爱华网文/周应 11月22日,“中国IT治理与安全大会2007”成功在上海举办。国际IT治理与安全领域的权威组织国际信息系统审计与控制协会(ISACA)、信息系统安全协会(ISSA)、《IT经理世界》杂志社与微软、普华永道、毕马威、德勤等合作伙伴一起,就IT治理与安全领域的发展趋势、中国企业面临的路径选择等问题分享了自己的观点。 在会上,普华永道和IT治理协会(ITGI)联合发布的《全球IT治理状况报告》显示,2007年60%的受访企业已经设立了首席安全官(CSO)或首席信息安全官(CISO)职位,同时建立了总体信息安全策略的企业达到57%,比上一年均有较大幅度增加。 国际信息系统审计与控制协会(ISACA)全球副总裁任家明先生认为,随着一系列对IT加以控制的安全法规的诞生,在企业内部甚至是在开放的环境中构建符合安全标准的生态结构是当前的主要任务。只有完成对于企业信息安全基础平台的构架,才能进一步开展业务经营与各种治理活动。如家公司的CIO邓树洪在会上分享了该公司在纳斯达克成功上市后,利用IT开展对全公司的管理的案例,并指出利用IT治理IT的思路已经开始广泛被企业界所认可。 与会的专家和学者普遍认为,IT治理与信息安全的工作已不仅限于风险评估与实施的初级水平,随着越来越多的企业依赖IT来开展业务,企业在流程层面的安全控制已成为安全生态中的重要部分。并且,随着经济全球一体化的发展和企业跨国并购行动的越来越频繁,企业的经营风险在关联企业中相互传递,未来的信息安全生态圈将扩大到包括企业内网、外网、周边供应链等在内的各个层次。 尽管目前已有越来越多的企业认识到信息安全的重要性,但要找寻一套符合企业要求的安全生态系统却并非易事。微软大中华区信息安全总监何迪生认为,目前企业在开放的网络环境中开展业务至少面对四大挑战:第一,内部身份认证的安全性;第二,有组织犯罪的威胁;第三,各种来自于网络的内外部攻击;第四,各种软硬件的安全漏洞。
与此同时,在信息安全领域最近一年多来影响力持续上升的微软公司还指出,目前最为有效的企业安全生态系统建设战略,仅仅依靠技术革新来应对挑战是不够的。2007年,企业的安全隐患已由外部的黑客、病毒攻击转向内部员工的疏忽。一项数据表示,认为内部员工是最主要安全隐患的企业增加到48%,企业在IT安全方面的许多投资和努力,最后都可能因为员工的安全意识淡漠而功亏一篑。 因此安全效果的获得还有赖于安全有效的管理流程,这需要用户企业的努力,比如企业的决策层支持安全流程的建立;进行专业的商业风险分析;依靠业务和IT的人员一起建立安全策略;以及构建安全架构并持续不断地开展系统安全监控。 值得注意的是,微软公司还指出,根据调查,目前全球范围内安全专家的收入已经比数据库专家高出了15%,因为他们肩负着更重要的责任,并且需要不断更新自己在技术、经营管理和法律法规等方面的知识。这也从侧面体现了企业信息安全的重要性。
