IT治理十问十答之九—— IT治理中的信息安全问题（上）

 在当今的全球商业环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使IT治理成为企业治理越来越关键的一部分。最高管理层（董事会）和执行管理层同样需要确保IT适应企业战略，企业战略也恰当利用IT的优势。为了更有效的进行公司治理和IT治理，最高管理层也越来越希望将信息安全治理成为IT治理中必不可少的一个环节，与IT治理集成。

 信息安全治理的内容

信息安全治理是指最高管理层（董事会）利用它来监督管理层在信息安全战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。缺乏良好信息安全治理机制的组织，也就是说缺乏健全的制度安排，因而不可能很好的信息安全管理体系，进而也不可能取得信息化的成功；同样，没有信息安全管理体系的畅通，单纯的治理机制也只能是一个美好的蓝图，而缺乏实际的内容。

正确实施信息安全治理4个基本成果：

（1）战略联盟

• 业务需求驱动安全需求；
• 安全方案适应业务流程；
• 信息安全投资与企业战略和最大风险状况密切相关。

（2） 价值传递

• 一套安全实务标准，即最佳安全实务基准；
• 正确区分行动的优先次序并分配给有最大影响和商业利益的地方；
• 规范的、商业化的解决方案；
• 完整的解决方案，包括组织、流程和技术；
• 持续改进的文化。

（3） 风险管理

• 最大风险状况；
• 了解风险暴露程度；
• 告知管理风险的优先行动。

（4） 绩效测量

•  定义测量标准；
• 反馈进展的测量程序；
• 独立性保证。

高层应该关注的信息安全问题

信息安全经常被看作只是一个技术问题，很少有组织认为其是组织必需的并优先考虑它。但是现在信息安全越来越成为业务成功的关键因素。组织最高管理层（董事会）和执行管理层（如CIO）越来越重视信息安全工作，他们关注的核心是安全性将如何帮助组织达到业务目标或创造新的战略竞争机遇，而不仅仅是具体的技术环节。

从安全性角度而言，高层关注的信息安全问题包括以下几方面：

• 商务运作中断：由于攻击造成的停工会导致生产率降低和收入损失，而与恢复受攻击的网络相关的花费又会增加处理攻击事件的总体财务成本。
• 法律责任和潜在诉讼：受到攻击的企业可能需要作为被告或关键证人出庭。
• 竞争力下降：信息通常被认为是企业最宝贵的资产（70%或更多公司的价值在于其知识产权资产），这部分数据的损失或被窃可能造成严重后果，甚至会威胁企业在市场中的地位。
• 品牌资产被损害：对企业品牌的损害可能会有多种形式，但每种形式都会降低企业在市场中的地位。

 高层管理者有责任思考这些问题，最高管理层（董事会）也将被希望让信息安全成为IT治理固有的一部分，最好与IT治理过程集成。

 在这点上，IT治理委员会和执行管理层将对以下几个方面进行评审：

• 现在和未来投资于信息技术的规模和费用；
• 技术显著改变组织和商业运作，创造新的机会，和降低成本的潜力；
• 同时，他们也应该考虑由此导致的后果：
• 更加依赖信息、系统和传送信息的通讯系统；
•  对企业无法直接控制的外部组织的依赖；
• 由于IT故障对企业声誉和价值的影响；

为了有效进行公司治理和IT治理，最高管理层（董事会）和执行管理层必须对应从企业的信息安全治理所抱的期望有一个清晰的了解。他们必须知道怎样实施信息安全治理，怎样评价其在安全治理过程中的恰当身份，和怎样确定所需的安全程序。

鉴于安全从来就不是一种非黑即白的概念，其背景关系远比技术更重要。因此，管理好信息安全需要最高管理层（董事会）、管理执行层和业务流程所有者的更多参与；贯彻好信息安全需要信息系统审计师、安全专家、技术和业务等各方面的专家，所有相关各方应参与这个过程。

1.什么是IT治理？