（三）信息安全治理--创造新的战略竞争机遇

发布时间：2011年12月06日点击数： 作者：ITGov 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:
（原文初次发表于2002年，系我国信息安全治理开篇之作，此处略有删改） 在当今科技时代中，信息是一个国家最重要的资源之一，信息与网络的运用亦是二十一世纪国力的象征，但无论是从国家竞争力、组织再造或是国防战备来说，今日正面临着层出不穷的事件的挑战。在2002年的10月上旬到11月上旬，我们记录了来自公开媒体的典型安全事件。

1. 信息安全治理的产生背景
目前，信息系统已在商业和政府组织中得到了真正的广泛的应用，IT治理成为企业治理越来越关键的一部分。最高管理层（董事会）和执行管理层同样需要确保IT适应企业战略，企业战略也恰当利用IT的优势。

但不安全因素总是存在。没有一个系统是完美的，没有一项技术是灵丹妙药。

事实上针对系统安全的攻击越来越普遍。早在1996年，美国会计总署（GAO）报告指出，美国国防部一年有15，000个系统遭到高达250，000次攻击，其中65%攻击成功，防范和弥补损失的费用高达数亿美元。更值得注意的是，这些攻击中只有400个被查明，20个被报告。如果说1996年很大程度上是一种系统的弱点，5年以后的今天，它已成为一种威胁，正如美国联邦调查局对100个针对电子商务网站的敲诈案件调查表明，攻击者不仅威胁公开客户信息，并且实际上在要求得不到满足时实现这种威胁。

许多国家的政府已经认识到安全的重要性，并积极采取措施提高信息安全。以美国政府为例，“9.11事件”后美国信息基础设施保护委员会（PCIPB）列出了53个信息安全重点问题，把信息安全列入国家战略。在这个战略中，信息安全被分成5个等级；第一级是家庭用户和小型商业机构，第二级是大型企业，第三级是高等教育、联邦政府、州与地方政府等关键部门，第四级是国家优先任务，第五级是全球性合作网络。

但是，在今年Gartner举办的研讨会上，与会人士普遍认为9.11后企业依然没有提高警惕。Gartner 研究主管Donna Scott的调查报告显示全球2000强企业中只有不到25%在全面的业务连续性计划上进行了投资，而就在这些进行了投资的企业当中，只有50%对自己的恢复计划进行了全面的测试。 针对严峻的现状，Scott警告说：“随着实时企业观念的推进，即使是最小的中断——关键业务系统几分钟或是几小时的储运损耗、关键供应商或是外部服务供应商服务的中断、整个经济形势可能引发的潜在业务冲击及其对客户/供应商所产生的影响——都可能带来极为严重的商业后果。”

美国政府将在2003年投资五百多亿美元，用于改造IT基础设施及其性能。其中政府机构用于网络安全的支出将增长64%，达到约30亿美元。看到上面的数字，你一定会认为，随着网络安全支出的增长，政府部门的计算机安全环境将会得到极大的改善，能够抵御任何形式的网络威胁。然而事实可能并非如此。Gartner的副总裁John Pescatore预言，政府网络安全的显著改善至少需要花费三年的时间。他认为，与个人网络安全相比，政府网络安全现在还处于远远落后的状态，要想解决一些比较大的问题，必须先要建立网络安全的基础和机制。

目前业界普遍认为，信息安全是政府和企业必须携手面对的问题。政府和企业管理执行层（董事会）有责任确保为所有使用者提供一个安全的信息系统环境，而且，政府部门和企业在认识到安全的信息系统好处的同时，应该自我保护以避免使用信息系统时的固有风险。

近期我国接连不断地出现程度不同的信息系统安全事故，首都机场因电脑系统故障，6000多人滞留机场，150多驾飞机延误；南京火车站电脑售票系统突然发生死机故障，整个车站售票处于瘫痪状态；广东省工行因系统故障，全线停业一个半小时；深交所证券交易系统宕机事件等等。这些事故不仅仅是简单的信息系统瘫痪的问题，其直接后果是导致巨大的经济损失，还造成了不良的社会影响。如果说经济损失还能弥补，那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。

我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关政策，直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业，也开始出台对信息安全技术产品的应用标准和规范。国务院信息化领导小组最近颁布的《关于我国电子政务建设指导意见》也强调指出了电子政务建设中信息系统安全的重要性；中国人民银行正在加紧制定网上银行系统安全性评估指引，并明确提出对信息安全的投资要达到IT总投资的10%以上，而在其他一些关键行业，信息安全的投资甚至已经超过了总IT预算的30-50%。

到底需要什么样的方法或机制来管理或治理信息安全呢？经过近一年对国内外信息安全和最佳实务的研究，我们认为关键是要建立一套能够涵盖组织信息安全的制度安排机制，它包括治理机制和治理结构，这种制度安排通过建立和维护一个框架来保证信息安全战略和组织的业务目标精确校准，并且和相关的法律和规范一致。

 

共7页 您在第3页 首页 上一页 1 2 3 4 5 6 7 下一页 尾页