企业信息安全治理目标

企业信息安全治理目标

信息安全治理是将被动的事件驱动型管理模式转变为主动的风险管控模式，主动地对威胁和风险进行评估。主动地采取风险处置措施。通过资源的调控实现对信息安全工作的调控。在信息安全治理过程中大量借鉴管理学方法，通过PDCA环，进行动态的控制和治理，全过程强调测评和监控，通过治理的流程控制措施进行资源的调配，实现对关键项目、关键技术、关键措施的扶持。对非关键活动的控制，确保安全项目按规划要求进行实施和交付。企业开展有效的信息安全治理必须实现以下几个目标：

(1)战略一致。实现在信息安全计划与组织整体规划和业务计划之间建立关联，实现合理的描述并确认信息价值。

(2)价值交付。实现提供信息安全承诺，降低安全管理组织成本。提高业务可靠性和稳定性。

(3)资源管理。实现对支持信息运行的关键资源进行最优化投资和最佳管理。

(4)风险管理。实现企业人员具备足够的风险意识。能够充分理解组织面临的主要风险，并在组织结构设计中划分和明确指派风险责任。

(5)绩效度量。实现科学地对信息运行的战略目标实现程度、信息资源的使用情况、信息过程的执行情况以及信息服务的交付效果进行跟踪和监控。

企业信息安全治理的方案

企业信息安全治理的总体思路是：从企业发展战略和统一的信息安全体系需求出发，结合信息安全治理标准及实践，制定安全政策，明确角色与责任，确保相关人员清楚知道和理饵各自的角色、责任和权力。开发及实篪由标准、评测措施、实务和规程组成的安全治理规范，建立控制措施，查明安全隐患，并确保其得到改正。开展全员安全文化教育和安全意识的养成，宣贯保护信息的必要性，提供安全运作信息系统所需技巧的教育培训。

企业开展信息安全治理主要从信息安全管理控制、信息安全运行控制，信息安全合规管理和信息安全风险管理4个方面开展，实现企业以业务为关注焦点的协同工作，为管理者提供更好的信息管理视角，形成基于流程导向的清晰的所有者关系及职责，形成被第三方监管机构认可的基于通用语言，被所有的利益相关方所理解的总体信息安全治理。

企业信息安全治理的过程通过信息安全管理控制设定目标和制定策略，通过信息安全运行控制对安全事件、制度、流程有效监控，确保信息服务的客户、服务评估标准满足业务需求，利用合规检查与改善加强信息安全的合规管理，通过风险评估的识别与应对处置加强信息安全风险管理，PDCA贯穿治理的各个环节。形成动态有效的安全治理模型。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友