在今天的商業(yè)環(huán)境中，IT已成為企業(yè)業(yè)務(wù)發(fā)展和管理不可或缺的重要組成部分，其作用和影響力已擴散到企業(yè)的每一個領(lǐng)域。但IT給企業(yè)帶來活力、利潤和競爭力的同時，也給企業(yè)帶來了風(fēng)險。例如，日益依賴IT的企業(yè)面臨著因信息安全導(dǎo)致的業(yè)務(wù)災(zāi)難風(fēng)險。因此，如何最大限度地保證信息安全成為每個企業(yè)都必須正視的問題。
　　
近日在深圳召開的“中國信息化與IT治理高層研討會”上，信息安全架構(gòu)和IT治理成為眾多CIO關(guān)注的熱點。會議認(rèn)為加強信息安全離不開IT治理，完善的IT治理是信息安全的保障；而建立有效的信息安全架構(gòu)則是IT治理的基石，企業(yè)才可以在很大程度上防御IT帶來的信息安全風(fēng)險。那么，信息安全架構(gòu)是什么？為什么沒有信息安全架構(gòu)，IT治理就容易成為空中樓閣？

一、IT治理面臨的信息安全挑戰(zhàn)

在中國經(jīng)濟強勁復(fù)蘇的背后，企業(yè)的業(yè)務(wù)發(fā)展與創(chuàng)新對IT的依賴程度越來越高。但任何事物都有它的兩面性。正確、恰當(dāng)?shù)厥褂肐T系統(tǒng)能為企業(yè)帶來飛速的發(fā)展，但系統(tǒng)缺陷、人為誤操作、系統(tǒng)攻擊等不可預(yù)料的各種IT風(fēng)險也同樣會使企業(yè)面臨巨大的災(zāi)難。長期以來，人們對保障信息安全的手段偏重于依靠技術(shù)，例如加密技術(shù)、數(shù)據(jù)備份、防病毒、防火墻等手段。而且在大多數(shù)IT管理人員的視角中，信息安全也僅僅局限在技術(shù)層面的操作，信息安全經(jīng)常被看作只是一個技術(shù)問題，很少認(rèn)為它是企業(yè)必需的并需要優(yōu)先考慮。事實上，僅僅依靠技術(shù)來保障信息安全的愿望往往是難盡人意的，因為面對復(fù)雜多變的安全威脅和隱患單靠技術(shù)手段是無法消除的。

據(jù)實踐經(jīng)驗表明，信息安全治理是與IT治理密不可分的。假如把信息安全治理比作指引組織進行安全項目的路標(biāo)，那么信息安全架構(gòu)的設(shè)計便是組織通往信息安全這個目標(biāo)所用的交通工具。因此，沒有了信息安全架構(gòu)，IT治理根本無從談起。信息安全架構(gòu)是指企業(yè)管理層利用它來監(jiān)督企業(yè)在信息安全戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保IT運營處于正確的軌道之上。因此，缺乏良好信息安全架構(gòu)的企業(yè)，就是說缺乏健全的風(fēng)險控制機制，因而不可能很好的進行信息安全管理，進而也不可能取得IT治理的成功；同樣，沒有信息安全管理體系的暢通，IT治理也只能是一個美好的藍圖，而缺乏實際的內(nèi)容。

二、為什么信息安全架構(gòu)是IT治理的基石？

（1）IT治理要以IT風(fēng)險防治為核心

目前，信息系統(tǒng)已在企業(yè)和政府組織中得到了廣泛的應(yīng)用，IT治理成為企業(yè)治理越來越關(guān)鍵的一部分。在復(fù)雜的現(xiàn)實環(huán)境中，不安全因素總是存在的。各種各樣的資料都顯示著信息安全風(fēng)險以及災(zāi)難性事件的數(shù)量，正隨著時間的推移而增加。IT治理的一個重要內(nèi)容是估計相關(guān)風(fēng)險對企業(yè)的經(jīng)營收益和IT績效的影響，并有效控制IT風(fēng)險，避免IT資產(chǎn)的損失。IT風(fēng)險是一種潛在的可能，是指某些威脅將會造成IT資產(chǎn)甚至其它相關(guān)資產(chǎn)損失或者破壞的潛在可能性。安全從來就不是一種非黑即白的概念。目前的信息安全早已不只是人們傳統(tǒng)意義上的安全，即添加防火墻或路由器等簡單的設(shè)備就可保證安全，而是成為一種系統(tǒng)和全局的觀念。信息安全是指使信息避免一系列威脅，保障業(yè)務(wù)連續(xù)性，最大限度地減少業(yè)務(wù)損失，從而最大限度地獲取投資和回報的一種保障機制。

傳統(tǒng)的信息安全管理基本上是一種靜態(tài)的、局部的、突擊式、事后糾正式的管理方式，導(dǎo)致的結(jié)果是不能從根本上避免和降低各類風(fēng)險，也不能降低信息安全故障導(dǎo)致的綜合損失。而基于信息安全架構(gòu)的思想是一個系統(tǒng)化、程序化和文件化的管理體系，基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估，體現(xiàn)預(yù)防控制為主的思想，強調(diào)遵守有關(guān)信息安全的法律法規(guī)及要求，強調(diào)全過程動態(tài)控制，本著控制費用與風(fēng)險平衡的原則合理選擇安全控制方式保護關(guān)鍵信息資產(chǎn)，使信息風(fēng)險的發(fā)生概率和結(jié)果降低到可接受收水平。COSO（美國內(nèi)部控制委員會）在最新一期的IT治理指南中將IT信息安全架構(gòu)界定為內(nèi)部控制和風(fēng)險防范的起點與核心，足以說明IT治理應(yīng)以信息安全的識別和防范為著力點。因此，企業(yè)需要建立完善、健全的信息安全架構(gòu)來規(guī)范IT治理行為，通過建立詳盡的風(fēng)險控制機制來降低企業(yè)的IT風(fēng)險。

（2）信息安全是IT治理的基石

信息安全不是一個孤立靜止的概念，它是一個多層面、多因素的、綜合的、動態(tài)的過程。不同的企業(yè)對信息安全會有不同的理解，長期以來信息安全被看作是消極因素，不產(chǎn)生價值。然而，全球網(wǎng)絡(luò)的出現(xiàn)和企業(yè)傳統(tǒng)邊界地的延伸，使其成為價值和機會的創(chuàng)造者，特別在提升IT利益各方的信任感方面。因此，信息安全必將成為IT治理一個重要且必不可少的部分，忽略信息安全將使IT價值的創(chuàng)造無法持久。信息安全的涵義體現(xiàn)在三個方面：一是安全性，是指確保信息僅可讓授權(quán)的人獲取和訪問；二是完整性，是指保護信息和處理方法的準(zhǔn)確和完善；三是可用性，是指確保授權(quán)人需要時可以獲取信息和相應(yīng)的資產(chǎn)。因此，實現(xiàn)信息安全是一個需要完整的體系來保證的持續(xù)過程。有效的安全防衛(wèi)不僅是技術(shù)問題，也是一個管理問題。

一般來說，信息安全架構(gòu)是通過實施一套恰當(dāng)?shù)目刂拼胧﹣韺崿F(xiàn)的，該控制措施包括政策、實踐、程序、組織結(jié)構(gòu)和工具軟件組成。因此，信息安全架構(gòu)模型和其它模型一樣，具有以下幾個方面的優(yōu)點或作用：①信息安全架構(gòu)模型涉及信息安全和業(yè)務(wù)需求的各個方面，能以簡單方式測定差異，并有助于確定有關(guān)安全性方面的相對水平；②信息安全架構(gòu)成熟度是測量安全管理處理等級的一種方法，這些等級是一個給定的信息安全管理處理的慣例，體現(xiàn)各個成熟層次的典型模式，有助于企業(yè)將主要精力投入到關(guān)鍵的管理方面；③信息安全架構(gòu)模型等級有助于專業(yè)人員向管理層解釋信息安全管理存在的缺陷，并把組織的控制慣例與最佳慣例對照起來，從而確定企業(yè)的未來發(fā)展目標(biāo)。因此，信息安全架構(gòu)和IT治理不但是息息相關(guān)的，也是IT治理的基石。

三、建立高效信息安全架構(gòu)的流程和方法

信息安全經(jīng)常被看作只是一個技術(shù)問題，很少有企業(yè)認(rèn)為它是必需的并需要優(yōu)先考慮的。所以，治理和管理信息安全的責(zé)任常常被限制在CIO身上。事實上，這是一個誤解?，F(xiàn)在信息安全正越來越成為業(yè)務(wù)成功的關(guān)鍵因素，信息安全架構(gòu)將能有效的幫助企業(yè)達到業(yè)務(wù)目標(biāo)或創(chuàng)造新的競爭機遇，而不僅僅是一個技術(shù)環(huán)節(jié)。本部分提出建立信息安全架構(gòu)的流程和常規(guī)步驟：

（1）宣傳和推廣信息安全對業(yè)務(wù)的重要性

首先是高層管理者必須意識到IT信息安全架構(gòu)對業(yè)務(wù)的重要性，這是設(shè)計信息安全架構(gòu)的前提。其次是充分了解企業(yè)的業(yè)務(wù)安全需求。例如，了解和分析組織業(yè)務(wù)所處的風(fēng)險環(huán)境，并在此基礎(chǔ)上提出安全保障措施；定義合理的安全投資規(guī)模和計劃，制定出合理的安全政策和制度。包括對業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo)及其價值進行分析，在信息安全中業(yè)務(wù)一般是以資產(chǎn)形式表現(xiàn)出來，它包括信息/數(shù)據(jù)、軟/硬件、無形資產(chǎn)、人員及其能力等。

（2）定義信息安全驅(qū)動方向和策略

企業(yè)應(yīng)采取最高管理層級的行動及時了解信息安全狀況，以確定信息安全的驅(qū)動方向和戰(zhàn)略。信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個部門的實際情況，分別制訂不同的信息安全策略。例如，規(guī)模較小的組織單位可能只有一個信息安全策略，并適用于組織內(nèi)所有部門、員工；而規(guī)模大的集團組織則需要制訂一個信息安全策略文件，分別適用于不同的子公司或各分支機構(gòu)。信息安全策略應(yīng)該簡單明了、通俗易懂，并形成書面文件，發(fā)給組織內(nèi)的所有成員。同時要對所有相關(guān)員工進行信息安全策略的培訓(xùn)，以使信息安全方針真正植根于組織內(nèi)所有員工的腦海并落實到實際工作中。

（3）進行信息安全風(fēng)險評估

ISO/IEC把風(fēng)險定義為特定的威脅利用資產(chǎn)的一種或一組薄弱點，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性。風(fēng)險評估是對信息和信息處理的威脅、影響和薄弱點及三者發(fā)生的可能性評估，即利用適當(dāng)?shù)娘L(fēng)險評估工具用定性與定量的方法，確定資產(chǎn)風(fēng)險等級和優(yōu)先控制順序。簡單的說，風(fēng)險評估主要是對信息安全架構(gòu)范圍內(nèi)的信息資產(chǎn)進行鑒定和估價，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的安全管制措施進行鑒定。

信息安全風(fēng)險評估的復(fù)雜程度將取決于風(fēng)險的復(fù)雜程度和受保護資產(chǎn)的敏感程度，所采用的評估措施應(yīng)該與組織對信息資產(chǎn)風(fēng)險的保護需求相一致。由于信息安全是一個動態(tài)的系統(tǒng)工程，企業(yè)應(yīng)實時對選擇的管制目標(biāo)和管制措施加以校驗和調(diào)整，以適應(yīng)變化了的情況，使企業(yè)的信息安全得到有效、經(jīng)濟、合理的保護。

（4）成立安全管理小組，編制安全基線分析報告

CIO應(yīng)要根據(jù)安全基線分析報告制定企業(yè)信息安全架構(gòu)，包括成立一支專業(yè)、高效的信息安全管理的隊伍，一般由信息安全主管為核心，并由信息安全日常管理、信息安全技術(shù)操作兩方面的人員組成。這對建立有效的信息安全是非常有必要的。安全基線分析報告是指運用各種手段從各個層面廣泛收集IT風(fēng)險狀況，進行全面、徹底的自我分析與診斷的報告。包括對組織業(yè)務(wù)特征、組織文化、安全意識、人員狀況及信息風(fēng)險評估的綜合分析，詳細描述當(dāng)前企業(yè)的信息安全狀況，為進一步制定信息安全投資預(yù)算計劃、信息安全投資回報分析、制定安全政策、引入安全控制措施而提供基礎(chǔ)數(shù)據(jù)。

（5）平衡信息安全架構(gòu)中的風(fēng)險

有業(yè)內(nèi)人士指出，風(fēng)險控制是一門系統(tǒng)科學(xué)，風(fēng)險降得越低需要的支出就會越多。因此，企業(yè)需要尋找一個合適的平衡點來保障企業(yè)能夠在可接受的風(fēng)險范圍內(nèi)支出盡量少的錢。而要想平衡IT架構(gòu)中的安全風(fēng)險，就必須在信息安全架構(gòu)設(shè)計的過程中平衡多種需求，這些需求可能是來自業(yè)務(wù)部門，或者來自企業(yè)的方方面面。平衡信息安全架構(gòu)通常需要根據(jù)組成構(gòu)架的每個元素的重要性來確定如何進行取舍和開發(fā)?；诖?，許多信息安全專家一致認(rèn)為信息安全架構(gòu)需要從整體安全角度來審閱整個架構(gòu)，以平衡架構(gòu)設(shè)計與應(yīng)用中的安全風(fēng)險。

總而言之，信息安全是一個相對的概念，安全威脅時時刻刻存在。IT信息的安全涉及方方面面，任何一個地方的疏漏都會成為整個IT治理的致命短板。因此，當(dāng)沒有建立起信息安全架構(gòu)時，IT治理根本無從談起。IT技術(shù)本身可能是信息安全體系里最不重要的部分，但IT信息安全架構(gòu)卻是重中之重。IT 信息安全架構(gòu)不僅是IT治理的一部份，更是企業(yè)持續(xù)經(jīng)營重要基石。

【編輯推薦】

1. 信息安全是管理問題而非單純的技術(shù)問題
2. 信息安全管理：標(biāo)準(zhǔn)、理解與實施