缺乏信息安全架構 IT治理易成空中樓閣
在今天的商業環境中,IT已成為企業業務發展和管理不可或缺的重要組成部分,其作用和影響力已擴散到企業的每一個領域。但IT給企業帶來活力、利潤和競爭力的同時,也給企業帶來了風險。例如,日益依賴IT的企業面臨著因信息安全導致的業務災難風險。因此,如何最大限度地保證信息安全成為每個企業都必須正視的問題。
近日在深圳召開的“中國信息化與IT治理高層研討會”上,信息安全架構和IT治理成為眾多CIO關注的熱點。會議認為加強信息安全離不開IT治理,完善的IT治理是信息安全的保障;而建立有效的信息安全架構則是IT治理的基石,企業才可以在很大程度上防御IT帶來的信息安全風險。那么,信息安全架構是什么?為什么沒有信息安全架構,IT治理就容易成為空中樓閣?
一、IT治理面臨的信息安全挑戰
在中國經濟強勁復蘇的背后,企業的業務發展與創新對IT的依賴程度越來越高。但任何事物都有它的兩面性。正確、恰當地使用IT系統能為企業帶來飛速的發展,但系統缺陷、人為誤操作、系統攻擊等不可預料的各種IT風險也同樣會使企業面臨巨大的災難。長期以來,人們對保障信息安全的手段偏重于依靠技術,例如加密技術、數據備份、防病毒、防火墻等手段。而且在大多數IT管理人員的視角中,信息安全也僅僅局限在技術層面的操作,信息安全經常被看作只是一個技術問題,很少認為它是企業必需的并需要優先考慮。事實上,僅僅依靠技術來保障信息安全的愿望往往是難盡人意的,因為面對復雜多變的安全威脅和隱患單靠技術手段是無法消除的。
據實踐經驗表明,信息安全治理是與IT治理密不可分的。假如把信息安全治理比作指引組織進行安全項目的路標,那么信息安全架構的設計便是組織通往信息安全這個目標所用的交通工具。因此,沒有了信息安全架構,IT治理根本無從談起。信息安全架構是指企業管理層利用它來監督企業在信息安全戰略上的過程、結構和聯系,以確保IT運營處于正確的軌道之上。因此,缺乏良好信息安全架構的企業,就是說缺乏健全的風險控制機制,因而不可能很好的進行信息安全管理,進而也不可能取得IT治理的成功;同樣,沒有信息安全管理體系的暢通,IT治理也只能是一個美好的藍圖,而缺乏實際的內容。
二、為什么信息安全架構是IT治理的基石?
(1)IT治理要以IT風險防治為核心
目前,信息系統已在企業和政府組織中得到了廣泛的應用,IT治理成為企業治理越來越關鍵的一部分。在復雜的現實環境中,不安全因素總是存在的。各種各樣的資料都顯示著信息安全風險以及災難性事件的數量,正隨著時間的推移而增加。IT治理的一個重要內容是估計相關風險對企業的經營收益和IT績效的影響,并有效控制IT風險,避免IT資產的損失。IT風險是一種潛在的可能,是指某些威脅將會造成IT資產甚至其它相關資產損失或者破壞的潛在可能性。安全從來就不是一種非黑即白的概念。目前的信息安全早已不只是人們傳統意義上的安全,即添加防火墻或路由器等簡單的設備就可保證安全,而是成為一種系統和全局的觀念。信息安全是指使信息避免一系列威脅,保障業務連續性,最大限度地減少業務損失,從而最大限度地獲取投資和回報的一種保障機制。
傳統的信息安全管理基本上是一種靜態的、局部的、突擊式、事后糾正式的管理方式,導致的結果是不能從根本上避免和降低各類風險,也不能降低信息安全故障導致的綜合損失。而基于信息安全架構的思想是一個系統化、程序化和文件化的管理體系,基于系統、全面、科學的安全風險評估,體現預防控制為主的思想,強調遵守有關信息安全的法律法規及要求,強調全過程動態控制,本著控制費用與風險平衡的原則合理選擇安全控制方式保護關鍵信息資產,使信息風險的發生概率和結果降低到可接受收水平。COSO(美國內部控制委員會)在最新一期的IT治理指南中將IT信息安全架構界定為內部控制和風險防范的起點與核心,足以說明IT治理應以信息安全的識別和防范為著力點。因此,企業需要建立完善、健全的信息安全架構來規范IT治理行為,通過建立詳盡的風險控制機制來降低企業的IT風險。
(2)信息安全是IT治理的基石
信息安全不是一個孤立靜止的概念,它是一個多層面、多因素的、綜合的、動態的過程。不同的企業對信息安全會有不同的理解,長期以來信息安全被看作是消極因素,不產生價值。然而,全球網絡的出現和企業傳統邊界地的延伸,使其成為價值和機會的創造者,特別在提升IT利益各方的信任感方面。因此,信息安全必將成為IT治理一個重要且必不可少的部分,忽略信息安全將使IT價值的創造無法持久。信息安全的涵義體現在三個方面:一是安全性,是指確保信息僅可讓授權的人獲取和訪問;二是完整性,是指保護信息和處理方法的準確和完善;三是可用性,是指確保授權人需要時可以獲取信息和相應的資產。因此,實現信息安全是一個需要完整的體系來保證的持續過程。有效的安全防衛不僅是技術問題,也是一個管理問題。
一般來說,信息安全架構是通過實施一套恰當的控制措施來實現的,該控制措施包括政策、實踐、程序、組織結構和工具軟件組成。因此,信息安全架構模型和其它模型一樣,具有以下幾個方面的優點或作用:①信息安全架構模型涉及信息安全和業務需求的各個方面,能以簡單方式測定差異,并有助于確定有關安全性方面的相對水平;②信息安全架構成熟度是測量安全管理處理等級的一種方法,這些等級是一個給定的信息安全管理處理的慣例,體現各個成熟層次的典型模式,有助于企業將主要精力投入到關鍵的管理方面;③信息安全架構模型等級有助于專業人員向管理層解釋信息安全管理存在的缺陷,并把組織的控制慣例與最佳慣例對照起來,從而確定企業的未來發展目標。因此,信息安全架構和IT治理不但是息息相關的,也是IT治理的基石。
三、建立高效信息安全架構的流程和方法
信息安全經常被看作只是一個技術問題,很少有企業認為它是必需的并需要優先考慮的。所以,治理和管理信息安全的責任常常被限制在CIO身上。事實上,這是一個誤解。現在信息安全正越來越成為業務成功的關鍵因素,信息安全架構將能有效的幫助企業達到業務目標或創造新的競爭機遇,而不僅僅是一個技術環節。本部分提出建立信息安全架構的流程和常規步驟:
(1)宣傳和推廣信息安全對業務的重要性
首先是高層管理者必須意識到IT信息安全架構對業務的重要性,這是設計信息安全架構的前提。其次是充分了解企業的業務安全需求。例如,了解和分析組織業務所處的風險環境,并在此基礎上提出安全保障措施;定義合理的安全投資規模和計劃,制定出合理的安全政策和制度。包括對業務內容、性質、目標及其價值進行分析,在信息安全中業務一般是以資產形式表現出來,它包括信息/數據、軟/硬件、無形資產、人員及其能力等。
(2)定義信息安全驅動方向和策略
企業應采取最高管理層級的行動及時了解信息安全狀況,以確定信息安全的驅動方向和戰略。信息安全策略是組織信息安全的最高方針,需要根據組織內各個部門的實際情況,分別制訂不同的信息安全策略。例如,規模較小的組織單位可能只有一個信息安全策略,并適用于組織內所有部門、員工;而規模大的集團組織則需要制訂一個信息安全策略文件,分別適用于不同的子公司或各分支機構。信息安全策略應該簡單明了、通俗易懂,并形成書面文件,發給組織內的所有成員。同時要對所有相關員工進行信息安全策略的培訓,以使信息安全方針真正植根于組織內所有員工的腦海并落實到實際工作中。
(3)進行信息安全風險評估
ISO/IEC把風險定義為特定的威脅利用資產的一種或一組薄弱點,導致資產的丟失或損害的潛在可能性。風險評估是對信息和信息處理的威脅、影響和薄弱點及三者發生的可能性評估,即利用適當的風險評估工具用定性與定量的方法,確定資產風險等級和優先控制順序。簡單的說,風險評估主要是對信息安全架構范圍內的信息資產進行鑒定和估價,然后對信息資產面對的各種威脅和脆弱性進行評估,同時對已存在的或規劃的安全管制措施進行鑒定。
信息安全風險評估的復雜程度將取決于風險的復雜程度和受保護資產的敏感程度,所采用的評估措施應該與組織對信息資產風險的保護需求相一致。由于信息安全是一個動態的系統工程,企業應實時對選擇的管制目標和管制措施加以校驗和調整,以適應變化了的情況,使企業的信息安全得到有效、經濟、合理的保護。
(4)成立安全管理小組,編制安全基線分析報告
CIO應要根據安全基線分析報告制定企業信息安全架構,包括成立一支專業、高效的信息安全管理的隊伍,一般由信息安全主管為核心,并由信息安全日常管理、信息安全技術操作兩方面的人員組成。這對建立有效的信息安全是非常有必要的。安全基線分析報告是指運用各種手段從各個層面廣泛收集IT風險狀況,進行全面、徹底的自我分析與診斷的報告。包括對組織業務特征、組織文化、安全意識、人員狀況及信息風險評估的綜合分析,詳細描述當前企業的信息安全狀況,為進一步制定信息安全投資預算計劃、信息安全投資回報分析、制定安全政策、引入安全控制措施而提供基礎數據。
(5)平衡信息安全架構中的風險
有業內人士指出,風險控制是一門系統科學,風險降得越低需要的支出就會越多。因此,企業需要尋找一個合適的平衡點來保障企業能夠在可接受的風險范圍內支出盡量少的錢。而要想平衡IT架構中的安全風險,就必須在信息安全架構設計的過程中平衡多種需求,這些需求可能是來自業務部門,或者來自企業的方方面面。平衡信息安全架構通常需要根據組成構架的每個元素的重要性來確定如何進行取舍和開發。基于此,許多信息安全專家一致認為信息安全架構需要從整體安全角度來審閱整個架構,以平衡架構設計與應用中的安全風險。
總而言之,信息安全是一個相對的概念,安全威脅時時刻刻存在。IT信息的安全涉及方方面面,任何一個地方的疏漏都會成為整個IT治理的致命短板。因此,當沒有建立起信息安全架構時,IT治理根本無從談起。IT技術本身可能是信息安全體系里最不重要的部分,但IT信息安全架構卻是重中之重。IT 信息安全架構不僅是IT治理的一部份,更是企業持續經營重要基石。
【編輯推薦】
