31:IT治理研究中心提出信息安全治理含义是?
发布时间:2011年06月15日点击数: 作者:孙强、孟秀转 来源:ITGov中国IT治理研究中心
【字体: 收藏 打印文章
摘要:
信息安全管理提供管理程序、技术和保证措施,使业务管理者确信业务交易的可信性;确保信息技术服务的可用性,能适当地抵抗不正当操作、蓄意攻击或者自然灾害,并从这些故障中恢复;确保拒绝没经授权的访问重要的机密信息。信息安全管理的目标是公司的信息及信息系统的安全运营,确定IT目标以及实现此目标所采取的行动。

IT治理研究中心提出信息安全治理含义是?

1.信息安全治理的含义

所谓信息安全治理是指最高管理层(董事会)用来监督管理层在信息安全战略上的过程、结构和联系,以确保信息安全战略与组织的业务目标的一致。它不同于信息安全管理。

信息安全管理提供管理程序、技术和保证措施,使业务管理者确信业务交易的可信性;确保信息技术服务的可用性,能适当地抵抗不正当操作、蓄意攻击或者自然灾害,并从这些故障中恢复;确保拒绝没经授权的访问重要的机密信息。信息安全管理的目标是公司的信息及信息系统的安全运营,确定IT目标以及实现此目标所采取的行动。

信息安全治理是一种基础制度安排,缺乏善治的信息安全治理结构于机制,就是说缺乏健全的制度安排,不可能有很好的信息安全管理;同样,没有有效的信息安全管理,单纯的治理机制也只能是一个美好的蓝图,而缺乏实际的内容。就目前我国信息化建设的现状而言,无论是信息安全治理,还是信息安全管理都是我们所迫切需要健全的。

安全是一种“买不到”的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的。建立一个有效的信息安全体系首先需要在好的信息安全治理的基础上,其次要制定出相关的管理策略和规章制度,然后才是在安全产品的帮助下搭建起整个架构。相反,就不可能得到一个真正意义上的安全防护体系。所以,尽管有些单位安装了一些安全产品,但这不能称其为实现了信息安全治理。

2.善治的信息安全治理

善治的信息安全治理应该能做到:

(1)安全战略于业务战略相一致

业务需求驱动安全需求;

安全方案适应业务流程;

信息安全投资与业务战略和最大风险状况密切相关。

(2)交付价值

一系列安全实务标准,如最佳安全实务基准;

正确排序,将资源有限分配给有最大影响和商业利益的地方;

规范化并以业务为核心的解决方案;

体系化的解决方案,包括组织、流程和技术等;

持续改进的文化。

(3)风险管理

风险概况的一致认识;

清楚风险管理的优先级。

(4)绩效度量

;定义度量标准;

反馈度量程序的进展;

保证第三方独立性。
>

京ICP备06004481号   Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved