1 企业信息安全建设的困惑
随着我国信息产业持续高速发展,企业的信息化建设已经进入到“建设应用并重,着力深化应用”的阶段,企业内部信息系统在纵向、横向两个方面耦合程度日益加深。系统问的相互联系日益增强。为保障企业信息系统安全、持续、可靠、稳定运行,企业在信息安全方面投入了很多资源,包括建立一定的安全管理规范、制度和流程,采取通用或专用的安全防护技术和产品进行落实,等等。但是通常企业领导和信息安全主管还存在一系列的困惑,比如,企业在安全方面投入了较多的资源,但仍不时有安全的问题困扰。为什么付出了很多的资源代价。实施了安全管理却没有达到最初的安全管理目标?是因为技术层面上资金投入不够,还是管理落实上难以实现,或者是公司层面上对信息安全风险理解得不透彻?做安全项目制定一大堆的制度,写了一大堆的文档,如何能真正地执行下去?这都需要管理者深入思考。
2 企业信息安全建设存在的问题分析
回顾我国企业信息化的发展,基本上是“从无到有,从有到精,从精到强”的过程,企业信息安全建设也是伴随着信息化的建设开展的。但整体滞后。目前大多数企业的信息安全建设处于“零散实施,查缺补漏”的被动防御阶段,在信息安全建设中存在安全管理规范、制度和流程无法落实,安全审计工作不成体系.缺少有效的内控机制,没有形成管控测评制度及测评指标体系,企业很难及时对公司整体信息安全现状作出准确评估,安全防护更多来自被动的事件驱动,缺少信息安全标准、信息安全事件知识库,缺少对流程的梳理与固化,服务响应速度不可控。信息运行工作量化的可视度低,企业安全管理所涉及的制度、规范不健全等诸多问题。
仔细分析上述问题,其中一个重要原因是因为企业的管理者没有正确理解什么是信息安全治理,以及信息安全治理与信息安全管理的主要区别。实际上,两者在工作内容、执行主体和技术深度3个层面有着本质的区别,如表1所示。
表1企业信息安全治理与信息安全管理的区别
从表1中可以看出,信息安全治理是为组织的信息安全运行定义了一个战略性的框架,指明了具体安全管理工作的目标和权责范围,使信息系统安全专业人员能够准确地按照组织高层领导的要求开展工作。企业进行信息安全治理可以带来以下好处:
(1)降低安全风险。满足行业合规性政策强制要求。提升控制和管理能力,阻止安全威胁,避免非法渗透,实现有效的风险管理,降低业务损失。
(2)降低管理复杂度。降低信息基础架构和业务应用系统的安全管理复杂度,提高企业安全管理效率,支持业务未来发展。
(3)减少费用。减少信息运维费用,减少信息安全重复投资;降低企业信息总所有成本(TC0),提高企业竞争力。
所以企业要想解决信息安全建设中存在的种种问题,必须开展有效的信息安全治理工作。
3 企业信息安全治理目标
信息安全治理是将被动的事件驱动型管理模式转变为主动的风险管控模式,主动地对威胁和风险进行评估。主动地采取风险处置措施。通过资源的调控实现对信息安全工作的调控。在信息安全治理过程中大量借鉴管理学方法,通过PDCA环,进行动态的控制和治理,全过程强调测评和监控,通过治理的流程控制措施进行资源的调配,实现对关键项目、关键技术、关键措施的扶持。对非关键活动的控制,确保安全项目按规划要求进行实施和交付。企业开展有效的信息安全治理必须实现以下几个目标:
(1)战略一致。实现在信息安全计划与组织整体规划和业务计划之间建立关联,实现合理的描述并确认信息价值。
(2)价值交付。实现提供信息安全承诺,降低安全管理组织成本。提高业务可靠性和稳定性。
(3)资源管理。实现对支持信息运行的关键资源进行最优化投资和最佳管理。
(4)风险管理。实现企业人员具备足够的风险意识。能够充分理解组织面临的主要风险,并在组织结构设计中划分和明确指派风险责任。
(5)绩效度量。实现科学地对信息运行的战略目标实现程度、信息资源的使用情况、信息过程的执行情况以及信息服务的交付效果进行跟踪和监控。
4 企业信息安全治理的方案
企业信息安全治理的总体思路是:从企业发展战略和统一的信息安全体系需求出发,结合信息安全治理标准及实践,制定安全政策,明确角色与责任,确保相关人员清楚知道和理饵各自的角色、责任和权力。开发及实篪由标准、评测措施、实务和规程组成的安全治理规范,建立控制措施,查明安全隐患,并确保其得到改正。开展全员安全文化教育和安全意识的养成,宣贯保护信息的必要性,提供安全运作信息系统所需技巧的教育培训。
企业开展信息安全治理主要从信息安全管理控制、信息安全运行控制,信息安全合规管理和信息安全风险管理4个方面开展,实现企业以业务为关注焦点的协同工作,为管理者提供更好的信息管理视角,形成基于流程导向的清晰的所有者关系及职责,形成被第三方监管机构认可的基于通用语言,被所有的利益相关方所理解的总体信息安全治理。
从图l可以看出。企业信息安全治理的过程通过信息安全管理控制设定目标和制定策略,通过信息安全运行控制对安全事件、制度、流程有效监控,确保信息服务的客户、服务评估标准满足业务需求,利用合规检查与改善加强信息安全的合规管理,通过风险评估的识别与应对处置加强信息安全风险管理,PDCA贯穿治理的各个环节。形成动态有效的安全治理模型。
图1安全治理模型
5 企业信息安全治理实施路线
考虑到企业信息安全治理的复杂程度和关联问题等,信息安全治理工作要分步走。采用标准先行,试点建设。完善体系和深化应用的阶段演进实施路线。标准先行阶段主要是通过对国际信息治理,信息安全管理、运维、风险、内控审计等相关的标准进行深入研究。结合企业业务发展对信息安全管理的需求进行梳理,形成企业信息安全治理管控标准。试点建设阶段将国际标准和最佳时间研究后形成的信息安全治理体系中的思路、方法、方案等成果通过试点单位的应用和反馈逐步向全企业推广。体系完善阶段通过建设的实践经验。对现有管控措施查漏补缺,通过规范制度,优化流程、落实责任、提升效率逐步形成信息安全治理体系。深化应用阶段实现流程间的有效集成和融合,利用平台工具进行流程固化,通过平台改进和专项系统建设提升治理工作效率。
企业信息安全治理的实施路线如图2所示。整个实施路线从信息安全治理建设阶段和治理内容两个方面进行分析。
图2信息安全治理实施路线图
5.1信息安全管理控制实施
对于企业信息安全管理控制的实施,主要从安全管控策略、安全审计、安全测评和安全内控4个方面进行。对于安全管控策略首先要梳理、制定信息安全策略体系并将安全策略体系电子化实现,通过定期评估和策略调整对体系进行完善。对于安全审计要设计审核列表、计划和方案,并定期实施安全审计,出具审计报告。对于安全测评要建立测评模型,确定提升目标,要识别企业的CSF/KGI/KPI等关键指标,定期实施安全管控测评。对于安全内控要制定内控目标、计划和方案,统一内控流程和内控文档,定期开展内控流程;最终要将安全审计、测评和内控的整改活动纳人到安全管控的流程管理中,并将安全管控的指标、数据进行智能分析和可视化展现。
5.2信息安全运行控制实施
对于企业信息安全运行控制的实施,主要从运行监控、流程管理、运行职责管理和运行质量管理4个方面进行。运行监控要结合企业业务数据的特点进行监控指标的设计,监控平台和流程报表的建立。在流程管理中,企业要梳理现有的安全流程进行差距分析,并开展统一的运行流程设计。在运行职责管理中,重点要完成运行职责的设计,并将运行安全流程执行和推广,将流程平台化和固化。在运行质量管理,企业要建立安全检测系统和质量管理系统,将运行质量管理固化。
5.3信息安全合规管理实施
信息安全合规管理是企业健康发展的关键,企业首先要对国家法律、法规,行业规范,企业内部制度、手册进行收集、梳理和分析,建立企业的合规知识库,并要不断进行维护。
5.4信息安全风险控制实施
企业对于信息安全风险的实施要首先对企业进行风险管理差距分析,建立风险管理标准,并有针对性的进行风险评估方案设计,风险处置方案设计和风险管理制度设计。要定期开展风险评估、风险处置和风险控制活动,并强整改活动纳人统一的流程管理。
企业信息安全治理是一个长期的系统工程,实施路线要适应企业战略和发展需要,确保信息安全相关管理措施和技术手段适应企业的目标和文化,并与之协调一致。要准确把握当前和未来一定时期内信息系统所面临的威胁和风险,用适当的投人有效管控所有的威胁和风险。企业信息安全治理以企业运行流程为依托,结合信息安全管控点,将管控流程与组织机构相对应。确保企业信息安全知识库、架构、平台和工具有效使用,测量、监控和审计管控手段和流程,确保安全管控的目标完成和实现。最终通过适当安全投人,有效的安全项目的实施和交付,确保企业业务发展的目标实现。
6 结论
本文通过对企业信息安全治理体系的研究和大量企业治理体系的实施,总结出了实现企业有效信息安全治理的方法论和最佳实践,即企业信息安全治理可以通过从信息安全管理控制、信息安全运行控制、安全合规管理和安全风险控制4个方面分阶段开展工作,通过企业领导的大力支持,辅以管控决策支持平台、运控流程平台、合规知识库和风险管控流程等相关流程与工具,结合定期全面的审计工作,企业的信息安全建设有望见到成效。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:企业实现有效的信息安全治理之路
相关文章
