1 引言

    随着企业的信息化建设，企业信息系统在纵、横向的耦合程度日益加深，系统间的联系也日益紧密，因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行。此外，美国明尼苏达大学Bush-Kugel的研究报告指出企业在没有信息资料可用的情况下。金融业至多只能运作2天，商业则为3天，工业则为5天。而从经济情况来看，25％的企业由于数据损毁可能随即破产，40％会在两年内破产，而仅有7％不到的企业在5年后继续存活。伴随着监管机构对信息安全Et趋严格的要求，企业对信息安全的关注逐渐提高，并对信息安全投入的资源不断增加，从而使得信息安全越来越为公司高级管理层所关注。

    2 信息安全问题

    目前企业信息安全问题主要包括几个方面。

    （1）信息质量底下：无用信息、有害信息或劣质信息渗透到企业信息资源中，对信息资源的收集、开发和利用造成干扰。

    （2）信息泄漏：网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰。网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程。

    而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为，从而使企业信息泄漏。

    （3）信息破坏：指内部员工或者外部人员制造和传播恶意程序，破坏计算机内所存储的信息和程序，甚至破坏计算机硬件。

    （4）信息侵权：指对信息产权的侵犯。现代信息技术的发展和应用，导致了信息载体的变化、信息内容的扩展、信息传递方式的增加，一方面实现了信息的全球共享，但同时也带来了知识产权难以解决的纠纷。

    3 信息安全治理的困惑

    基于信息安全的重要性，企业在信息安全治理方面投入了诸多资源，但是在信息安全治理成效方面仍不尽如人意，主要问题在于几个方面。

    （1）信息安全治理的范围不明确：目前企业都在尽力实现良好的信息安全治理，但是由于无法正确理解信息安全治理和信息安全管理的区别，导致了信息安全治理无法与企业的安全规划和企业战略形成一致性。表l从工作内容、执行主体和技术深度三个层面分析了两者的区别。

    从表1中可以明确：信息安全治理是为组织机构的信息安全定义一个战略性的框架，指明了具体安全管理工作的目标和权责范围，使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作。

    （2）企业信息安全治理路径的错误理解：企业在信息安全治理的过程中，最常用的手法是采用信息安全的技术措施，如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行，但是往往企业投入很多，却没有达到预想的效果，问题在于，信息安全治理并不单单是技术问题，信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面。

    4 信息安全治理关注的领域

    （1）战略一致性：信息安全治理需与企业的发展战略和业务战略相一致，建立相互协作的解决方案。

    （2）价值交付：衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标。因此需要设计明确的价值目标。对信息安全治理的交付价值进行评估。

    （3）资源管理：实现对支持信息运行的关键资源进行最优化投资和最佳管理。

    （4）风险管理：企业管理层应具备足够的风险意识，明确企业风险容忍度，制定风险管理策略，将风险管理融人到企业的日常运营中。

    （5）绩效度量：利用科学的管理方法，将信息安全治理转换为可评价的目标的行动，便于对信息安全各项工作的绩效进行有效管理。

    5 信息安全治理框架

    通过良好的信息安全治理。可以保护企业的信息资产，避免遭受各种威胁，降低对企业之伤害，确保企业的永续经营，以及提升企业投资回报率及竞争优势。

    通过长期的实践经验以及结合COBIT标准和GB／T 22080，2008<信息安全管理体系要求>，总结出信息安全治理的框架主要由四部分组成，如图1所示。

    图1信息安全治理框架

    [page]    （1）信息安全战略：结合企业的整体信息技术战略规划和信息安全治理现状，制定信息安全战略。

    （2）信息安全组织架构：根据企业层面在决策、管理和执行机制对组织结构的要求，建立信息安全治理框架和决策沟通机制。明确公司各级管理层及相关部门在信息安全组织架构中的工作职责与角色定位。

    （3）信息安全职责：根据公司信息安全组织架构，进一步明确信息安全相关岗位的工作职责、分工界面和汇报路径等。

    （4）信息安全管理制度：信息安全管理制度通过建立一个层次化的制度体系，针对不同的需求方（管理者、执行者、检查者等）从政策、制度、流程、规范和记录等方面进行信息安全活动相关的规定，实现信息安全的功能和管理目标。

    表1信息安全治理和信息安全管理的区别

    6 信息安全治理评估

    企业信息安全治理评估有助于提高信息安全治理投资的效益和效果。企业的最高管理层和管理执行层可以使用信息安全治理成熟度模型建立企业的安全治理级别。该模型，如表2所示，被应用为几个方面。

    表2信息安全治理成熟度模型

    （1）在市场环境中，相对于国际信息安全治理标准、行业最佳实践，以及直接竞争对手，了解企业在信息安全治理上的级别。

    （2）进行差距分析，为改进措施提供明确的路径。

    （3）了解企业的竞争优势和劣势。

    （4）有利于对信息安全治理进行绩效评估。

    7 结束语

    本文从企业信息安全治理的实践出发，概述了目前企业信息安全治理存在的问题和困惑，总结了企业实现有效的信息治理的关注领域和实施内容，为企业建立良好的信息安全治理提供了基本框架。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。