信息安全治理浅析

一次性付费进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：460500587

微信公众号：计算机与网络安全

ID：Computer-network

信息安全治理目的主要包括三个：一是使信息安全目的和战略业务目的在战略上保持一致；二是为治理者和利益相关者提供价值；三是确保信息风险得到充分解决，避免安全责任。

一、安全治理行动原则和模型

信息安全治理是一种指导和控制本单位信息安全活动的框架模型。在治理的过程中需要遵从6条行动原则，安全治理者在实施过程中可将这些原则责任到人，采取问责机制来落实。

1、确定本单位信息安全的范围

信息安全治理要在单位决策层面考虑，因为安全是是整体的、动态的。安全治理要考虑到本单位业务和信息安全的关联，可通过基于业务的信息安全的责任制和问责制来确定本单位信息安全的范围。

2、采用基于风险的方法

信息安全治理建立在基于风险的决策基础上。通过风险分析来决定多少安全程度是可接受的，需要考虑到一旦安全风险发生，是否会丧失竞争优势、是否会违规、日常业务是否中断、公司声誉是否受损和经济损失多大。

3、确定投资决策的方向

信息安全建设是需要资本和运营支出的，一旦违反法律还需要承担法律责任。因此，信息安全治理者要建立信息安全投资战略，使得业务和信息安全要求之间无论短期还是长期都是相称的，从而满足当前和未来不断变化的需要。

4、解决一致性和合规性问题

信息安全治理要确保信息安全策略要符合相关的强制性法律、法规和规章，以及承诺的业务或合同要求和其他的外部或内部要求。因此，治理者通过委托第三方安全服务机构开展安全业务时，需要满足一致性和合规性要求。

5、加大对人的教育、培训力度，营造安全良好的环境

信息安全治理是建立在人的行为之上。对人的管理特别重要，为建立良好的信息安全文化，治理者可通过开展安全教育、培训和宣传等手段确保信息安全工作的顺利开展。

6、将信息安全绩效纳入到考核中

治理者通过绩效考核，来衡量信息安全在业务方面的影响，从而将信息安全绩效和业务绩效关联在一起。

在信息安全治理模型中涉及三种角色。执行管理者是最高管理层，可分为两组人员：治理者和执行管理者。执行管理者是为达成组织意图，承担由组织治理者委派的战略和策略实现责任的个人或一组人。具体包括首席执行官/行政总裁（CEO）、政府机构领导、首席财务官/财务总监（CFO）、首席运营官/运营总监（COO）、首席信息官/信息总监（CIO）、首席信息安全官/信息安全总监（CISO）和类似的角色。治理者是对组织的绩效和合规负有责任的个人或一组人。治理者执行“评价”、“指导”、“监视”和“沟通”过程来治理信息安全。利益相关者是指对于组织活动能够产生影响、受到影响或感觉受到影响的任何个人或组织。决策者也可以是利益相关者。三种角色的关系如图1所示。

图1  信息安全治理模型的实现

二、安全治理过程

通过图1可知，信息安全治理模型中标识治理者通过执行“评价”、“指导”、“监视”、“沟通”和“保障”过程来治理信息安全。

1、评价

“评价”过程基于当前的过程和计划的变更，考虑到当前和预期要达到的安全目的，确定最能有效达成未来战略目的所需要的任何调整。

为执行“评价”过程，治理者需要确保业务新计划考虑到了信息安全问题，同时为响应信息安全绩效结果，需要优化并启动所需要的行动。

为推动“评价”过程，执行管理者需要确保信息安全充分支持和维持业务目的；同时向治理者提交有显著影响的新的信息安全项目。

2、指导

治理者通过“指导”过程为需要实现的信息安全目的和战略指明方向。指导主要包括资源配置级别的变更、资源的分配、活动的优先级，以及策略、重大风险接受和风险管理计划的批准。

为执行“指导”过程，治理者需要确定组织对风险的承受、批准信息安全战略和策略、分配足够的投资和资源。

为推动“指导”过程，执行管理者需要制定和实现信息安全战略和策略、要确保信息安全目的与业务目的一致、要建设良好的信息安全文化。

3、监视

“监视”过程使治理者能够评估战略目的的实现。

为执行“监视”过程，治理者需要评估信息安全管理活动的效果、确保符合一致性和合规性要求、要充分考虑不断变化的业务、法律、法规和规章环境及其对信息风险的潜在影响。

为推动“监视”过程，执行管理者需要从业务角度选择适当的绩效测度；需要向治理者反馈信息安全绩效结果，包括之前由治理者所确定的行动的绩效及其对组织的影响；向治理者发出可能会影响信息风险和信息安全新开发的预警。

4、沟通

治理者和利益相关者通过“沟通”这一双向的治理过程交换适合他们特定需要的关于信息安全的信息。

为执行“沟通”过程，治理者需要向外部利益相关者报告组织在实行与其业务性质相称的信息安全级别；需要通知执行管理者任何发现信息安全问题并要求采取纠正措施的外部评审结果；需要识别信息安全相关的监管义务、利益相关者期望和业务需要。

为推动“沟通”过程，执行管理者需要向治理者建议任何需要其注意，还可能需要决策的事项；需要在采取支持治理者指示和决定的具体行动上指导有关的利益相关方。

5、保障

治理者通过“保障”过程，以委托方式，委托第三方开展独立和客观的审核、评审或认证，以此识别和确认与治理活动开展和操作运行相关的目的和行动，以便获得信息安全的期望水平。如开展风险评估、等级测评、应急演练、通报预警等第三方服务。

为执行“保障”过程，治理者需要通过委托获得对其履行信息安全期望水平责任的独立和客观的意见。

为推动“保障”过程，执行管理者需要支持由治理者委托的审核、评审或认证。