缺乏信息安全架构 IT治理易成空中楼阁

三.建立高效信息安全架构的流程和方法

信息安全经常被看作只是一个技术问题，很少有企业认为它是必需的并需要优先考虑的。所以，治理和管理信息安全的责任常常被限制在CIO身上。事实上，这是一个误解。现在信息安全正越来越成为业务成功的关键因素，信息安全架构将能有效的帮助企业达到业务目标或创造新的竞争机遇，而不仅仅是一个技术环节。本部分提出建立信息安全架构的流程和常规步骤：

(1)宣传和推广信息安全对业务的重要性

首先是高层管理者必须意识到IT信息安全架构对业务的重要性，这是设计信息安全架构的前提。其次是充分了解企业的业务安全需求。例如，了解和分析组织业务所处的风险环境，并在此基础上提出安全保障措施;定义合理的安全投资规模和计划，制定出合理的安全政策和制度。包括对业务内容、性质、目标及其价值进行分析，在信息安全中业务一般是以资产形式表现出来，它包括信息/数据、软/硬件、无形资产、人员及其能力等。

(2)定义信息安全驱动方向和策略

企业应采取最高管理层级的行动及时了解信息安全状况，以确定信息安全的驱动方向和战略。信息安全策略是组织信息安全的最高方针，需要根据组织内各个部门的实际情况，分别制订不同的信息安全策略。例如，规模较小的组织单位可能只有一个信息安全策略，并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件，分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂，并形成书面文件，发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训，以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。

(3)进行信息安全风险评估

ISO/IEC把风险定义为特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性。风险评估是对信息和信息处理的威胁、影响和薄弱点及三者发生的可能性评估，即利用适当的风险评估工具用定性与定量的方法，确定资产风险等级和优先控制顺序。简单的说，风险评估主要是对信息安全架构范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全管制措施进行鉴定。

信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致。由于信息安全是一个动态的系统工程，企业应实时对选择的管制目标和管制措施加以校验和调整，以适应变化了的情况，使企业的信息安全得到有效、经济、合理的保护。

(4)成立安全管理小组，编制安全基线分析报告

CIO应要根据安全基线分析报告制定企业信息安全架构，包括成立一支专业、高效的信息安全管理的队伍，一般由信息安全主管为核心，并由信息安全日常管理、信息安全技术操作两方面的人员组成。这对建立有效的信息安全是非常有必要的。安全基线分析报告是指运用各种手段从各个层面广泛收集IT风险状况，进行全面、彻底的自我分析与诊断的报告。包括对组织业务特征、组织文化、安全意识、人员状况及信息风险评估的综合分析，详细描述当前企业的信息安全状况，为进一步制定信息安全投资预算计划、信息安全投资回报分析、制定安全政策、引入安全控制措施而提供基础数据。

(5)平衡信息安全架构中的风险

有业内人士指出，风险控制是一门系统科学，风险降得越低需要的支出就会越多。因此，企业需要寻找一个合适的平衡点来保障企业能够在可接受的风险范围内支出尽量少的钱。而要想平衡IT架构中的安全风险，就必须在信息安全架构设计的过程中平衡多种需求，这些需求可能是来自业务部门，或者来自企业的方方面面。平衡信息安全架构通常需要根据组成构架的每个元素的重要性来确定如何进行取舍和开发。基于此，许多信息安全专家一致认为信息安全架构需要从整体安全角度来审阅整个架构，以平衡架构设计与应用中的安全风险。

总而言之，信息安全是一个相对的概念，安全威胁时时刻刻存在。IT信息的安全涉及方方面面，任何一个地方的疏漏都会成为整个IT治理的致命短板。因此，当没有建立起信息安全架构时，IT治理根本无从谈起。IT技术本身可能是信息安全体系里最不重要的部分，但IT信息安全架构却是重中之重。IT信息安全架构不仅是IT治理的一部份，更是企业持续经营重要基石。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友