铡草机厂家
免费服务热线

Free service

hotline

010-00000000
铡草机厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

浅析IT治理与信息安全的关系

发布时间:2020-07-01 02:10:29 阅读: 来源:铡草机厂家

摘要:在当今的商业中,备份行业已经处于向上发展的时期,数据备份的产品层出不穷,但是为什么还有一些数据安全事件的发生呢.经分析发现,其大部分是由于人为的误操作、存储器意外故障的等.

关键词:IT治理信息安全

在当今的商业中,备份行业已经处于向上发展的时期,数据备份的产品层出不穷,但是为什么还有一些数据安全事件的发生呢。经分析发现,其大部分是由于人为的误操作、存储器意外故障的等。人为的误操作是公司员工的失误,存储器设备的损坏属于公司对设备的管理失误,以上表明了一个企业的内在的管理它包括企业的各方面,统称为信息安全架构的建设,因此信息安全架构建设搞不好,那IT治理从何谈起。

那么就今天的信息安全架构和IT治理的关系进行一个剖析

一、为什么信息安全架构是IT治理的基石?

(1)IT治理要以IT风险防治为核心

目前,信息系统已在企业和政府组织中得到了广泛的应用,IT治理成为企业治理越来越关键的一部分。在复杂的现实环境中,不安全因素总是存在的。各种各样的资料都显示着信息安全风险以及灾难性事件的数量,正随着时间的推移而增加。IT治理的一个重要内容是估计相关风险对企业的经营收益和IT绩效的影响,并有效控制IT风险,避免IT资产的损失。IT风险是一种潜在的可能,是指某些威胁将会造成IT资产甚至其它相关资产损失或者破坏的潜在可能性。安全从来就不是一种非黑即白的概念。目前的信息安全早已不只是人们传统意义上的安全,即添加防火墙或路由器等简单的设备就可保证安全,而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁,保障业务连续性,最大限度地减少业务损失,从而最大限度地获取投资和回报的一种保障机制。

传统的信息安全管理基本上是一种静态的、局部的、突击式、事后纠正式的管理方式,导致的结果是不能从根本上避免和降低各类风险,也不能降低信息安全故障导致的综合损失。而基于信息安全架构的思想是一个系统化、程序化和文件化的管理体系,基于系统、全面、科学的安全风险评估,体现预防控制为主的思想,强调遵守有关信息安全的法律法规及要求,强调全过程动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护关键信息资产,使信息风险的发生概率和结果降低到可接受收水平。COSO(美国内部控制委员会)在最新一期的IT治理指南中将IT信息安全架构界定为内部控制和风险防范的起点与核心,足以说明IT治理应以信息安全的识别和防范为着力点。因此,企业需要建立完善、健全的信息安全架构来规范IT治理行为,通过建立详尽的风险控制机制来降低企业的IT风险。

(2)信息安全是IT治理的基石

信息安全不是一个孤立静止的概念,它是一个多层面、多因素的、综合的、动态的过程。不同的企业对信息安全会有不同的理解,长期以来信息安全被看作是消极因素,不产生价值。然而,全球网络的出现和企业传统边界地的延伸,使其成为价值和机会的创造者,特别在提升IT利益各方的信任感方面。因此,信息安全必将成为IT治理一个重要且必不可少的部分,忽略信息安全将使IT价值的创造无法持久。

信息安全的涵义体现在三个方面:

一是安全性,是指确保信息仅可让授权的人获取和访问;

二是完整性,是指保护信息和处理方法的准确和完善;

三是可用性,是指确保授权人需要时可以获取信息和相应的资产。

因此,实现信息安全是一个需要完整的体系来保证的持续过程。有效的安全防卫不仅是技术问题,也是一个管理问题。

一般来说,信息安全架构是通过实施一套恰当的控制措施来实现的,该控制措施包括政策、实践、程序、组织结构和工具软件组成。因此,信息安全架构模型和其它模型一样,具有以下几个方面的优点或作用:

①信息安全架构模型涉及信息安全和业务需求的各个方面,能以简单方式测定差异,并有助于确定有关安全性方面的相对水平;

②信息安全架构成熟度是测量安全管理处理等级的一种方法,这些等级是一个给定的信息安全管理处理的惯例,体现各个成熟层次的典型模式,有助于企业将主要精力投入到关键的管理方面;

③信息安全架构模型等级有助于专业人员向管理层解释信息安全管理存在的缺陷,并把组织的控制惯例与最佳惯例对照起来,从而确定企业的未来发展目标。因此,信息安全架构和IT治理不但是息息相关的,也是IT治理的基石。

当然数据备份事故的发生也不能仅仅归信息安全的错误,针对IT治理,无非就是两方面,一方面是数据备份产品。 另一方面就是企业内部的管理了。所以只有双管齐下,才能保障企业数据的安全。

责编:qwenf

制作工装

东营西服定做

淄博西装