回顾近些年的信息安全建设工作,安全从业者大都有同感,无论是人、财、物都在加大投入。从安全建设的思路上来看,基于风险管理的主流理念已经渗透到企业管理的各个方面。对攻防技术的研究已经达到前所未有的热度,可以参考的框架、体系及最佳实践也触手可及。可到底是什么原因导致安全建设一直没有起色呢?接下来,咱们来尝试性分析下:是“落地实施的最后一公里”?还是“顶层治理的开始一公里”问题?
谈到“治理”,英文为Governance,还有统治和管理的意思,它被用在很多领域,比如国家治理、政府治理、社会治理及环境治理,而且在信息安全行业很多同僚也在讲着各种治理。上述“治理”具体的内容各不相同,相同点之处是都是关系到顶层规则设计的“大事儿”。
为了快速找到问题的答案,我们把范围限定在企业范围内,同样包括很多治理,诸如数据治理,信息安全治理,信息技术治理及公司治理等等。这些治理之间有着怎样的联系?用一张图诠释下信息安全治理所在的维度及领域。
备注:
1、很多名词实际的覆盖范畴大于图中表述,这里仅包含用于服务主题需要的子集,例如:信息安全风险管理是信息科技风险管理中一部分;
2、为了保留领域专业性,同维度别下的体系命名进行统一化处理,例如:公司内部控制和信息科技管理。
通过上图可以看出:
1 | 风险管理,从全局识别风险,并推导出风险关注点,为企业指出管控方向-做正确的事; |
2 | 控制和审计,确保大家在明确的目标下,有条不紊的开展工作-正确地做事; |
3 | 治理,通过指导,评价,监督等活动,确保业务目标达成-把事做正确; |
想做好信息安全工作,信息安全风险管理、信息安全治理、信息安全管理和审计都需要高度关注,且相互协助与制衡,才能达成业务目标。这样公司上下会对安全工作的价值给出较高的评价。
纵观企业安全建设,在风险管理和安全管理体系方面都投入了较多精力,那么如何“唤醒”受冷落的安全治理?
准确地理解安全治理目标和关键活动,是开展安全治理的工作的前提。无论是信息科技治理,还是信息安全治理,都会讲的第一句话就是:
“Needs to align objectives and strategies for information security with business objectives and strategies.”
在组织纵向上与业务目标和战略对齐。
每一种治理是组织整体治理的一个组成部分,都强调与组织的业务目标保持一致,且创造价值。
第二句:
“Should be assessed, analysed and implemented through a risk management approach, supported by an internal control system.”
在横向上与风险管理体系和控制体系形成合力与制衡。
治理通过指导、评价、监控等过程确保信息技术管理、风险管理和安全管理的有效开展,风险管理从“风险”视角全面关注治理和管理方面存在的不足,不断的提出风险点,持续促进改进。
从风险、治理和管理自身的角度去建立三者之间的联系,总有生拼硬凑的感觉,为了理解三者的关系,进而明确安全治理的重要性,我们在金融行业信息科技风险三道防线的思路下一探究竟。
如下图所示,信息安全治理在信息科技风险管理第一道防线中,有些企业会专门成立信息安全管理委员会,与高级管理层形成安全治理架构。
通过与董事会和外部专家组织形成有效沟通,加快安全决策;
通过对安全管理团队的指导、监督和评价持续提升安全管控的效果;
确保信息系统的稳定运行,实现业务目标。
通常企业高层管理者区分且分别运行这些治理是有益和有效的。但不排除这些治理之间在范围上有重叠。许多保护信息资产的要求不能单凭信息技术来实现,也就是说信息不仅需要信息技术提供保护措施,还需要信息技术以外的保护措施(例如,人的意识和技能)。因此,为管理信息资产面临的安全风险,区别于信息技术治理,单独创建信息安全治理的概念。
企业安全建设每一步都至关重要,哪一公里都需要深思熟虑。信息安全确实没有万能的解药,幸运的是有最佳的实践可以借鉴。相信每个企业都能走出自己特色的安全建设之路。借用毕加索一句话作为收尾:好的艺术家模仿皮毛,伟大的艺术家窃取灵魂。
附录:
标准参考:ISO/IEC 27014
ISO/IEC 27014对安全治理的定义、目标、必要性及关键过程说明如下:
目标:
与业务目标和策略一致,信息安全的建议是效率高,效果好且可接受。
1、战略统一(Strategic Alignment)
2、价值传递(Value Delivery)
3、风险处理(Accountability)
定义:
System by which an organisation’s information security activities are directed and controlled.
必要性:
1、信息安全治理层对信息安全状态全局可视化
2、对于信息安全风险可以快速的进行决策
3、信息安全建设上的投入更高效,效果显著
4、能够更好的符合法律,监管及合同的要求
关键过程:
信息安全治理过程是组织高层管理者开展 信息安全治理活动的过程。这些活动分为:
评 价(Evaluate)
指导(Direct)
监视(Monitor)
沟通(Communicate)
确信(Assure)可选。
活动一:评价,组织高层管理者应首先评价组织建立的ISMS的充分性、与业务目标的一致性、有效性和效率。然后,依据“监视”活动收集的管理数据,分析和测量组织实施和运行的ISMS的目标达成度,必要时采取相应的纠正措施和预防措施。另外,组织高层管理者应能够解释ISMS的计划结果与实际结果的差距及其根由,以及经济上的价值和影响。当信息安全事件发生时,组织高层管理者应尽力调查并决定最佳应对方案,同时告知利益相关者有关防止潜在影响的措施(例如,在信用卡详细信息被意外泄露时,应及时通知受影响的用户)。
活动二:指导,信息安全治理语境下的“指导”是在实现合理的信息安全管理以应对潜在威胁的过程中,确保组织高层管理者、安全管理者和安全专业人员之间的良好沟通和合作,并随时处于准备就绪状态。组织高层管理者应对组织风险管理的各项策略进行指导,包括战略、途径、期望结果、手段和资源。这样,执行人员可以从组织及其业务的视角解读组织风险管理的各项策略,以建立适合组织的信息安全目标,实现ISMS,并分配必要的授权、责任和资源。
活动三:监视,信息安全治理语境下的“监视”是观察ISMS循环活动的执行情况。组织高层管理者、高级经理以及那些被授权于信息安全治理活动的人员应查看风险的演变,评估当前应对风险的准备就绪状况和信息安全控制措施。如果发现风险级别高于组织的可接受程度,应通知高层管理者。为了评估ISMS和相应控制措施的有效性,需要知道它们的当前状态。为此,执行人员按照适当的指南收集相关数据,以向高层管理者报告当前状态。
活动四:沟通,信息安全治理语境下的“沟通”是一项关键活动,因为利益相关者需要准确的信息,以确信组织的ISMS在有效发挥作用,并得到正确的管理。如果组织没有控制好信息安全,很可能会造成广泛的不良社会影响。某些情况下,利益相关者需要组织以信息安全状态报告的形式,呈现和解释其信息安全的策略、方案、实现以及成效。例如,由于担心受到信息安全事件影响的波及,业务合作伙伴和客户可能要求公司披露其保护重要资产的信息安全准备就绪状态。在报告ISMS活动时,组织应考虑信息分级,以防敏感信息泄露对组织业务的损害。信息安全状态报告除了正常状态下的常规报告外,还包括重大安全事件(例如,客户信息泄露等)发生时紧急沟通用的专项报告。
活动五:确信,“确信”是通过外部审计或认证过程来检查和确认组织高层管理者的信息安全治理活动。建议采取第三方审查的形式,但不是所有情况下都是必须的。
声明:本文来自安全阁,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。