信息安全治理:创造新的战略竞争机遇之三
作者:孙 强 郝亚斌 发表:2004.04.07 来源:赛迪网
"没有安全的工程就是豆腐渣工程"
-徐匡迪 中国工程院院长
"技术本身实际上是信息安全体系里最不重要的部分了。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。我们并不是认为技术不重要,但在信息安全的架构里,它一定要在好的信息安全治理的基础上。"
- 作者题记
赛迪顾问股份有限公司
赛迪培训中心
孙 强 郝亚斌
7. 信息安全管理和信息安全治理
信息安全管理提供管理程序、技术和保证措施,使商业管理者确信商业交易的可信性;确保信息技术服务的可用性,能适当地抵抗不正当操作、蓄意攻击或者自然灾害,并从这些故障中恢复;确保拒绝没经授权的访问重要的机密信息。信息安全管理的目标是公司的信息及信息系统的安全运营,确定IT目标以及实现此目标所采取的行动。
信息安全治理是指最高管理层(董事会)利用它来监督管理层在信息安全战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。缺乏良好信息安全治理机制的组织,也就是说缺乏健全的制度安排,因而不可能很好的信息安全管理体系,进而也不可能取得信息化的成功;同样,没有信息安全管理体系的畅通,单纯的治理机制也只能是一个美好的蓝图,而缺乏实际的内容。就目前我国信息化建设的现状而言,无论是信息安全治理,还是信息安全管理都是我们所迫切需要健全的。
通俗地讲,安全是一种"买不到"的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的。建立一个有效的信息安全体系首先需要在好的信息安全治理的基础上,其次要制定出相关的管理策略和规章制度,然后才是在安全产品的帮助下搭建起整个架构。相反,就不可能得到一个真正意义上的安全防护体系。这些单位可能安装了一些安全产品,但并没有一个安全的体系,因为没有建立它的基础。
8.信息安全治理的内容是什么?
正确实施信息安全治理将提供4个基本成果:
战略联盟
·业务需求驱动安全需求;
·安全方案适应业务流程;
·信息安全投资与企业战略和最大风险状况密切相关。
价值传递
·一套安全实务标准,即最佳安全实务基准;
·正确区分行动的优先次序并分配给有最大影响和商业利益的地方;
·规范的、商业化的解决方案;
·完整的解决方案,包括组织、流程和技术;
·持续改进的文化。
风险管理
·最大风险状况;
·了解风险暴露程度;
·告知管理风险的优先行动。
绩效测量
·定义测量标准;
·反馈进展的测量程序;
·独立性保证。
9. 怎样成功实现信息安全治理?
下列问题为最高管理层(董事会)和管理执行层开始实施有效的信息安全治理提供了一种的正确的方法,也是负责信息安全治理的人将要提的问题:
需要最高管理层(董事会)回答的问题
·信息和信息安全对组织重要吗?如果是的,最高管理层(董事会)理解信息安全的重要性吗?
·最高管理层(董事会)制定了信息安全政策吗?如果有,该政策得到持续的更新吗?如果没有制定该政策,原因是什么?
·组织哪三项信息资产最关键?
·最高管理层(董事会)对这三项关键的信息资产的可用性、保密性和完整性的置信度有多高?
·最高管理层(董事会)知道组织最有价值的IT基础设施吗?
·在关键信息不可用、受到损害或遗失时,组织能继续运作吗?
·根据损失的收入,丢失的客户和投资者的信心评估,一次严重的安全事故的后果是什么?IT基础设施失效的后果是什么?
·信息资产管理要遵循哪些法规?最高管理层(董事会)是否建立确保他们一致的制度?
·信息安全政策要求最高管理层(董事会)和管理执行层关注信息安全("高层重视"),包括发现的风险,建立恰当的基础设施管理和控制风险,并建立适当的控制和反馈程序吗?
·组织的网络经由第三方检测过吗?
·组织给所有人提供信息安全意识培训,安全是员工和管理者业绩评估的一部分吗?
·最高管理层(董事会)确信组织足够重视安全吗?
需要管理执行层回答的问题
·怎样向最高管理层(董事会)通报信息安全问题?最近一次报给最高管理层(董事会)关于安全风险和安全提升状况简报是何时?
·最近一次评估关键信息安全资产是何时?计划下一次是什么时候?
·风险评估是否考虑在关键信息不可用、泄密或遗失时,组织能继续运作?它包括从收入损失、失去客户和投资者信息几方面考虑的安全事故的后果吗?它测定信息基础设施失效的后果吗?
·风险评估考虑哪些信息资产受到法规的监管吗?它有适当的程序确保其符合这些法规吗?
·IT安全风险是IT管理会议的常规议题吗?管理层一直在跟踪改进活动吗?
·其他人在做什么,组织怎样保持与他们的关系?本行业最佳实务是什么?组织怎样与其对比?
·最近一次发布信息安全政策声明是什么时候?
·政策声明包括:
--哪些是关键的信息资产?
--最高管理层(董事会)和管理执行层对信息安全的重视("高层重视")?
--已发现了什么风险?
--是否建立了管理风险的控制机制?
--控制和反馈程序?
·最近一次评审信息安全负责人业绩是什么时候?信息安全负责人有向上层报告安全问题的合适途径吗?
·建立了何种安全措施保护连接到因特网的系统不受病毒和其它攻击?有效监控系统并向管理执行层报告监控结果了吗?
·最后一次审计信息安全是什么时候?管理执行层跟踪审计结果的执行效果了吗?
·有包含所有上述问题的安全方案吗?是否清楚地指定该方案的责任承担人?
有些基本的措施可让最高管理层(董事会)和管理执行层采用,以确保他们在组织实施了有效的信息安全治理。这些措施是:
采用最佳实践
在最高管理层(董事会)层
将信息安全及其持续性落实到业务管理者;
·建立审计委员会。该委员会清楚理解其信息安全任务,知道怎样与管理层和审计师合作;
·确保内部和外部审计师同意,审计中包括信息安全审计委员会和管理执行层要求的信息安全审计内容;
·要求信息安全负责人向审计委员会报告信息安全治理的进展和问题;
·建立危机处理机制,该机制要求执行管理层和最高管理层(董事会)最初就开始参与。
在执行管理层
·建立安全职责,协助管理者制定政策,并帮助组织实现这些政策;
·建立可测量的和易于管理的安全战略。该战略以标杆、成熟度模型、差距分析和持续报告绩效为基础;
·由安全和审计专家(内部的和外部的)筹办,进行年度的业务风险头脑风暴法会议,
得出风险现状评估结论,产生行动建议,并用持续的行动强化执行效果;
·综合运用专家的知识,制订信息安全与风险应急方案;
·建立清晰实用的企业和技术持续性方案,不断评估和更新该方案;
·根据清楚的程序进行信息安全审计,管理层有责任跟踪审计结论执行情况;
·制定清晰的方针政策和详细的指南,多和员工就该计划进行沟通,使每个人认可该计划,这就是善治的安全治理;
·经常性的评估监控系统所发现的系统弱点(CERT),评估非法入侵,压力测试和业务持续计划;
·使业务流程和支持流程的基础设施能够在故障后恢复,特别是遇到一般的故障时;
·建立安全基准线,并严格监控其不被违反;
·实施安全事故响应制度,并经常进行入侵测试;
·通过高标准的控制来强化所有安全设施、重要的服务器和通讯平台;
·基于管理规则授权,授权方式与业务风险管理相配合;
·工作绩效评估包含安全绩效评估,并对此采取适当的奖罚措施。
思考并分析关键成功因素
确保:
·认识到好的安全方案需要时间发展和完善;
·组织安全责任人直接向高层领导报告并负责安全方案的执行;
·管理层和员工共同理解安全的重要性、必要性、弱点和威胁,理解并接受他们自己的安全责任;
·定期由第三方来评估安全政策和安全的体系结构;
·安全负责人有管理安全的方法和能力,特别是在通过采取入侵测试和主动监控措施时,能将发生事故的可能性降至最低,但事故不可避免发生时,对事故侦查、记录、分析严重性、报告和采取行动的能力;
·清楚定义风险管理责任人的任务和职责及管理层的责任;
·建立定义风险界限和容许的最大风险的政策;
·存在定义、协商和资助风险管理改善行动的职责和程序;
·每隔一段时期由第三方进行更客观的安全战略审查;
·识别并持续监控关键的基础设施;
·使用服务水平协议提高认识,增加与安全和持续性需求提供商间的合作;
·在制定政策时就考虑和确定政策的强制执行;
·适当的测量对政策认识、理解和遵循的程序;
·保证好部署前的应用软件的安全;
·信息控制策略与公司整体战略规划相一致;
·管理层确信和认可信息安全、控制政策,强调沟通、理解和遵循这些政策的必要性;
·采用一致的政策制定框架,指导政策的构思、制定、理解和遵循;
·意识到虽然熟悉内幕的专业人士是绝大部分安全风险的根源,但有组织犯罪性质的攻击和其他没有专业知识人员的攻击正在增加;
·适当关注数据保密性、版权和其它与数字时代有关的法律;
·组织高层支持确保员工以合乎道德、安全的方式履行责任的行动;
·榜样的力量是无穷的。管理层必须明白信息安全对于组织成功的关键意义,带头遵守有关规章制度,为所有员工树立起安全意识的榜样。
使用绩效测量标准
通过以下方面确定在信息安全上是否成功:
·没有引起公众困惑的事故;
·减少因为安全问题延迟新行动计划的数量;
·有保持依赖IT的关键业务流程连贯性的计划;
·自动监控重要的信息基础设施;
·员工在以下方面的进步可以测量:认识有道德的行为的必要性、系统安全原理和以道德的及安全的方式评估业绩;
通过以下方面确定信息安全治理是否成功:
·全面遵循最低安全要求,或者记录违背最低安全要求的行为;
·制定和确认的与IT有关的规划和政策包含IT安全的任务、远景、目标、价值和行为守则;
·IT安全规划和政策传达到所有相关各方。
10. 怎样寻找差距?
最高管理层(董事会)和管理执行层可以使用信息安全治理成熟度模型建立组织的安全级别。该模型被应用为:
·一种自评估等级的方法,确定组织处于哪个级别;
·一种使用自评估结果设定将来发展目标的方法。这个目标是根据组织希望处于等级表的哪个级别,上一级别哪些是不必要的;
·一种规划达到目标的项目的方法。这个规划是基于当前状况和这个目标的差距分析的;
·一种确定项目优先次序的方法。有限次序的确定是根据项目类别和其投资受益率;
|
成熟度级别
|
说明
|
|
0
|
没有级别
l 没有评价流程和商业决策的风险;组织没有考虑与安全隐患和项目开发不确定性对业务的影响;没有认识到风险管理关系到IT解决方案的获得和IT服务的传送;
l 组织没有认识到IT安全的必要性;没有确定保证安全的责任和义务;没有实行支持IT安全管理的措施;没有对IT安全问题的IT安全报告和响应程序;完全没有管理系统安全的流程;
l 不理解IT运作的风险、弱点和威胁,不理解没有IT服务对业务的影响;不认为服务的连贯性是管理层关心的问题。
|
|
1
|
初始的/混乱的
l 组织以一种混乱的方式考虑IT风险,没有遵循定义的流程和政策;每个项目都是采取非正式的项目风险评估;
l 组织认识到IT安全的必要性,但是安全意识依靠个人;被动考虑IT安全,没有评测IT安全;因为职责不清,发现IT安全问题只引起局部反应;无法预知对IT安全问题的反应;
l 持续提供服务的职责不是正式的,且只有限的授权;管理层知道有关风险和持续服务的必要性。
|
|
2
|
可重复的但是根据直觉
l 开始认识到IT风险的重要性和必要性;有某种风险评估方法,但这个过程虽然仍旧不成熟,但在完善中;
l IT安全职责被赋予一个了解IT安全,但没管理权的人;不完整的和有限的安全意识;形成但没分析IT安全信息;没有确定组织特定的IT安全需求,只是被动对IT安全事故做出反应,请第三方处理这些事故;开始制定安全政策,但没有足够的技巧和工具;IT安全报告不完整,易于使人误解,或不能切中要害;
l 分配了持续服务的职责,但提供的服务不完整;系统可用性报告不完全,没有考虑其对业务的影响。
|
|
3
|
已定义的流程
l 组织范围内的风险管理政策定义了怎样进行风险评估;风险评估遵循一个已定义的流程;该流程已形成规范,适用于所有接受过相应培训的员工;
l 安全意识存在并得到管理层的促进;安全简报已标准化和正式化;定义IT安全程序并使其适合安全政策和程序结构;确定IT安全职责但没有始终如一地得到执行;存在驱动风险分析和安全解决方案地IT安全规划;IT安全报告面向IT而不是面向管理;执行了初步的入侵测试。
l 管理层不断交流持续服务的必要性;局部采用了高可靠设备和冗余系统;严格维护重要的系统和设备清单。
|
|
4
|
已管理的和可测量的
l 根据标准程序评估风险,不遵守此程序的将被IT管理者通报;IT风险管理可能成为具有很高责任的管理职能;管理执行层和IT管理者已确定组织容忍的最大的风险级别,并已有测量风险/收益比的测量标准;
l 清晰赋予、管理和执行IT安全职责;持续分析IT安全风险和影响;完整的基于特定安全基准线的安全政策和实践;标准化的用户识别、验证和授权;建立员工安全认证考试制度;入侵测试是标准的和正式的改进程序;越来越多利用成本/收益分析,支持安全评测;IT安全流程与组织总体的安全职能保持一致;IT安全报告与管理目标相联系;
l 强制执行持续服务的职责和标准;始终使用冗余系统,包括使用高可靠设备。
|
|
5
|
优化级
l 开始有规律地、有效地执行一个结构化的、组织范围内的风险评估流程;
l IT安全是业务管理者和IT管理者的共同责任,它被统一到公司安全管理目标中;IT安全需求被清晰定义,优化并包括于经核实的安全计划中;安全职责在应用软件的设计阶段就被考虑,终端用户负有更多的管理安全的责任;IT安全报告提供变化和出现的风险的早期警告;自动监控关键的系统;利用由自动化的工具支持的正式的事故响应程序快速处理事故;定期的安全评估,以评价安全计划执行效果;系统地收集和分析新的威胁和隐患信息,及时通知并实施恰当地补救措施;入侵测试、安全事故的深层原因分析和预先发现风险是持续改进的基础;在组织范围内集成的安全程序和技术;
l 持续服务计划和业务持续性计划被集成,调整,并得到日常的维护;购买的持续服务必须得到厂商和主要提供商的安全保证。
|
概述起来,信息安全治理成熟度模型方法和其它成熟度模型一样,具有以下几个方面的优点或作用:
·信息安全治理成熟度模型涉及信息安全和业务需求的各个方面,是一种进行实用性比较的等级制,能以简单方式测定差异,有助于确定有关信息技术管理和安全性方面的相对水平。
·使管理部门相对容易地依据等级制对自己定位,并找出需要改善安全管理的地方。组织对自身进行差距分析以确定需要做哪些工作来达到所选级别。0-5等级是基于一个简单的成熟性量度,体现出一个处理如何从不存在级发展到优化级的管理过程,增加成熟度意味着增强风险管理与提高管理效率。
·信息安全治理成熟度是测量安全管理处理等级的一种方法,这些等级正是一个给定的信息安全管理处理的惯例,体现各个成熟层次的典型模式,有助于组织将主要精力投入到关键的管理方面。
·信息安全治理成熟度模型等级有助于专业人员向管理层解释信息安全管理存在的缺陷,并把他们组织的控制惯例与最佳惯例对照起来,从而确定组织的未来发展目标。
我们认为信息安全治理成熟度模型将有助于解决以下在IT部门中普遍存在的问题:
·在竞争如此激烈的市场环境中,您的公司或部门在信息安全上处于什么水平?
·如果您认为有差距,究竟差在哪里?如何去改进?
·如果您觉得运作良好,那么您能说出好在哪里?好到何种程度?
·如何对信息安全管理进行绩效评估?
对于上述问题,如果您觉得有必要拿出一个量化的答案,以助于提升组织的信息安全,那么本文所介绍的信息安全管理评估工具就是一个很好的方法。
11. 监管和标准制定部门采取什么行动?
目前,金融业走在了所有行业的前头,中国人民银行在今年4月专门成立了"网上银行发展与监管工作组",希望促进国内商业银行加强网上银行业务风险管理,安全和IT是此风险地重要方面。而过去主要的风险是由内部控制、疏忽和IT造成的。
首先,我们回顾一下国际信息安全的发展过程:
经济合作和发展组织,《信息系统安全指南》(1992)
经济合作和发展组织的《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国,以及十几个非OECD成员国家都批准了这一指南。该指南旨在:
·提高信息系统风险意识和安全措施;
·提供一个一般性的框架以辅助针对信息系统安全的有效的度量方法、实践和程序的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作;
·促进人们对信息系统的信心,促进人们应用和使用信息系统;
·方便国家间和国际间信息系统的开发、使用和安全防护;
这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育/宣传活动。该指南的最终目的是作为政府、公众和私有部门的标杆,社会能通过此标杆测量进展。
国际会计师联合会,《信息安全管理》(1998)
信息安全的目标是"保护依靠信息、信息系统和传送信息的通讯设施人的利益不受因为信息可用性、保密性和完整性导致故障的损害"。认可组织在满足下面3条准则时可以认为达到信息安全目标:信息系统在需要时可用和有用(可用性);数据和信息只透露给有权知道该数据和信息的人(保密性);数据和信息保护不受未经授权的修改(完整性)。
可用性、保密性和完整性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。
信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外,业务依赖性(依靠第三方通讯设施传送信息,外包业务等等)可能潜在地导致管理控制的失效和监督不力。
国际标准化组织,《ISO 17799国际标准》(2000)
ISO17799(根据BS7799第一部分制定)作为确定控制范围的单一参考点,在大多数情况下,这些控制是使用商业信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,像其它重要商业资产一样,这种资产对组织有价值,因此需要恰当保护它。
ISO17799认为信息安全有下列特征:
保密性--确保信息只被相应的授权用户访问;
完整性--保护信息和处理信息程序的准确性和完整性;
可用性--确保授权用户在需要时能够访问信息和相关资产;
信息安全保护信息不受广泛威胁地损害,确保业务连贯性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施包括政策、实践、程序、组织结构和/或者软件组成。
美国注册会计师协会/加拿大特许会计师协会,《SysTrust?系统可靠性原理和准则V2.0》(2001)
SysTrust服务是一种保证服务,用于增强管理者、客户和商业伙伴对支持业务或某种特别活动的系统的信任。SysTrust服务授权注册会计师承担如下保证服务:注册会计师从可用性、安全性、完整性和可维护性4个基本方面评估和测试系统是否可靠。
可用性--系统在服务水平声明或协议规定的时间内可以运行和使用;
安全性--确保系统拒绝未经授权的物理的或逻辑的访问;
完整性--系统的数据处理是完整的、准确的、及时的和被授权的;
可维护性--必要时能够升级系统而不影响系统或者与系统的可用性、安全性和完整性相冲突。
SysTrust定义在特定环境下及特定时期内,没有重大错误、缺陷或故障地运行的系统为可靠系统。系统的界限由系统所有者确定,但必须包括以下几个关键部分:基础设施、软件、人、程序和数据。
SysTrust的框架是可升级的,因此,企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统四个标准的判断组成对系统整体可靠性的判断。注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。但是这种判断仅仅对特定标准的可靠性做出判断,不是对系统整体可靠性的判断。
信息系统审计和控制基金会/IT治理协会,《信息和相关技术的控制目标》(CoBIT?)
CoBIT由信息系统审计和控制基金会与IT治理协会开发和推广(第三版),CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提。除了鼓励以业务流程为中心,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和安全的需要,它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、保密性、可靠性和一致性。
CoBIT进一步把IT分成4个领域(计划和组织,获取和运用,传送和支持,控制),共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是:
·计划和组织流程9--评估风险;
·传递和支持流程4--确保连贯的服务;
·传递和支持流程5--保证系统安全。
每个流程定义了一个高级别的目标:
·识别IT流程中最重要的信息准则;
·列出需要经常调整的资源;
·考虑控制IT流程的重要方面
CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。后者是用来评估和审计对IT流程控制和治理的程度。
CoBIT最近增加了一个管理和治理层,该层提供给管理者一个工具箱,包括:
绩效评估项目(所有IT流程的成果测量和改进动力);
一个关键成功因素列表。该列表为每个IT流程提供了成功的、非技术的最佳实践;
一个协助建立标杆和做出进行IT控制决策的成熟度模型。
总之,建立信息安全治理机制是一个动态的过程。结合国情,我们对建立我国信息安全治理机制有如下建议:
制定国家层面上的信息安全框架及安全组织机构。从战略视角来看,信息安全是一项包括技术层面、管理层面、法律层面的社会系统工程,延伸开来还应该包括观念和文化层面,例如从文化意义上构建信息技术的行为准则,培育网络空间的道德规范。我国已经颁布了一系列有关信息安全的管理条例,但较零散,尤为突出的是缺少国家级的统领全局的信息安全框架。信息安全的管理工作、标准的制定、安全产品评测与认证等工作政出多门、各行其是,目前相关政府部门在网吧管理上的不一致就是这种情况的表现。因此要求政府部门必须采取相互协调、目标明确的措施,以免在制订和审定政策时发生拖杳、重复、甚至冲突的现象。
安全组织包括建立健全组织体系,明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门。制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务。发达国家一般都建立有信息安全管理机构,美国安全委员会下设了国家保密政策委员会和信息系统安全保密委员会;英、法等国家建立了"国家信息安全委员会":德国成立了"国家信息安全局"。我国设置信息安全管理机构可采用建立专门信息安全管理机构或在现有的安全部门下设立信息安全管理分支机构。
在条件较为成熟的地方试行建立安全治理的机制。信息安全不是个产品,它是一个完整的过程。作为一个过程,它有人、技术、流程这三个组成部分,这些组成部分匹配得越好,过程进展得越顺利。因此,如果要使我们的信息系统安全,在外部环境上亟需建立、健全统一指挥、统一步调的强有力的各级信息安全治理机制,这是实现信息安全目标的基本组织保障;在内部结构上就必须建立一整套从组织最高管理层(董事会)到执行管理层以及业务运营层的管理结构来约束和保证这三个组成部分。
环境的动态性决定了信息安全工作将是一个长期的、无止境的攻防与挑战,但对于企业而言,除非碰到严重的安全问题,否则大都仍无法体会信息安全治理机制的重要性,甚至会有人认为即使碰上了,也损失不大的错误观念。因此,我们建议在需求较为强烈的政府电子政务和金融业等条件较为成熟的地方试行建立安全治理的机制,达到预先防治、应急处理及事后复原的基本要求,在长期的工作目标上,逐步形成广泛的安全文化和安全治理机制,建立与国际接轨的信息安全机制,推动国际化合作网络的发展,以提升国内企业在国际上的竞争力。
·信息安全治理机制和策略的制定要建立在上下互动的基础上(这就是为什么使用"治理"而不是监管、监控或其它词语的原因)。加强信息安全治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色,并且尤其需要强调的是政府制定规则比较合理的方法是通过上下协商、交互式地制定规则,这样才能解决规则的充分合法性、可执行性问题,"治理不是一种正式的制度,而是持续的互动"。对于企业的最高管理层(董事会)在制定信息安全策略时亦是如此,只有这样才有可能制定出与企业需要相匹配的安全策略。另外,由于国家制定标准会出现滞后于信息技术的发展、把用户"锁定"在过时的技术上、有可能阻碍技术创新等问题,在对国内外信息安全治理广泛研究的基础上,我们认为与信息安全有关的产品或服务将不会只有一种标准,技术标准也不必是强制性的。因此,国家应该鼓励协会等自愿性组织在制订促进可互操作的标准和行业自律规范方面发挥作用。在某些情况下,多个标准将在市场上竞争,看哪种标准能被大家认可。在另一些情况下,不同的标准将应用于不同的环境。简言之,在市场竞争中胜出的标准将有利于促进信息安全产业的发展。
·很多这方面的安全策略和标准实际上是为 "理想环境"所写的,在这种环境所有的标准和技术控制与整个组织匹配得天衣无缝。然而,这样的策略在实际实施过程中必然会出现问题,组织或使用者会发现策略的定制者们并未理解他们真正的需要。这就产生了所谓的"一致性鸿沟"──组织或使用者希望在策略中体现的规则与实际制定出的规则的差异。当"一致性鸿沟"在组织中出现并达到一定的程度时,如果这些策略过于理论化或限制性太强,那么组织的执行管理层人员和最终用户就会漠视这这些策略。因此,我们认为在策略定制、发展过程中需要体现所有信息拥有者和知识财产的管理者的心声,并且这一点是非常重要的。
同时,在制定信息安全制度时要注意考虑组织文化。许多信息安全方面的规章制度都是参考制度模板或者以其他组织的规章制度为模板而制定出来的。与组织文化和组织业务活动不相适应的信息安全制度往往会导致发生大范围的不遵守现象。另外,规章制度还必须包括适当的监督机制。
·建议设立一年一度的"安全意识日",树立信息安全第一的意识。目前,非常多的信息安全工作都将工作重点放在技术方面,而将员工的信息安全意识和安全教育放在次要的位置,这样做的结果是企业不恰当地在技术方面花费太多的时间。但是信息并非只是一个技术问题,它也是一个关于人和管理的问题。纵观各类的信息安全规则,我们会发现它们都具有一个共同点──进行员工培训。一年一度的"安全意识日"应当通过讲座、研讨会、新闻媒体、网站和其它宣传方式将安全意识扩展为一种氛围,努力提高和强化社会的信息安全观念意识,确立信息安全管理的基本思想与政策,加快信息安全人才的培养,同时倡导信息伦理,提高公务员和公民的信息安全自律水平。这就将焦点从强制性的安全策略转换为自主接受的安全策略文化,这也是我们实现信息安全目标的基本前提。
·对信息系统进行安全审计。信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以完成组织的战略目标,同时最经济的使用资源。它综合运用IT技术与审计理论及方法为信息时代信息的使用者提供合理的保证。
信息安全审计工作可以分为两大类:一种是组织自行完成的内部审计,另一种是由会计师事务所或专业技术服务提供商完成的外部审计。内部审计的主要目的是检查组织各部门对安防制度的遵守情况,外部审计通常是因为上市、并购、年终检查或其它法规的要求而进行,一般都很正规,也非常深入。
·把安全视为一种理念,不断推进。许多公司都把信息安全看成是一个项目,具有开始和结束,但是一旦将它看成一个动态的过程,就更容易分阶段地引入一些更为全面的安全策略。还有安全策略必须变得更具用户导向性和更加动态。技术发展日新月异,组织如果想继续保持竞争力,就必须更多地承担起教育员工、合作伙伴和客户的责任。而这一切是一个没有终点的过程,必须建立在一套好的信息安全治理机制的基础上。
2017-02-08 11:46