缺乏信息安全架构 IT治理易成空中楼阁

在今天的商业环境中，IT已成为企业业务发展和管理不可或缺的重要组成部分，其作用和影响力已扩散到企业的每一个领域。但IT给企业带来活力、利润和竞争力的同时，也给企业带来了风险。例如，日益依赖IT的企业面临着因信息安全导致的业务灾难风险。因此，如何最大限度地保证信息安全成为每个企业都必须正视的问题。

近日在深圳召开的“中国信息化与IT治理高层研讨会”上，信息安全架构和IT治理成为众多CIO关注的热点。会议认为加强信息安全离不开IT治理，完善的IT治理是信息安全的保障;而建立有效的信息安全架构则是IT治理的基石，企业才可以在很大程度上防御IT带来的信息安全风险。那么，信息安全架构是什么？为什么没有信息安全架构，IT治理就容易成为空中楼阁？

一.IT治理面临的信息安全挑战

在中国经济强劲复苏的背后，企业的业务发展与创新对IT的依赖程度越来越高。但任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展，但系统缺陷、人为误操作、系统攻击等不可预料的各种IT风险也同样会使企业面临巨大的灾难。长期以来，人们对保障信息安全的手段偏重于依靠技术，例如加密技术、数据备份、防病毒、防火墙等手段。而且在大多数IT管理人员的视角中，信息安全也仅仅局限在技术层面的操作，信息安全经常被看作只是一个技术问题，很少认为它是企业必需的并需要优先考虑。事实上，仅仅依靠技术来保障信息安全的愿望往往是难尽人意的，因为面对复杂多变的安全威胁和隐患单靠技术手段是无法消除的。

据实践经验表明，信息安全治理是与IT治理密不可分的。假如把信息安全治理比作指引组织进行安全项目的路标，那么信息安全架构的设计便是组织通往信息安全这个目标所用的交通工具。因此，没有了信息安全架构，IT治理根本无从谈起。信息安全架构是指企业管理层利用它来监督企业在信息安全战略上的过程、结构和联系，以确保IT运营处于正确的轨道之上。因此，缺乏良好信息安全架构的企业，就是说缺乏健全的风险控制机制，因而不可能很好的进行信息安全管理，进而也不可能取得IT治理的成功;同样，没有信息安全管理体系的畅通，IT治理也只能是一个美好的蓝图，而缺乏实际的内容。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友