1 引言

    隨著企業的信息化建設，企業信息系統在縱、橫向的耦合程度日益加深，系統間的聯系也日益緊密，因此企業的信息安全影響著企業信息系統的安全、持續、可靠和穩定運行。此外，美國明尼蘇達大學Bush-Kugel的研究報告指出企業在沒有信息資料可用的情況下。金融業至多只能運作2天，商業則為3天，工業則為5天。而從經濟情況來看，25％的企業由于數據損毀可能隨即破產，40％會在兩年內破產，而僅有7％不到的企業在5年后繼續存活。伴隨著監管機構對信息安全Et趨嚴格的要求，企業對信息安全的關注逐漸提高，并對信息安全投入的資源不斷增加，從而使得信息安全越來越為公司高級管理層所關注。

2 信息安全問題

    目前企業信息安全問題主要包括幾個方面。

    (1)信息質量底下：無用信息、有害信息或劣質信息滲透到企業信息資源中，對信息資源的收集、開發和利用造成干擾。

    (2)信息泄漏：網絡信息泄漏和操作泄漏是目前企業普遍存在的信息安全困擾。網絡信息泄漏是信息在獲取、存儲、使用或傳播的時候被其他人非法取得的過程。

    而操作泄漏則是由于不正當操作或者未經授權的訪問、蓄意攻擊等行為，從而使企業信息泄漏。

    (3)信息破壞：指內部員工或者外部人員制造和傳播惡意程序，破壞計算機內所存儲的信息和程序，甚至破壞計算機硬件。

    (4)信息侵權：指對信息產權的侵犯。現代信息技術的發展和應用，導致了信息載體的變化、信息內容的擴展、信息傳遞方式的增加，一方面實現了信息的全球共享，但同時也帶來了知識產權難以解決的糾紛。

3 信息安全治理的困惑

    基于信息安全的重要性，企業在信息安全治理方面投入了諸多資源，但是在信息安全治理成效方面仍不盡如人意，主要問題在于幾個方面。

    (1)信息安全治理的范圍不明確：目前企業都在盡力實現良好的信息安全治理，但是由于無法正確理解信息安全治理和信息安全管理的區別，導致了信息安全治理無法與企業的安全規劃和企業戰略形成一致性。表l從工作內容、執行主體和技術深度三個層面分析了兩者的區別。

    從表1中可以明確：信息安全治理是為組織機構的信息安全定義一個戰略性的框架，指明了具體安全管理工作的目標和權責范圍，使信息系統安全專業人員能夠準確地按照企業高層管理人員的要求開展工作。

    (2)企業信息安全治理路徑的錯誤理解：企業在信息安全治理的過程中，最常用的手法是采用信息安全的技術措施，如使用加密和防偽技術、認證技術、防病毒技術、防火墻技術等方式來進行，但是往往企業投入很多，卻沒有達到預想的效果，問題在于，信息安全治理并不單單是技術問題，信息安全治理也包含了安全戰略、風險管理、績效評估、層級報告以及職責明確等方面。

4 信息安全治理關注的領域

    (1)戰略一致性：信息安全治理需與企業的發展戰略和業務戰略相一致，建立相互協作的解決方案。

    (2)價值交付：衡量信息安全治理價值交付的基準是信息安全戰略能否按時、按質并在預算內實現預期的價值目標。因此需要設計明確的價值目標。對信息安全治理的交付價值進行評估。

    (3)資源管理：實現對支持信息運行的關鍵資源進行最優化投資和最佳管理。

    (4)風險管理：企業管理層應具備足夠的風險意識，明確企業風險容忍度，制定風險管理策略，將風險管理融人到企業的日常運營中。

    (5)績效度量：利用科學的管理方法，將信息安全治理轉換為可評價的目標的行動，便于對信息安全各項工作的績效進行有效管理。

5 信息安全治理框架

    通過良好的信息安全治理。可以保護企業的信息資產，避免遭受各種威脅，降低對企業之傷害，確保企業的永續經營，以及提升企業投資回報率及競爭優勢。

    通過長期的實踐經驗以及結合COBIT標準和GB／T 22080，2008<信息安全管理體系要求>，總結出信息安全治理的框架主要由四部分組成，如圖1所示。

圖1信息安全治理框架

    (1)信息安全戰略：結合企業的整體信息技術戰略規劃和信息安全治理現狀，制定信息安全戰略。

    (2)信息安全組織架構：根據企業層面在決策、管理和執行機制對組織結構的要求，建立信息安全治理框架和決策溝通機制。明確公司各級管理層及相關部門在信息安全組織架構中的工作職責與角色定位。

    (3)信息安全職責：根據公司信息安全組織架構，進一步明確信息安全相關崗位的工作職責、分工界面和匯報路徑等。

    (4)信息安全管理制度：信息安全管理制度通過建立一個層次化的制度體系，針對不同的需求方(管理者、執行者、檢查者等)從政策、制度、流程、規范和記錄等方面進行信息安全活動相關的規定，實現信息安全的功能和管理目標。

表1信息安全治理和信息安全管理的區別

 6 信息安全治理評估

    企業信息安全治理評估有助于提高信息安全治理投資的效益和效果。企業的最高管理層和管理執行層可以使用信息安全治理成熟度模型建立企業的安全治理級別。該模型，如表2所示，被應用為幾個方面。

表2信息安全治理成熟度模型

    (1)在市場環境中，相對于國際信息安全治理標準、行業最佳實踐，以及直接競爭對手，了解企業在信息安全治理上的級別。

    (2)進行差距分析，為改進措施提供明確的路徑。

    (3)了解企業的競爭優勢和劣勢。

    (4)有利于對信息安全治理進行績效評估。

7 結束語

    本文從企業信息安全治理的實踐出發，概述了目前企業信息安全治理存在的問題和困惑，總結了企業實現有效的信息治理的關注領域和實施內容，為企業建立良好的信息安全治理提供了基本框架。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.vmgcyvh.cn/

本文標題：淺談企業信息安全治理框架

本文網址：http://www.vmgcyvh.cn/html/support/1112189877.html