ITPub博客

首页 > 数字化转型 > ERP > 信息安全治理:董事会和执行管理层指南(第四章)

信息安全治理:董事会和执行管理层指南(第四章)

原创 ERP 作者:wildtulips 时间:2007-05-16 14:55:13 0 删除 编辑

第四章 董事会/理事会和高级执行官应该做什么?

【摘要】在保证信息安全治理强有力上,董事会和管理者有几项基本职责。这其中,他们应该关注的问题有:

  • 理解为什么信息安全需要治理?
  • 董事一级应采取的行动
  • 高级管理者一级应采取的行动
  • 输出和指导的图解矩阵
[@more@]

理解为什么信息安全需要治理?

  • 风险和威胁是真实存在的并且对企业能产生重大的影响;
  • 信誉的损害也是需要考虑的;
  • 有效的信息安全需要从上至下的通力合作和联合行动;
  • IT投资充足且容易重定向;
  • 文化和其他组织要素同样重要;
  • 规则和优先级需要建立和执行;
  • 开展电子交易的同时,需向贸易伙伴提供信任;
  • 要向所有相关方提供信任——系统的安全是可靠的;
  • 安全事件可能会曝光。

董事一级应采取的行动

  • 知悉信息安全相关信息;
  • 设置方向,例如,推动战略和政策,定义全球风险概貌;
  • 提供资源给信息安全工作;
  • 分派职责给管理者;
  • 设置优先级;
  • 定义和风险意识相关的文化价值;
  • 从内外审计中获得保证;
  • 强调管理上,安全投资和安全改进要可衡量,程序的效果要监控和汇报

高级管理者一级应采取的行动

  • 政策被拥有组织授予的相关角色职责的治理实体批准后,需对安全控制框架的开发进行监管,该框架由标准、度量方法、实践和规程组成。(设计
  • 为安全政策的创造设置方向,和业务输入。(政策开发
  • 保证每个人的角色、职责和权利与其进行过清晰的沟通并被其理解。(角色和职责
  • 要求威胁和脆弱点被识别、分析和监控,业界实践给予相应的应用。
  • 要求建立安全基础设施。
  • 设置方向保证资源在考虑了控制措施实施优先级的基础上及时可用,以及有效供给。(实施)
  • 建立监控度量措施来监测安全违规并保证纠正,这样所有实际的、可疑的违规都能被迅速识别、调查和处理,从而保证政策、标准和最少可接受的安全实践能被持续遵从。(监控
  • 需要定期进行审视和测试。
  • 制定过程以支持入侵检测和事件响应的实施。
  • 通过监控和度量标准来保证,信息被保护,使用正确的技能安全运作信息系统,安全事件被及时响应。安全方法和安全实践的教育对组织安全程序的成功是至关重要的。(告知、培训和教育
  • 安全作为系统开发生命周期过程中不可或缺的部分应在过程的每个阶段被明确的关注。

输出和指导的图解矩阵

显示了有效信息安全治理的输出和管理方针之间的关系。这些方针不会很详尽,但它阐明了一些董事会和执行管理层需要承担的主要任务和相应级别。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/8114942/viewspace-992910/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
  • 博文量
    12
  • 访问量
    12843