国产激情久久久久影院小草_国产91高跟丝袜_99精品视频99_三级真人片在线观看

<small id="mjdke"><noframes id="mjdke">
  • <table id="mjdke"><optgroup id="mjdke"><code id="mjdke"></code></optgroup></table>
  • 信息安全制度治理問題探討論文

    時間:2021-01-12 11:59:33 制度 我要投稿

    信息安全制度治理問題探討論文

      摘要:信息安全制度不能落地的原因有很多,其中一部分要歸結(jié)到治理層。本文對影響制度落地的信息安全治理問題,尤其是治理結(jié)構(gòu),進行了初步探討,并根據(jù)實踐的觀察,將其分為3種類型。

    信息安全制度治理問題探討論文

      關(guān)鍵詞:治理;信息安全;信息安全制度;策略

      一般而言,在底層執(zhí)行中存在的不可調(diào)和的沖突,往往是由于高層設(shè)計中出現(xiàn)了問題。ISO/IEC27014:2013《信息技術(shù)安全技術(shù)信息安全治理》將信息安全治理定義為“指導(dǎo)和控制組織信息安全活動的體系”,并明確地指出“在信息安全方面,治理者的關(guān)鍵聚焦點是確保組織的信息安全方法是有效率的、有效果的、可接受的,與業(yè)務(wù)目的和戰(zhàn)略是一致的,并充分考慮到利益相關(guān)者的期望”[1]。信息安全治理的主要目的有:1)使信息安全目的和戰(zhàn)略與業(yè)務(wù)目的和戰(zhàn)略一致(戰(zhàn)略一致);2)為治理者和利益相關(guān)者帶來價值(價值提供);3)確保信息風(fēng)險得到充分解決(責(zé)任承擔(dān))。李維安等認為公司治理的目標不但要實現(xiàn)利益相關(guān)者之間相互制衡,而且要實現(xiàn)公司決策的科學(xué)化[2]。對比公司治理的目標,可見信息安全治理實際就是公司治理在信息安全情境中的細化。

      1關(guān)于信息治理結(jié)構(gòu)

      治理結(jié)構(gòu)的設(shè)計是信息安全治理的基本問題之一[3]。在公司治理領(lǐng)域,一般認為治理結(jié)構(gòu)包括了董事會及高層管理的相關(guān)設(shè)計,處于組織內(nèi)外的交界處。在信息安全實踐中,治理結(jié)構(gòu)更多地體現(xiàn)為信息安全的分管結(jié)構(gòu)。基于實踐觀察,我們按照信息安全與IT之間的關(guān)系,對常見的分管結(jié)構(gòu)進行了初步的分析,主要分為3種:治理結(jié)構(gòu)Ⅰ型(分開分管)、治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)和治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)。必須強調(diào)的是,這3種治理結(jié)構(gòu)沒有絕對的好與壞,重點在于治理結(jié)構(gòu)與組織戰(zhàn)略是否匹配。例如,某企業(yè)中,信息安全與信息化的分管領(lǐng)導(dǎo)不是同一個高管,導(dǎo)致的后果必然是信息安全部門公布的所有制度都“從嚴”,但是如果該企業(yè)的主營業(yè)務(wù)是典型的乙方性質(zhì),那么該企業(yè)在分管結(jié)構(gòu)上與公司戰(zhàn)略是否匹配則有待商榷。

      1.1信息安全治理結(jié)構(gòu)Ⅰ型(分開分管)

      越來越多的組織試圖將首席信息官(ChiefInformationOfficer,CIO)與首席安全官(ChiefSecurityOfficer,CSO)分離,設(shè)計成與審計類似的架構(gòu)。信息安全治理結(jié)構(gòu)Ⅰ型(分開分管)指的是信息安全與IT分屬不同的高層管理,如圖1所示。圖1信息安全治理結(jié)構(gòu)Ⅰ型(分開分管)這種結(jié)構(gòu)強調(diào)了信息安全的重要性,尤其是對IT部門形成了制約,這是優(yōu)點。但缺點是容易導(dǎo)致?lián)p失便利性考慮。分離之后的信息安全部門往往顯得行動偏激,甚至?xí)蓴_正常業(yè)務(wù)運轉(zhuǎn)。一個部門一旦獨立,為了爭取部門權(quán)益或存在合法性,必然最大化利用手中的權(quán)力,這在組織研究領(lǐng)域中已經(jīng)有較為充分的研究。在很多情況下,如果強調(diào)一件事的重要性,建立獨立的組織并招募一批以此為生的員工,為爭取生存,他們自然會最大化地強調(diào)這件事的重要性。更通俗的例子是,城管隊員可能會逐步表現(xiàn)出城市高層管理并不期望的'偏激行為,例如,毆打小商小販,這不是管理技巧的討論范疇,而是一個治理層問題,因為在制度的頂層設(shè)計中,城管隊員與小商小販在生存權(quán)問題上存在根本的沖突。幾乎同樣的邏輯也會發(fā)生在信息安全情境中。此外,根據(jù)認知失調(diào)理論(CognitiveDissonance),我們得知在個體認知層面討論這種沖突亦無濟于事,因為沖突中的每一方往往都認為自己是正義的,否則就不會發(fā)生公開的沖突。個體認知只有在匯聚起來的時候,才能夠形成合法性,并由此改變社會結(jié)構(gòu)。如果缺乏足夠的人群,個體認知不會改變整體組織架構(gòu),而是呈現(xiàn)了相反的影響路徑。通俗地講,在改變不了自身狀態(tài)的情況下,個體一般會選擇改變認知,因為改變認知結(jié)構(gòu)比改變社會結(jié)構(gòu)要容易得多。

      1.2信息安全治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)

      信息安全治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)指信息安全與IT是不同的獨立部門,但是歸屬同一個高管分管。具體如圖2所示。這種結(jié)構(gòu)的缺點很明顯,由于信息安全和IT部門同屬一個分管領(lǐng)導(dǎo),信息安全對信息系統(tǒng)管理的監(jiān)督作用有限,當然這種做法的優(yōu)點同治理結(jié)構(gòu)Ⅰ型(分開分管)一樣,也會形成一定的制約,這種制約更多地體現(xiàn)為對其他部門。但是在實踐中,信息安全雖然是廣義的,包括了各種形式存在信息,例如,存在信息系統(tǒng)中的信息,打印在紙上的信息,直至員工大腦中的知識,即便如此,信息系統(tǒng)安全毫無疑問是其中最重要的部分。從這個角度講,治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)并不適合信息安全非常重要的組織。治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)更容易在“便利性”與“安全性”之間達到平衡,越來越多的組織開始采用這種治理結(jié)構(gòu)。

      1.3信息安全治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)

      在信息安全治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)中,信息安全還是作為IT部門中的一個部門,如圖3所示.治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)是目前最常見的形式,由于信息安全只是IT部門的其中一個部門負責(zé),也就是說,信息安全對IT運維等很難形成制約,更多的作用是對其他部門的管理,很難避免“監(jiān)守自盜”的問題。信息安全在治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)中尚未上升到治理層次,僅僅在管理層中討論。

      2小結(jié)

      信息安全治理在組織的治理者、執(zhí)行管理者和那些負責(zé)實現(xiàn)與運行信息安全管理體系者之間提供了強有力的紐帶。ISO/IEC27014:2013提出了一個“評價”“指導(dǎo)”“監(jiān)視”和“溝通”過程來治理信息安全。這個過程主要針對信息安全管理體系(InformationSecurityManagementSystem,ISMS)的實施[4],顯然也可以推廣到通過其他體系的部署信息安全的組織。本文的目的就是提出更一般性的討論。

    【信息安全制度治理問題探討論文】相關(guān)文章:

    網(wǎng)絡(luò)信息安全概念探討論文07-28

    電子檔案的信息安全探討論文12-09

    信息安全和網(wǎng)絡(luò)安全工作探討論文07-03

    探討移動網(wǎng)絡(luò)信息安全管理問題和應(yīng)對策略論文06-15

    計算機教育過程中信息安全問題探討論文12-10

    高校網(wǎng)絡(luò)與信息安全及其治理論文08-22

    會計電算化制度設(shè)計問題探討論文07-25

    電子信息安全風(fēng)險管理探討論文07-27

    通信企業(yè)網(wǎng)絡(luò)信息安全探討論文08-21

    供電企業(yè)信息安全管理探討論文08-22