(2)信息泄漏：網(wǎng)絡(luò)信息泄漏和操作泄漏是目前企業(yè)普遍存在的信息安全困擾。

　　網(wǎng)絡(luò)信息泄漏是信息在獲取、存儲、使用或傳播的時候被其他人非法取得的過程。

　　而操作泄漏則是由于不正當(dāng)操作或者未經(jīng)授權(quán)的訪問、蓄意攻擊等行為，從而使企業(yè)信息泄漏。

　　(3)信息破壞：指內(nèi)部員工或者外部人員制造和傳播惡意程序， 破壞計算機(jī)內(nèi)所存儲的信息和程序， 甚至破壞計算機(jī)硬件。

　　(4)信息侵權(quán)：指對信息產(chǎn)權(quán)的侵犯。

　　現(xiàn)代信息技術(shù)的發(fā)展和應(yīng)用， 導(dǎo)致了信息載體的變化、信息內(nèi)容的擴(kuò)展、信息傳遞方式的增加， 一方面實現(xiàn)了信息的全球共享， 但同時也帶來了知識產(chǎn)權(quán)難以解決的糾紛。

　　3 信息安全治理的困惑

　　基于信息安全的重要性，企業(yè)在信息安全治理方面投入了諸多資源，但是在信息安全治理成效方面仍不盡如人意，主要問題在于幾個方面。

　　(1)信息安全治理的范圍不明確：目前企業(yè)都在盡力實現(xiàn)良好的信息安全治理，但是由于無法正確理解信息安全治理和信息安全管理的區(qū)別，導(dǎo)致了信息安全治理無法與企業(yè)的安全規(guī)劃和企業(yè)戰(zhàn)略形成一致性。

　　表1從工作內(nèi)容、執(zhí)行主體和技術(shù)深度三個層面分析了兩者的區(qū)別。

　　從表1中可以明確：信息安全治理是為組織機(jī)構(gòu)的信息安全定義一個戰(zhàn)略性的框架，指明了具體安全管理工作的目標(biāo)和權(quán)責(zé)范圍，使信息系統(tǒng)安全專業(yè)人員能夠準(zhǔn)確地按照企業(yè)高層管理人員的要求開展工作。

　　(2)企業(yè)信息安全治理路徑的錯誤理解：企業(yè)在信息安全治理的過程中，最常用的手法是采用信息安全的技術(shù)措施，如使用加密和防偽技術(shù)、認(rèn)證技術(shù)、防病毒技術(shù)、防火墻技術(shù)等方式來進(jìn)行，但是往往企業(yè)投入很多，卻沒有達(dá)到預(yù)想的效果，問題在于，信息安全治理并不單單是技術(shù)問題，信息安全治理也包含了安全戰(zhàn)略、風(fēng)險管理、績效評估、層級報告以及職責(zé)明確等方面。

　　4 信息安全治理關(guān)注的領(lǐng)域

　　(1)戰(zhàn)略一致性：信息安全治理需與企業(yè)的發(fā)展戰(zhàn)略和業(yè)務(wù)戰(zhàn)略相一致，建立相互協(xié)作的解決方案。

　　(2)價值交付：衡量信息安全治理價值交付的基準(zhǔn)是信息安全戰(zhàn)略能否按時、按質(zhì)并在預(yù)算內(nèi)實現(xiàn)預(yù)期的價值目標(biāo)。

　　因此需要設(shè)計明確的價值目標(biāo)，對信息安全治理的交付價值進(jìn)行評估。

　　(3)資源管理：實現(xiàn)對支持信息運(yùn)行的關(guān)鍵資源進(jìn)行最優(yōu)化投資和最佳管理。

　　(4)風(fēng)險管理：企業(yè)管理層應(yīng)具備足夠的風(fēng)險意識，明確企業(yè)風(fēng)險容忍度，制定風(fēng)險管理策略，將風(fēng)險管理融入到企業(yè)的日常運(yùn)營中。

　　(5)績效度量：利用科學(xué)的管理方法，將信息安全治理轉(zhuǎn)換為可評價的目標(biāo)的行動，便于對信息安全各項工作的績效進(jìn)行有效管理。

　　5 信息安全治理框架

　　通過良好的信息安全治理， 可以保護(hù)企業(yè)的信息資產(chǎn)，避免遭受各種威脅，降低對企業(yè)之傷害，確保企業(yè)的永續(xù)經(jīng)營，以及提升企業(yè)投資回報率及競爭優(yōu)勢。

　　通過長期的實踐經(jīng)驗以及結(jié)合COBIT標(biāo)準(zhǔn)和GB/T 22080-2008<信息安全管理體系要求>，總結(jié)出信息安全治理的框架主要由四部分組成，如圖1所示。

　　(1)信息安全戰(zhàn)略：結(jié)合企業(yè)的整體信息技術(shù)戰(zhàn)略規(guī)劃和信息安全治理現(xiàn)狀，制定信息安全戰(zhàn)略。

　　(2)信息安全組織架構(gòu)：根據(jù)企業(yè)層面在決策、管理和執(zhí)行機(jī)制對組織結(jié)構(gòu)的要求，建立信息安全治理框架和決策溝通機(jī)制，明確公司各級管理層及相關(guān)部門在信息安全組織架構(gòu)中的工作職責(zé)與角色定位。

　　(3)信息安全職責(zé)：根據(jù)公司信息安全組織架構(gòu)，進(jìn)一步明確信息安全相關(guān)崗位的工作職責(zé)、分工界面和匯報路徑等。

　　(4)信息安全管理制度：信息安全管理制度通過建立一個層次化的制度體系，針對不同的需求方(管理者、執(zhí)行者、檢查者等)從政策、制度、流程、規(guī)范和記錄等方面進(jìn)行信息安全活動相關(guān)的規(guī)定，實現(xiàn)信息安全的功能和管理目標(biāo)。

　　6 信息安全治理評估

　　企業(yè)信息安全治理評估有助于提高信息安全治理投資的效益和效果。

　　企業(yè)的最高管理層和管理執(zhí)行層可以使用信息安全治理成熟度模型建立企業(yè)的安全治理級別。

　　該模型，如表2所示，被應(yīng)用為幾個方面。

　　(1)在市場環(huán)境中，相對于國際信息安全治理標(biāo)準(zhǔn)、行業(yè)最佳實踐，以及直接競爭對手，了解企業(yè)在信息安全治理上的級別。

　　(2)進(jìn)行差距分析，為改進(jìn)措施提供明確的路徑。

　　(3)了解企業(yè)的競爭優(yōu)勢和劣勢。

　　(4)有利于對信息安全治理進(jìn)行績效評估。

　　7 結(jié)束語

　　本文從企業(yè)信息安全治理的實踐出發(fā)，概述了目前企業(yè)信息安全治理存在的問題和困惑，總結(jié)了企業(yè)實現(xiàn)有效的信息治理的關(guān)注領(lǐng)域和實施內(nèi)容，為企業(yè)建立良好的信息安全治理提供了基本框架。

　　參考文獻(xiàn)

　　[1] 馬峰輝，劉壽強(qiáng).企業(yè)信息安全治理的經(jīng)濟(jì)性探析.計算機(jī)安全，2003：70-71.

　　[2] 婁策群，范昊，王菲.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問題及其對策.中國圖書館學(xué)報，2000(11)：33-37.

　　[3] 劉金鎖，李筱煒，楊維永.企業(yè)實現(xiàn)有效的信息安全治理之路.中國管理信息化，2012(11)：37-39.

　　[4] 黃華軍，錢亮，王耀鈞.基于異常特征的釣魚網(wǎng)站URL檢測技術(shù)[J].信息網(wǎng)絡(luò)安全，2012，(01)：23-25.

　　[5] 黃世中.GF(2m)域SM2算法的實現(xiàn)與優(yōu)化[J].信息網(wǎng)絡(luò)安全，2012，(01)：36-39.

【企業(yè)信息安全治理框架論文】相關(guān)文章：

企業(yè)信息安全風(fēng)險管理的框架探討10-08

企業(yè)信息安全的論文10-08

企業(yè)信息安全問題研究論文10-08

企業(yè)信息安全現(xiàn)狀分析研究論文10-08

石油企業(yè)信息安全管理論文10-11

淺談電力企業(yè)信息安全的防護(hù)論文10-08

兩化融合背景下企業(yè)信息化管理創(chuàng)新的理論框架研究論文10-09

大數(shù)據(jù)信息安全風(fēng)險框架及策略論文10-11

網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理策略論文10-06

企業(yè)信息網(wǎng)絡(luò)安全管理分析論文10-08