1 企業信息安全建設的困惑
隨著我國信息產業持續高速發展,企業的信息化建設已經進入到“建設應用并重,著力深化應用”的階段,企業內部信息系統在縱向、橫向兩個方面耦合程度日益加深。系統問的相互聯系日益增強。為保障企業信息系統安全、持續、可靠、穩定運行,企業在信息安全方面投入了很多資源,包括建立一定的安全管理規范、制度和流程,采取通用或專用的安全防護技術和產品進行落實,等等。但是通常企業領導和信息安全主管還存在一系列的困惑,比如,企業在安全方面投入了較多的資源,但仍不時有安全的問題困擾。為什么付出了很多的資源代價。實施了安全管理卻沒有達到最初的安全管理目標?是因為技術層面上資金投入不夠,還是管理落實上難以實現,或者是公司層面上對信息安全風險理解得不透徹?做安全項目制定一大堆的制度,寫了一大堆的文檔,如何能真正地執行下去?這都需要管理者深入思考。
2 企業信息安全建設存在的問題分析
回顧我國企業信息化的發展,基本上是“從無到有,從有到精,從精到強”的過程,企業信息安全建設也是伴隨著信息化的建設開展的。但整體滯后。目前大多數企業的信息安全建設處于“零散實施,查缺補漏”的被動防御階段,在信息安全建設中存在安全管理規范、制度和流程無法落實,安全審計工作不成體系.缺少有效的內控機制,沒有形成管控測評制度及測評指標體系,企業很難及時對公司整體信息安全現狀作出準確評估,安全防護更多來自被動的事件驅動,缺少信息安全標準、信息安全事件知識庫,缺少對流程的梳理與固化,服務響應速度不可控。信息運行工作量化的可視度低,企業安全管理所涉及的制度、規范不健全等諸多問題。
仔細分析上述問題,其中一個重要原因是因為企業的管理者沒有正確理解什么是信息安全治理,以及信息安全治理與信息安全管理的主要區別。實際上,兩者在工作內容、執行主體和技術深度3個層面有著本質的區別,如表1所示。
表1企業信息安全治理與信息安全管理的區別
從表1中可以看出,信息安全治理是為組織的信息安全運行定義了一個戰略性的框架,指明了具體安全管理工作的目標和權責范圍,使信息系統安全專業人員能夠準確地按照組織高層領導的要求開展工作。企業進行信息安全治理可以帶來以下好處:
(1)降低安全風險。滿足行業合規性政策強制要求。提升控制和管理能力,阻止安全威脅,避免非法滲透,實現有效的風險管理,降低業務損失。
(2)降低管理復雜度。降低信息基礎架構和業務應用系統的安全管理復雜度,提高企業安全管理效率,支持業務未來發展。
(3)減少費用。減少信息運維費用,減少信息安全重復投資;降低企業信息總所有成本(TC0),提高企業競爭力。
所以企業要想解決信息安全建設中存在的種種問題,必須開展有效的信息安全治理工作。
3 企業信息安全治理目標
信息安全治理是將被動的事件驅動型管理模式轉變為主動的風險管控模式,主動地對威脅和風險進行評估。主動地采取風險處置措施。通過資源的調控實現對信息安全工作的調控。在信息安全治理過程中大量借鑒管理學方法,通過PDCA環,進行動態的控制和治理,全過程強調測評和監控,通過治理的流程控制措施進行資源的調配,實現對關鍵項目、關鍵技術、關鍵措施的扶持。對非關鍵活動的控制,確保安全項目按規劃要求進行實施和交付。企業開展有效的信息安全治理必須實現以下幾個目標:
(1)戰略一致。實現在信息安全計劃與組織整體規劃和業務計劃之間建立關聯,實現合理的描述并確認信息價值。
(2)價值交付。實現提供信息安全承諾,降低安全管理組織成本。提高業務可靠性和穩定性。
(3)資源管理。實現對支持信息運行的關鍵資源進行最優化投資和最佳管理。
(4)風險管理。實現企業人員具備足夠的風險意識。能夠充分理解組織面臨的主要風險,并在組織結構設計中劃分和明確指派風險責任。
(5)績效度量。實現科學地對信息運行的戰略目標實現程度、信息資源的使用情況、信息過程的執行情況以及信息服務的交付效果進行跟蹤和監控。
4 企業信息安全治理的方案
企業信息安全治理的總體思路是:從企業發展戰略和統一的信息安全體系需求出發,結合信息安全治理標準及實踐,制定安全政策,明確角色與責任,確保相關人員清楚知道和理餌各自的角色、責任和權力。開發及實篪由標準、評測措施、實務和規程組成的安全治理規范,建立控制措施,查明安全隱患,并確保其得到改正。開展全員安全文化教育和安全意識的養成,宣貫保護信息的必要性,提供安全運作信息系統所需技巧的教育培訓。
企業開展信息安全治理主要從信息安全管理控制、信息安全運行控制,信息安全合規管理和信息安全風險管理4個方面開展,實現企業以業務為關注焦點的協同工作,為管理者提供更好的信息管理視角,形成基于流程導向的清晰的所有者關系及職責,形成被第三方監管機構認可的基于通用語言,被所有的利益相關方所理解的總體信息安全治理。
從圖l可以看出。企業信息安全治理的過程通過信息安全管理控制設定目標和制定策略,通過信息安全運行控制對安全事件、制度、流程有效監控,確保信息服務的客戶、服務評估標準滿足業務需求,利用合規檢查與改善加強信息安全的合規管理,通過風險評估的識別與應對處置加強信息安全風險管理,PDCA貫穿治理的各個環節。形成動態有效的安全治理模型。
圖1安全治理模型
5 企業信息安全治理實施路線
考慮到企業信息安全治理的復雜程度和關聯問題等,信息安全治理工作要分步走。采用標準先行,試點建設。完善體系和深化應用的階段演進實施路線。標準先行階段主要是通過對國際信息治理,信息安全管理、運維、風險、內控審計等相關的標準進行深入研究。結合企業業務發展對信息安全管理的需求進行梳理,形成企業信息安全治理管控標準。試點建設階段將國際標準和最佳時間研究后形成的信息安全治理體系中的思路、方法、方案等成果通過試點單位的應用和反饋逐步向全企業推廣。體系完善階段通過建設的實踐經驗。對現有管控措施查漏補缺,通過規范制度,優化流程、落實責任、提升效率逐步形成信息安全治理體系。深化應用階段實現流程間的有效集成和融合,利用平臺工具進行流程固化,通過平臺改進和專項系統建設提升治理工作效率。
企業信息安全治理的實施路線如圖2所示。整個實施路線從信息安全治理建設階段和治理內容兩個方面進行分析。
圖2信息安全治理實施路線圖
5.1信息安全管理控制實施
對于企業信息安全管理控制的實施,主要從安全管控策略、安全審計、安全測評和安全內控4個方面進行。對于安全管控策略首先要梳理、制定信息安全策略體系并將安全策略體系電子化實現,通過定期評估和策略調整對體系進行完善。對于安全審計要設計審核列表、計劃和方案,并定期實施安全審計,出具審計報告。對于安全測評要建立測評模型,確定提升目標,要識別企業的CSF/KGI/KPI等關鍵指標,定期實施安全管控測評。對于安全內控要制定內控目標、計劃和方案,統一內控流程和內控文檔,定期開展內控流程;最終要將安全審計、測評和內控的整改活動納人到安全管控的流程管理中,并將安全管控的指標、數據進行智能分析和可視化展現。
5.2信息安全運行控制實施
對于企業信息安全運行控制的實施,主要從運行監控、流程管理、運行職責管理和運行質量管理4個方面進行。運行監控要結合企業業務數據的特點進行監控指標的設計,監控平臺和流程報表的建立。在流程管理中,企業要梳理現有的安全流程進行差距分析,并開展統一的運行流程設計。在運行職責管理中,重點要完成運行職責的設計,并將運行安全流程執行和推廣,將流程平臺化和固化。在運行質量管理,企業要建立安全檢測系統和質量管理系統,將運行質量管理固化。
5.3信息安全合規管理實施
信息安全合規管理是企業健康發展的關鍵,企業首先要對國家法律、法規,行業規范,企業內部制度、手冊進行收集、梳理和分析,建立企業的合規知識庫,并要不斷進行維護。
5.4信息安全風險控制實施
企業對于信息安全風險的實施要首先對企業進行風險管理差距分析,建立風險管理標準,并有針對性的進行風險評估方案設計,風險處置方案設計和風險管理制度設計。要定期開展風險評估、風險處置和風險控制活動,并強整改活動納人統一的流程管理。
企業信息安全治理是一個長期的系統工程,實施路線要適應企業戰略和發展需要,確保信息安全相關管理措施和技術手段適應企業的目標和文化,并與之協調一致。要準確把握當前和未來一定時期內信息系統所面臨的威脅和風險,用適當的投人有效管控所有的威脅和風險。企業信息安全治理以企業運行流程為依托,結合信息安全管控點,將管控流程與組織機構相對應。確保企業信息安全知識庫、架構、平臺和工具有效使用,測量、監控和審計管控手段和流程,確保安全管控的目標完成和實現。最終通過適當安全投人,有效的安全項目的實施和交付,確保企業業務發展的目標實現。
6 結論
本文通過對企業信息安全治理體系的研究和大量企業治理體系的實施,總結出了實現企業有效信息安全治理的方法論和最佳實踐,即企業信息安全治理可以通過從信息安全管理控制、信息安全運行控制、安全合規管理和安全風險控制4個方面分階段開展工作,通過企業領導的大力支持,輔以管控決策支持平臺、運控流程平臺、合規知識庫和風險管控流程等相關流程與工具,結合定期全面的審計工作,企業的信息安全建設有望見到成效。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:企業實現有效的信息安全治理之路
相關文章
