在今天的商業(yè)環(huán)境中，IT已成為企業(yè)業(yè)務(wù)發(fā)展和管理不可或缺的重要組成部分，其作用和影響力已擴(kuò)散到企業(yè)的每一個(gè)范疇。但I(xiàn)T給企業(yè)帶來活力、利潤和競爭力的同時(shí)，也給企業(yè)帶來了風(fēng)險(xiǎn)。例如，日益依附IT的企業(yè)面臨著因信息安全導(dǎo)致的業(yè)務(wù)災(zāi)害風(fēng)險(xiǎn)。因此，如何最大限度地保證信息安全成為每個(gè)企業(yè)都必須正視的問題。 近日在深圳召開的“中國信息化與IT治理高層研究會(huì)”上，信息安全架構(gòu)和IT治理成為眾多CIO關(guān)注的熱門。會(huì)議認(rèn)為加強(qiáng)信息安全離不開IT治理，完善的IT治理是信息安全的保障；而建立有效的信息安全架構(gòu)則是IT治理的基石，企業(yè)才可以在很大程度上防御IT帶來的信息安全風(fēng)險(xiǎn)。那么，信息安全架構(gòu)是什么？為什么沒有信息安全架構(gòu)，IT治理就容易成為空中樓閣？

一、IT治理面臨的信息安全挑釁

在中國經(jīng)濟(jì)強(qiáng)勁復(fù)蘇的背后，企業(yè)的業(yè)務(wù)發(fā)展與創(chuàng)新對(duì)IT的依附程度越來越高。但任何事物都有它的兩面性。正確、適當(dāng)?shù)貞?yīng)用IT系統(tǒng)能為企業(yè)帶來飛速的發(fā)展，但系統(tǒng)缺點(diǎn)、人為誤操作、系統(tǒng)攻擊等不可預(yù)感的各種IT風(fēng)險(xiǎn)也同樣會(huì)使企業(yè)面臨宏大的災(zāi)害。長期以來，人們對(duì)保障信息安全的手段著重于依附技巧，例如加密技巧、數(shù)據(jù)備份、防病毒、防火墻等手段。而且在大多數(shù)IT管理人員的視角中，信息安全也僅僅局限在技巧層面的操作，信息安全經(jīng)常被看作只是一個(gè)技巧問題，很少認(rèn)為它是企業(yè)必須的并需要優(yōu)先考慮。事實(shí)上，僅僅依附技巧來保障信息安全的愿望往往是難盡人意的，因?yàn)槊鎸?duì)復(fù)雜多變的安全要挾和隱患單靠技巧手段是無法打消的。

據(jù)實(shí)踐經(jīng)驗(yàn)表明，信息安全治理是與IT治理密不可分的。假如把信息安全治理比作指引組織進(jìn)行安全項(xiàng)目標(biāo)路標(biāo)，那么信息安全架構(gòu)的設(shè)計(jì)便是組織通往信息安全這個(gè)目標(biāo)所用的交通工具。因此，沒有了信息安全架構(gòu)，IT治理基本無從談起。信息安全架構(gòu)是指企業(yè)管理層利用它來監(jiān)督企業(yè)在信息安全戰(zhàn)略上的過程、結(jié)構(gòu)和接洽，以確保IT運(yùn)營處于正確的軌道之上。因此，缺乏良好信息安全架構(gòu)的企業(yè)，就是說缺乏健全的風(fēng)險(xiǎn)把持機(jī)制，因而不可能很好的進(jìn)行信息安全管理，進(jìn)而也不可能取得IT治理的成功；同樣，沒有信息安全管理系統(tǒng)的暢通，IT治理也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。

二、為什么信息安全架構(gòu)是IT治理的基石？

（1）IT治理要以IT風(fēng)險(xiǎn)防治為核心

目前，信息系統(tǒng)已在企業(yè)和政府組織中得到了廣泛的利用，IT治理成為企業(yè)治理越來越要害的一部分。在復(fù)雜的現(xiàn)實(shí)環(huán)境中，不安全因素總是存在的。各種各樣的材料都顯示著信息安全風(fēng)險(xiǎn)以及災(zāi)害性事件的數(shù)量，正隨著時(shí)間的推移而增加。IT治理的一個(gè)重要內(nèi)容是估計(jì)相干風(fēng)險(xiǎn)對(duì)企業(yè)的經(jīng)營收益和IT績效的影響，并有效把持IT風(fēng)險(xiǎn)，避免IT資產(chǎn)的喪失。IT風(fēng)險(xiǎn)是一種潛在的可能，是指某些要挾將會(huì)造成IT資產(chǎn)甚至其它相干資產(chǎn)喪失或者損壞的潛在可能性。安全從來就不是一種非黑即白的概念。目前的信息安全早已不只是人們傳統(tǒng)意義上的安全，即添加防火墻或路由器等簡略的設(shè)備就可保證安全，而是成為一種系統(tǒng)和全局的觀念。信息安全是指使信息避免一系列要挾，保障業(yè)務(wù)持續(xù)性，最大限度地減少業(yè)務(wù)喪失，從而最大限度地獲取投資和回報(bào)的一種保障機(jī)制。

傳統(tǒng)的信息安全管理基礎(chǔ)上是一種靜態(tài)的、局部的、突擊式、事后改正式的管理方法，導(dǎo)致的成果是不能從基本上避免和下降各類風(fēng)險(xiǎn)，也不能下降信息安全故障導(dǎo)致的綜合喪失。而基于信息安全架構(gòu)的思想是一個(gè)系統(tǒng)化、程序化和文件化的管理系統(tǒng)，基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)預(yù)防把持為主的思想，強(qiáng)調(diào)遵照有關(guān)信息安全的法律法規(guī)及請(qǐng)求，強(qiáng)調(diào)全過程動(dòng)態(tài)把持，本著把持費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全把持方法保護(hù)要害信息資產(chǎn)，使信息風(fēng)險(xiǎn)的產(chǎn)生概率和成果下降到可接收收程度。COSO（美國內(nèi)部把持委員會(huì)）在最新一期的IT治理指南中將IT信息安全架構(gòu)界定為內(nèi)部把持和風(fēng)險(xiǎn)防備的起點(diǎn)與核心，足以闡明IT治理應(yīng)以信息安全的辨認(rèn)和防備為著力點(diǎn)。因此，企業(yè)需要建立完善、健全的信息安全架構(gòu)來規(guī)范IT治理行動(dòng)，通過建立詳盡的風(fēng)險(xiǎn)把持機(jī)制來下降企業(yè)的IT風(fēng)險(xiǎn)。