2017-02-28 11:07
信息安全治理(二)
——创造新的战略竞争机遇
孙强 左天祖 孟秀转
2. 信息安全治理的定义
安全涉及保护有价值的资产不被遗失、滥用、泄露或者损害。我们此处的“有价值的资产”特指从电子媒介上记录、处理、存储、共享、传送和接受的信息。信息必须保护不被导致不同类型的弱点如损失、不能访问、改变和故意泄露的威胁的损害,这些威胁包括错误、遗漏、欺诈、意外和故意损害。相应的保护是一系列分级的技术和非技术的安全措施,如物理安全措施、背景审查、用户识别、密码保护、智能卡、生物测定和防火墙。这些措施将确定信息系统的弱点和面临的威胁。
在不断变化的技术环境中,今天最好的安全措施在明天可能过时。安全措施必须紧跟这些变化,必须被作为系统开发生命周期过程整体的一部分加以考虑,并在过程的每一阶段明确定位。有效的安全需要主动及时的制度安排。
信息安全的目标是“保护依靠信息的人、系统和传输信息的通讯系统不受损害,这种损害来源于信息可用性、机密性和完整性的失效”。目前新出现的定义又增加信息有效性和占有性之类的概念-后者与偷窃、欺诈和舞弊相对应-网络经济当然增加了电子交易信用和责任的需要。依据国际上一般公认的准则,对大部分组织来说,满足安全目标必须做到:
可用性:信息在需要时可用和有用,提供信息的系统能适当地承受攻击并在失败时恢复;
保密性:信息只能被有相应权限的人看到,或透露给他们;
完整性:未经授权,信息不能被修改;
真实性和不可否认性:组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。
可用性、保密性、完整性、真实性和不可否认性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境的不同而不同,例如,当信息影响与战略相关的关键决策时,管理信息的完整性就特别重要。
根据国际会计师联合会发布的管理信息和通讯系统风险国际指南第一号报告《管理信息安全》,与信息安全相关的6个主要活动是:
政策制定——使用安全目标和核心原理作为框架,围绕这个框架制定安全政策;
角色和责任——确保每个人清楚知道和理解各自的角色、责任和权力;
设计——开发由标准、评测措施、实务和规程组成的安全与控制框架;
实施——适时应用方案,并且维护实施的方案;
控制——建立控制措施,查明安全隐患,并确保其得到改正;
安全意识,培训和教育——安全意识的养成,宣贯保护信息的必要性,提供安全运作信息系统所需技巧的培训,提供安全评估和实务教育。
最后一点还要加上激励,因为人们可能有这种有意识,但需要激发其行动。
然而,制定一项政策,使人们接受它,然后希望每个人遵守这项政策的日子已一去不复返了。风险出现的速度和变化的速度需要一种不同于以前的、连贯的方法,我们称之为“测试和修补”。它通过执行安全管理职能,提高防卫能力和完善政策建立安全机制,来连续地监控和测试基础设施和环境的隐患和响应速度,如下图所示:
新兴的信息安全方法就像门卫在晚上穿行走廊,检查门把柄来了解房间的安全状况。如果有人认为技术能够解决安全性问题,那么他就不理解安全性问题,也不理解技术。
美国明尼苏达大学Bush-Kugel的研究报告中指出,企业在没有信息资料可用的情况下,金融业至多只能运作2天,商业则为3.3天,工业则为5天,保险业约为5.6天。而以经济情况来看,有25%的企业,因为数据的损毁可能立即破产,40%会在两年内宣布破产,只有7%不到的企业在五年内后能够继续存活。
信息系统可能产生许多直接或间接的好处,但也有可能产生许多直接或间接的风险。这些风险已使系统所需要受到的保护与已受到的保护之间产生差距,这种差距是由下列因素形成:
技术的广泛使用;
系统的互连互通;
距离、时间和空间限制的消失;
技术变革的不均衡;
管理和控制权的下放;
对进行反传统的电子攻击的吸引力;
外部因素如立法机关、法规的要求或技术的发展。
这意味着存在一个新的对重要的商业运作有重大影响的风险区,如:
要求更高的系统可用性和强壮性;
更可能的误用或滥用信息系统而影响隐私和道德;
来自黑客的外部危险,导致拒绝服务、病毒攻击、盗用和泄漏公司信息。
新的技术提供了显著加强经营业绩的潜力,提高和宣传信息安全能够为组织带来实在的价值,包括促进与商业伙伴之间的交互,更紧密的客户关系,提高竞争优势和保护企业声誉,还能使新的和更方便的电子交易方式成为可能并得到信任。可见,信息安全问题并不总是一个需要我们规避的风险,事实上,安全可以为我们创造新的战略机遇。以招商银行一卡通为例,正是因为招行的安全防护体系足以保护自己的利益,所以才能无所顾忌地放手实施网上银行计划,创造出可以和四大国有银行竞争的战略机遇。
未完待续
浏览:信息安全治理(一)