（2）信息安全是IT治理的基石

信息安全不是一個(gè)孤立靜止的概念，它是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的過(guò)程。不同的企業(yè)對(duì)信息安全會(huì)有不同的懂得，長(zhǎng)期以來(lái)信息安全被看作是消極因素，不產(chǎn)生價(jià)值。然而，全球網(wǎng)絡(luò)的呈現(xiàn)和企業(yè)傳統(tǒng)邊界地的延伸，使其成為價(jià)值和機(jī)會(huì)的發(fā)明者，特別在提升IT利益各方的信任感方面。因此，信息安全必將成為IT治理一個(gè)重要且必不可少的部分，疏忽信息安全將使IT價(jià)值的發(fā)明無(wú)法持久。信息安全的涵義體現(xiàn)在三個(gè)方面：一是安全性，是指確保信息僅可讓授權(quán)的人獲取和訪問(wèn)；二是完整性，是指保護(hù)信息和處理方法的正確和完善；三是可用性，是指確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。因此，實(shí)現(xiàn)信息安全是一個(gè)需要完整的系統(tǒng)來(lái)保證的持續(xù)過(guò)程。有效的安全防衛(wèi)不僅是技巧問(wèn)題，也是一個(gè)管理問(wèn)題。

一般來(lái)說(shuō)，信息安全架構(gòu)是通過(guò)實(shí)行一套適當(dāng)?shù)陌殉执胧﹣?lái)實(shí)現(xiàn)的，該把持措施包含政策、實(shí)踐、程序、組織結(jié)構(gòu)和工具軟件組成。因此，信息安全架構(gòu)模型和其它模型一樣，具有以下幾個(gè)方面的優(yōu)點(diǎn)或作用：①信息安全架構(gòu)模型涉及信息安全和業(yè)務(wù)需求的各個(gè)方面，能以簡(jiǎn)略方法測(cè)定差別，并有助于斷定有關(guān)安全性方面的相對(duì)程度；②信息安全架構(gòu)成熟度是測(cè)量安全管理處理等級(jí)的一種方法，這些等級(jí)是一個(gè)給定的信息安全管理處理的慣例，體現(xiàn)各個(gè)成熟層次的典范模式，有助于企業(yè)將重要精力投入到要害的管理方面；③信息安全架構(gòu)模型等級(jí)有助于專業(yè)人員向管理層說(shuō)明信息安全管理存在的缺點(diǎn)，并把組織的把持慣例與最佳慣例對(duì)照起來(lái)，從而斷定企業(yè)的未來(lái)發(fā)展目標(biāo)。因此，信息安全架構(gòu)和IT治理不但是息息相干的，也是IT治理的基石。

三、建立高效信息安全架構(gòu)的流程和方法

信息安全經(jīng)常被看作只是一個(gè)技巧問(wèn)題，很少有企業(yè)認(rèn)為它是必須的并需要優(yōu)先考慮的。所以，治理和管理信息安全的義務(wù)常常被限制在CIO身上。事實(shí)上，這是一個(gè)曲解�，F(xiàn)在信息安全正越來(lái)越成為業(yè)務(wù)成功的要害因素，信息安全架構(gòu)將能有效的幫助企業(yè)達(dá)到業(yè)務(wù)目標(biāo)或發(fā)明新的競(jìng)爭(zhēng)機(jī)會(huì)，而不僅僅是一個(gè)技巧環(huán)節(jié)。本部分提出建立信息安全架構(gòu)的流程和慣例步驟：

（1）宣傳和推廣信息安全對(duì)業(yè)務(wù)的重要性

首先是高層管理者必須意識(shí)到IT信息安全架構(gòu)對(duì)業(yè)務(wù)的重要性，這是設(shè)計(jì)信息安全架構(gòu)的前提。其次是充分懂得企業(yè)的業(yè)務(wù)安全需求。例如，懂得和分析組織業(yè)務(wù)所處的風(fēng)險(xiǎn)環(huán)境，并在此基礎(chǔ)上提出安全保障措施；定義合理的安全投資范圍和打算，制定出合理的安全政策和制度。包含對(duì)業(yè)務(wù)內(nèi)容、性質(zhì)、目標(biāo)及其價(jià)值進(jìn)行分析，在信息安全中業(yè)務(wù)一般是以資產(chǎn)情勢(shì)表現(xiàn)出來(lái)，它包含信息/數(shù)據(jù)、軟/硬件、無(wú)形資產(chǎn)、人員及其才能等。

（2）定義信息安全驅(qū)動(dòng)方向和策略

企業(yè)應(yīng)采用最高管理層級(jí)的舉動(dòng)及時(shí)懂得信息安全狀態(tài)，以斷定信息安全的驅(qū)動(dòng)方向和戰(zhàn)略。信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個(gè)部門(mén)的實(shí)際情況，分辨制定不同的信息安全策略。例如，范圍較小的組織單位可能只有一個(gè)信息安全策略，并實(shí)用于組織內(nèi)所有部門(mén)、員工；而范圍大的團(tuán)體組織則需要制定一個(gè)信息安全策略文件，分辨實(shí)用于不同的子公司或各分支機(jī)構(gòu)。信息安全策略應(yīng)當(dāng)簡(jiǎn)略明了、通俗易懂，并形成書(shū)面文件，發(fā)給組織內(nèi)的所有成員。同時(shí)要對(duì)所有相干員工進(jìn)行信息安全策略的培訓(xùn)，以使信息安全方針真正植根于組織內(nèi)所有員工的腦海并落實(shí)到實(shí)際工作中。

（3）進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估

ISO/IEC把風(fēng)險(xiǎn)定義為特定的要挾利用資產(chǎn)的一種或一組單薄點(diǎn)，導(dǎo)致資產(chǎn)的喪失或侵害的潛在可能性。風(fēng)險(xiǎn)評(píng)估是對(duì)信息和信息處理的要挾、影響和單薄點(diǎn)及三者產(chǎn)生的可能性評(píng)估，即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具用定性與定量的方法，斷定資產(chǎn)風(fēng)險(xiǎn)等級(jí)和優(yōu)先把持次序。簡(jiǎn)略的說(shuō)，風(fēng)險(xiǎn)評(píng)估重要是對(duì)信息安全架構(gòu)范疇內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種要挾和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或計(jì)劃的安全管制措施進(jìn)行鑒定。