在今天的商業(yè)環(huán)境中，IT已成為企業(yè)業(yè)務(wù)發(fā)展和管理不可或缺的重要組成部分，其作用和影響力已擴(kuò)散到企業(yè)的每一個(gè)領(lǐng)域。但I(xiàn)T給企業(yè)帶來(lái)活力、利潤(rùn)和競(jìng)爭(zhēng)力的同時(shí)，也給企業(yè)帶來(lái)了風(fēng)險(xiǎn)。例如，日益依賴IT的企業(yè)面臨著因信息安全導(dǎo)致的業(yè)務(wù)災(zāi)難風(fēng)險(xiǎn)。因此，如何最大限度地保證信息安全成為每個(gè)企業(yè)都必須正視的問(wèn)題。
　　
近日在深圳召開的“中國(guó)信息化與IT治理高層研討會(huì)”上，信息安全架構(gòu)和IT治理成為眾多CIO關(guān)注的熱點(diǎn)。會(huì)議認(rèn)為加強(qiáng)信息安全離不開IT治理，完善的IT治理是信息安全的保障；而建立有效的信息安全架構(gòu)則是IT治理的基石，企業(yè)才可以在很大程度上防御IT帶來(lái)的信息安全風(fēng)險(xiǎn)。那么，信息安全架構(gòu)是什么？為什么沒(méi)有信息安全架構(gòu)，IT治理就容易成為空中樓閣？

一、IT治理面臨的信息安全挑戰(zhàn)

在中國(guó)經(jīng)濟(jì)強(qiáng)勁復(fù)蘇的背后，企業(yè)的業(yè)務(wù)發(fā)展與創(chuàng)新對(duì)IT的依賴程度越來(lái)越高。但任何事物都有它的兩面性。正確、恰當(dāng)?shù)厥褂肐T系統(tǒng)能為企業(yè)帶來(lái)飛速的發(fā)展，但系統(tǒng)缺陷、人為誤操作、系統(tǒng)攻擊等不可預(yù)料的各種IT風(fēng)險(xiǎn)也同樣會(huì)使企業(yè)面臨巨大的災(zāi)難。長(zhǎng)期以來(lái)，人們對(duì)保障信息安全的手段偏重于依靠技術(shù)，例如加密技術(shù)、數(shù)據(jù)備份、防病毒、防火墻等手段。而且在大多數(shù)IT管理人員的視角中，信息安全也僅僅局限在技術(shù)層面的操作，信息安全經(jīng)常被看作只是一個(gè)技術(shù)問(wèn)題，很少認(rèn)為它是企業(yè)必需的并需要優(yōu)先考慮。事實(shí)上，僅僅依靠技術(shù)來(lái)保障信息安全的愿望往往是難盡人意的，因?yàn)槊鎸?duì)復(fù)雜多變的安全威脅和隱患單靠技術(shù)手段是無(wú)法消除的。

據(jù)實(shí)踐經(jīng)驗(yàn)表明，信息安全治理是與IT治理密不可分的。假如把信息安全治理比作指引組織進(jìn)行安全項(xiàng)目的路標(biāo)，那么信息安全架構(gòu)的設(shè)計(jì)便是組織通往信息安全這個(gè)目標(biāo)所用的交通工具。因此，沒(méi)有了信息安全架構(gòu)，IT治理根本無(wú)從談起。信息安全架構(gòu)是指企業(yè)管理層利用它來(lái)監(jiān)督企業(yè)在信息安全戰(zhàn)略上的過(guò)程、結(jié)構(gòu)和聯(lián)系，以確保IT運(yùn)營(yíng)處于正確的軌道之上。因此，缺乏良好信息安全架構(gòu)的企業(yè)，就是說(shuō)缺乏健全的風(fēng)險(xiǎn)控制機(jī)制，因而不可能很好的進(jìn)行信息安全管理，進(jìn)而也不可能取得IT治理的成功；同樣，沒(méi)有信息安全管理體系的暢通，IT治理也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。

二、為什么信息安全架構(gòu)是IT治理的基石？

（1）IT治理要以IT風(fēng)險(xiǎn)防治為核心

目前，信息系統(tǒng)已在企業(yè)和政府組織中得到了廣泛的應(yīng)用，IT治理成為企業(yè)治理越來(lái)越關(guān)鍵的一部分。在復(fù)雜的現(xiàn)實(shí)環(huán)境中，不安全因素總是存在的。各種各樣的資料都顯示著信息安全風(fēng)險(xiǎn)以及災(zāi)難性事件的數(shù)量，正隨著時(shí)間的推移而增加。IT治理的一個(gè)重要內(nèi)容是估計(jì)相關(guān)風(fēng)險(xiǎn)對(duì)企業(yè)的經(jīng)營(yíng)收益和IT績(jī)效的影響，并有效控制IT風(fēng)險(xiǎn)，避免IT資產(chǎn)的損失。IT風(fēng)險(xiǎn)是一種潛在的可能，是指某些威脅將會(huì)造成IT資產(chǎn)甚至其它相關(guān)資產(chǎn)損失或者破壞的潛在可能性。安全從來(lái)就不是一種非黑即白的概念。目前的信息安全早已不只是人們傳統(tǒng)意義上的安全，即添加防火墻或路由器等簡(jiǎn)單的設(shè)備就可保證安全，而是成為一種系統(tǒng)和全局的觀念。信息安全是指使信息避免一系列威脅，保障業(yè)務(wù)連續(xù)性，最大限度地減少業(yè)務(wù)損失，從而最大限度地獲取投資和回報(bào)的一種保障機(jī)制。

傳統(tǒng)的信息安全管理基本上是一種靜態(tài)的、局部的、突擊式、事后糾正式的管理方式，導(dǎo)致的結(jié)果是不能從根本上避免和降低各類風(fēng)險(xiǎn)，也不能降低信息安全故障導(dǎo)致的綜合損失。而基于信息安全架構(gòu)的思想是一個(gè)系統(tǒng)化、程序化和文件化的管理體系，基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)預(yù)防控制為主的思想，強(qiáng)調(diào)遵守有關(guān)信息安全的法律法規(guī)及要求，強(qiáng)調(diào)全過(guò)程動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式保護(hù)關(guān)鍵信息資產(chǎn)，使信息風(fēng)險(xiǎn)的發(fā)生概率和結(jié)果降低到可接受收水平。COSO（美國(guó)內(nèi)部控制委員會(huì)）在最新一期的IT治理指南中將IT信息安全架構(gòu)界定為內(nèi)部控制和風(fēng)險(xiǎn)防范的起點(diǎn)與核心，足以說(shuō)明IT治理應(yīng)以信息安全的識(shí)別和防范為著力點(diǎn)。因此，企業(yè)需要建立完善、健全的信息安全架構(gòu)來(lái)規(guī)范IT治理行為，通過(guò)建立詳盡的風(fēng)險(xiǎn)控制機(jī)制來(lái)降低企業(yè)的IT風(fēng)險(xiǎn)。

（2）信息安全是IT治理的基石

信息安全不是一個(gè)孤立靜止的概念，它是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的過(guò)程。不同的企業(yè)對(duì)信息安全會(huì)有不同的理解，長(zhǎng)期以來(lái)信息安全被看作是消極因素，不產(chǎn)生價(jià)值。然而，全球網(wǎng)絡(luò)的出現(xiàn)和企業(yè)傳統(tǒng)邊界地的延伸，使其成為價(jià)值和機(jī)會(huì)的創(chuàng)造者，特別在提升IT利益各方的信任感方面。因此，信息安全必將成為IT治理一個(gè)重要且必不可少的部分，忽略信息安全將使IT價(jià)值的創(chuàng)造無(wú)法持久。信息安全的涵義體現(xiàn)在三個(gè)方面：一是安全性，是指確保信息僅可讓授權(quán)的人獲取和訪問(wèn)；二是完整性，是指保護(hù)信息和處理方法的準(zhǔn)確和完善；三是可用性，是指確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。因此，實(shí)現(xiàn)信息安全是一個(gè)需要完整的體系來(lái)保證的持續(xù)過(guò)程。有效的安全防衛(wèi)不僅是技術(shù)問(wèn)題，也是一個(gè)管理問(wèn)題。

一般來(lái)說(shuō)，信息安全架構(gòu)是通過(guò)實(shí)施一套恰當(dāng)?shù)目刂拼胧﹣?lái)實(shí)現(xiàn)的，該控制措施包括政策、實(shí)踐、程序、組織結(jié)構(gòu)和工具軟件組成。因此，信息安全架構(gòu)模型和其它模型一樣，具有以下幾個(gè)方面的優(yōu)點(diǎn)或作用：①信息安全架構(gòu)模型涉及信息安全和業(yè)務(wù)需求的各個(gè)方面，能以簡(jiǎn)單方式測(cè)定差異，并有助于確定有關(guān)安全性方面的相對(duì)水平；②信息安全架構(gòu)成熟度是測(cè)量安全管理處理等級(jí)的一種方法，這些等級(jí)是一個(gè)給定的信息安全管理處理的慣例，體現(xiàn)各個(gè)成熟層次的典型模式，有助于企業(yè)將主要精力投入到關(guān)鍵的管理方面；③信息安全架構(gòu)模型等級(jí)有助于專業(yè)人員向管理層解釋信息安全管理存在的缺陷，并把組織的控制慣例與最佳慣例對(duì)照起來(lái)，從而確定企業(yè)的未來(lái)發(fā)展目標(biāo)。因此，信息安全架構(gòu)和IT治理不但是息息相關(guān)的，也是IT治理的基石。

三、建立高效信息安全架構(gòu)的流程和方法

信息安全經(jīng)常被看作只是一個(gè)技術(shù)問(wèn)題，很少有企業(yè)認(rèn)為它是必需的并需要優(yōu)先考慮的。所以，治理和管理信息安全的責(zé)任常常被限制在CIO身上。事實(shí)上，這是一個(gè)誤解?，F(xiàn)在信息安全正越來(lái)越成為業(yè)務(wù)成功的關(guān)鍵因素，信息安全架構(gòu)將能有效的幫助企業(yè)達(dá)到業(yè)務(wù)目標(biāo)或創(chuàng)造新的競(jìng)爭(zhēng)機(jī)遇，而不僅僅是一個(gè)技術(shù)環(huán)節(jié)。本部分提出建立信息安全架構(gòu)的流程和常規(guī)步驟：

（1）宣傳和推廣信息安全對(duì)業(yè)務(wù)的重要性

首先是高層管理者必須意識(shí)到IT信息安全架構(gòu)對(duì)業(yè)務(wù)的重要性，這是設(shè)計(jì)信息安全架構(gòu)的前提。其次是充分了解企業(yè)的業(yè)務(wù)安全需求。例如，了解和分析組織業(yè)務(wù)所處的風(fēng)險(xiǎn)環(huán)境，并在此基礎(chǔ)上提出安全保障措施；定義合理的安全投資規(guī)模和計(jì)劃，制定出合理的安全政策和制度。包括對(duì)業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo)及其價(jià)值進(jìn)行分析，在信息安全中業(yè)務(wù)一般是以資產(chǎn)形式表現(xiàn)出來(lái)，它包括信息/數(shù)據(jù)、軟/硬件、無(wú)形資產(chǎn)、人員及其能力等。

（2）定義信息安全驅(qū)動(dòng)方向和策略

企業(yè)應(yīng)采取最高管理層級(jí)的行動(dòng)及時(shí)了解信息安全狀況，以確定信息安全的驅(qū)動(dòng)方向和戰(zhàn)略。信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個(gè)部門的實(shí)際情況，分別制訂不同的信息安全策略。例如，規(guī)模較小的組織單位可能只有一個(gè)信息安全策略，并適用于組織內(nèi)所有部門、員工；而規(guī)模大的集團(tuán)組織則需要制訂一個(gè)信息安全策略文件，分別適用于不同的子公司或各分支機(jī)構(gòu)。信息安全策略應(yīng)該簡(jiǎn)單明了、通俗易懂，并形成書面文件，發(fā)給組織內(nèi)的所有成員。同時(shí)要對(duì)所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn)，以使信息安全方針真正植根于組織內(nèi)所有員工的腦海并落實(shí)到實(shí)際工作中。

（3）進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估

ISO/IEC把風(fēng)險(xiǎn)定義為特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性。風(fēng)險(xiǎn)評(píng)估是對(duì)信息和信息處理的威脅、影響和薄弱點(diǎn)及三者發(fā)生的可能性評(píng)估，即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具用定性與定量的方法，確定資產(chǎn)風(fēng)險(xiǎn)等級(jí)和優(yōu)先控制順序。簡(jiǎn)單的說(shuō)，風(fēng)險(xiǎn)評(píng)估主要是對(duì)信息安全架構(gòu)范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全管制措施進(jìn)行鑒定。

信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度將取決于風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評(píng)估措施應(yīng)該與組織對(duì)信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求相一致。由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程，企業(yè)應(yīng)實(shí)時(shí)對(duì)選擇的管制目標(biāo)和管制措施加以校驗(yàn)和調(diào)整，以適應(yīng)變化了的情況，使企業(yè)的信息安全得到有效、經(jīng)濟(jì)、合理的保護(hù)。

（4）成立安全管理小組，編制安全基線分析報(bào)告

CIO應(yīng)要根據(jù)安全基線分析報(bào)告制定企業(yè)信息安全架構(gòu)，包括成立一支專業(yè)、高效的信息安全管理的隊(duì)伍，一般由信息安全主管為核心，并由信息安全日常管理、信息安全技術(shù)操作兩方面的人員組成。這對(duì)建立有效的信息安全是非常有必要的。安全基線分析報(bào)告是指運(yùn)用各種手段從各個(gè)層面廣泛收集IT風(fēng)險(xiǎn)狀況，進(jìn)行全面、徹底的自我分析與診斷的報(bào)告。包括對(duì)組織業(yè)務(wù)特征、組織文化、安全意識(shí)、人員狀況及信息風(fēng)險(xiǎn)評(píng)估的綜合分析，詳細(xì)描述當(dāng)前企業(yè)的信息安全狀況，為進(jìn)一步制定信息安全投資預(yù)算計(jì)劃、信息安全投資回報(bào)分析、制定安全政策、引入安全控制措施而提供基礎(chǔ)數(shù)據(jù)。

（5）平衡信息安全架構(gòu)中的風(fēng)險(xiǎn)

有業(yè)內(nèi)人士指出，風(fēng)險(xiǎn)控制是一門系統(tǒng)科學(xué)，風(fēng)險(xiǎn)降得越低需要的支出就會(huì)越多。因此，企業(yè)需要尋找一個(gè)合適的平衡點(diǎn)來(lái)保障企業(yè)能夠在可接受的風(fēng)險(xiǎn)范圍內(nèi)支出盡量少的錢。而要想平衡IT架構(gòu)中的安全風(fēng)險(xiǎn)，就必須在信息安全架構(gòu)設(shè)計(jì)的過(guò)程中平衡多種需求，這些需求可能是來(lái)自業(yè)務(wù)部門，或者來(lái)自企業(yè)的方方面面。平衡信息安全架構(gòu)通常需要根據(jù)組成構(gòu)架的每個(gè)元素的重要性來(lái)確定如何進(jìn)行取舍和開發(fā)?；诖?，許多信息安全專家一致認(rèn)為信息安全架構(gòu)需要從整體安全角度來(lái)審閱整個(gè)架構(gòu)，以平衡架構(gòu)設(shè)計(jì)與應(yīng)用中的安全風(fēng)險(xiǎn)。

總而言之，信息安全是一個(gè)相對(duì)的概念，安全威脅時(shí)時(shí)刻刻存在。IT信息的安全涉及方方面面，任何一個(gè)地方的疏漏都會(huì)成為整個(gè)IT治理的致命短板。因此，當(dāng)沒(méi)有建立起信息安全架構(gòu)時(shí)，IT治理根本無(wú)從談起。IT技術(shù)本身可能是信息安全體系里最不重要的部分，但I(xiàn)T信息安全架構(gòu)卻是重中之重。IT 信息安全架構(gòu)不僅是IT治理的一部份，更是企業(yè)持續(xù)經(jīng)營(yíng)重要基石。

【編輯推薦】

1. 信息安全是管理問(wèn)題而非單純的技術(shù)問(wèn)題
2. 信息安全管理：標(biāo)準(zhǔn)、理解與實(shí)施