文化产业期刊网是专业从事评职论文发表,核心期刊征稿,核心期刊发表,学术论文发表等服务的论文发表期刊咨询网。

信息安全制度如何治理

发布时间:2016-10-20   |  所属分类:文学:论文发表  |  浏览:  |  加入收藏

  信息安全制度有很多的不可控的因素,因此使得这项制度不能完全的实施,信息安全目的和战略与业务目的和战略一致,目前这门制度正在进一步的探讨中,下面小编介绍一篇关于信息安全制度的论文范文。

信息化建设

  摘要:信息安全制度不能落地的原因有很多,其中一部分要归结到治理层。本文对影响制度落地的信息安全治理问题,尤其是治理结构,进行了初步探讨,并根据实践的观察,将其分为3种类型。

  关键词:治理;信息安全;信息安全制度;策略

  1关于信息治理结构

  治理结构的设计是信息安全治理的基本问题之一[3]。在公司治理领域,一般认为治理结构包括了董事会及高层管理的相关设计,处于组织内外的交界处。在信息安全实践中,治理结构更多地体现为信息安全的分管结构。基于实践观察,我们按照信息安全与IT之间的关系,对常见的分管结构进行了初步的分析,主要分为3种:治理结构Ⅰ型(分开分管)、治理结构Ⅱ型(统一分管)和治理结构Ⅲ型(统一管理)。必须强调的是,这3种治理结构没有绝对的好与坏,重点在于治理结构与组织战略是否匹配。例如,某企业中,信息安全与信息化的分管领导不是同一个高管,导致的后果必然是信息安全部门公布的所有制度都“从严”,但是如果该企业的主营业务是典型的乙方性质,那么该企业在分管结构上与公司战略是否匹配则有待商榷。

  1.1信息安全治理结构Ⅰ型(分开分管)

  越来越多的组织试图将首席信息官(ChiefInformationOfficer,CIO)与首席安全官(ChiefSecurityOfficer,CSO)分离,设计成与审计类似的架构。信息安全治理结构Ⅰ型(分开分管)指的是信息安全与IT分属不同的高层管理,如图1所示。图1信息安全治理结构Ⅰ型(分开分管)这种结构强调了信息安全的重要性,尤其是对IT部门形成了制约,这是优点。但缺点是容易导致损失便利性考虑。分离之后的信息安全部门往往显得行动偏激,甚至会干扰正常业务运转。一个部门一旦独立,为了争取部门权益或存在合法性,必然最大化利用手中的权力,这在组织研究领域中已经有较为充分的研究。在很多情况下,如果强调一件事的重要性,建立独立的组织并招募一批以此为生的员工,为争取生存,他们自然会最大化地强调这件事的重要性。更通俗的例子是,城管队员可能会逐步表现出城市高层管理并不期望的偏激行为,例如,殴打小商小贩,这不是管理技巧的讨论范畴,而是一个治理层问题,因为在制度的顶层设计中,城管队员与小商小贩在生存权问题上存在根本的冲突。几乎同样的逻辑也会发生在信息安全情境中。此外,根据认知失调理论(CognitiveDissonance),我们得知在个体认知层面讨论这种冲突亦无济于事,因为冲突中的每一方往往都认为自己是正义的,否则就不会发生公开的冲突。个体认知只有在汇聚起来的时候,才能够形成合法性,并由此改变社会结构。如果缺乏足够的人群,个体认知不会改变整体组织架构,而是呈现了相反的影响路径。通俗地讲,在改变不了自身状态的情况下,个体一般会选择改变认知,因为改变认知结构比改变社会结构要容易得多。

  1.2信息安全治理结构Ⅱ型(统一分管)

  信息安全治理结构Ⅱ型(统一分管)指信息安全与IT是不同的独立部门,但是归属同一个高管分管。具体如图2所示。这种结构的缺点很明显,由于信息安全和IT部门同属一个分管领导,信息安全对信息系统管理的监督作用有限,当然这种做法的优点同治理结构Ⅰ型(分开分管)一样,也会形成一定的制约,这种制约更多地体现为对其他部门。但是在实践中,信息安全虽然是广义的,包括了各种形式存在信息,例如,存在信息系统中的信息,打印在纸上的信息,直至员工大脑中的知识,即便如此,信息系统安全毫无疑问是其中最重要的部分。从这个角度讲,治理结构Ⅱ型(统一分管)并不适合信息安全非常重要的组织。治理结构Ⅱ型(统一分管)更容易在“便利性”与“安全性”之间达到平衡,越来越多的组织开始采用这种治理结构。

  1.3信息安全治理结构Ⅲ型(统一管理)

  在信息安全治理结构Ⅲ型(统一管理)中,信息安全还是作为IT部门中的一个部门,如图3所示.治理结构Ⅲ型(统一管理)是目前最常见的形式,由于信息安全只是IT部门的其中一个部门负责,也就是说,信息安全对IT运维等很难形成制约,更多的作用是对其他部门的管理,很难避免“监守自盗”的问题。信息安全在治理结构Ⅲ型(统一管理)中尚未上升到治理层次,仅仅在管理层中讨论。

  2小结

  信息安全治理在组织的治理者、执行管理者和那些负责实现与运行信息安全管理体系者之间提供了强有力的纽带。ISO/IEC27014:2013提出了一个“评价”“指导”“监视”和“沟通”过程来治理信息安全。这个过程主要针对信息安全管理体系(InformationSecurityManagementSystem,ISMS)的实施[4],显然也可以推广到通过其他体系的部署信息安全的组织。本文的目的就是提出更一般性的讨论。


上一篇:传统民族音乐如何传承
下一篇:文化旅游产业园现状如何