（2）信息安全是IT治理的基石

信息安全不是一個孤立靜止的概念，它是一個多層面、多因素的、綜合的、動態(tài)的過程。不同的企業(yè)對信息安全會有不同的懂得，長期以來信息安全被看作是消極因素，不產(chǎn)生價值。然而，全球網(wǎng)絡的呈現(xiàn)和企業(yè)傳統(tǒng)邊界地的延伸，使其成為價值和機會的發(fā)明者，特別在提升IT利益各方的信任感方面。因此，信息安全必將成為IT治理一個重要且必不可少的部分，疏忽信息安全將使IT價值的發(fā)明無法持久。信息安全的涵義體現(xiàn)在三個方面：一是安全性，是指確保信息僅可讓授權的人獲取和訪問；二是完整性，是指保護信息和處理方法的正確和完善；三是可用性，是指確保授權人需要時可以獲取信息和相應的資產(chǎn)。因此，實現(xiàn)信息安全是一個需要完整的系統(tǒng)來保證的持續(xù)過程。有效的安全防衛(wèi)不僅是技巧問題，也是一個管理問題。

一般來說，信息安全架構是通過實行一套適當?shù)陌殉执胧﹣韺崿F(xiàn)的，該把持措施包含政策、實踐、程序、組織結構和工具軟件組成。因此，信息安全架構模型和其它模型一樣，具有以下幾個方面的優(yōu)點或作用：①信息安全架構模型涉及信息安全和業(yè)務需求的各個方面，能以簡略方法測定差別，并有助于斷定有關安全性方面的相對程度；②信息安全架構成熟度是測量安全管理處理等級的一種方法，這些等級是一個給定的信息安全管理處理的慣例，體現(xiàn)各個成熟層次的典范模式，有助于企業(yè)將重要精力投入到要害的管理方面；③信息安全架構模型等級有助于專業(yè)人員向管理層說明信息安全管理存在的缺點，并把組織的把持慣例與最佳慣例對照起來，從而斷定企業(yè)的未來發(fā)展目標。因此，信息安全架構和IT治理不但是息息相干的，也是IT治理的基石。

三、建立高效信息安全架構的流程和方法

信息安全經(jīng)常被看作只是一個技巧問題，很少有企業(yè)認為它是必須的并需要優(yōu)先考慮的。所以，治理和管理信息安全的義務常常被限制在CIO身上。事實上，這是一個曲解�，F(xiàn)在信息安全正越來越成為業(yè)務成功的要害因素，信息安全架構將能有效的幫助企業(yè)達到業(yè)務目標或發(fā)明新的競爭機會，而不僅僅是一個技巧環(huán)節(jié)。本部分提出建立信息安全架構的流程和慣例步驟：

（1）宣傳和推廣信息安全對業(yè)務的重要性

首先是高層管理者必須意識到IT信息安全架構對業(yè)務的重要性，這是設計信息安全架構的前提。其次是充分懂得企業(yè)的業(yè)務安全需求。例如，懂得和分析組織業(yè)務所處的風險環(huán)境，并在此基礎上提出安全保障措施；定義合理的安全投資范圍和打算，制定出合理的安全政策和制度。包含對業(yè)務內(nèi)容、性質(zhì)、目標及其價值進行分析，在信息安全中業(yè)務一般是以資產(chǎn)情勢表現(xiàn)出來，它包含信息/數(shù)據(jù)、軟/硬件、無形資產(chǎn)、人員及其才能等。

（2）定義信息安全驅(qū)動方向和策略

企業(yè)應采用最高管理層級的舉動及時懂得信息安全狀態(tài)，以斷定信息安全的驅(qū)動方向和戰(zhàn)略。信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個部門的實際情況，分辨制定不同的信息安全策略。例如，范圍較小的組織單位可能只有一個信息安全策略，并實用于組織內(nèi)所有部門、員工；而范圍大的團體組織則需要制定一個信息安全策略文件，分辨實用于不同的子公司或各分支機構。信息安全策略應當簡略明了、通俗易懂，并形成書面文件，發(fā)給組織內(nèi)的所有成員。同時要對所有相干員工進行信息安全策略的培訓，以使信息安全方針真正植根于組織內(nèi)所有員工的腦海并落實到實際工作中。

（3）進行信息安全風險評估

ISO/IEC把風險定義為特定的要挾利用資產(chǎn)的一種或一組單薄點，導致資產(chǎn)的喪失或侵害的潛在可能性。風險評估是對信息和信息處理的要挾、影響和單薄點及三者產(chǎn)生的可能性評估，即利用適當?shù)娘L險評估工具用定性與定量的方法，斷定資產(chǎn)風險等級和優(yōu)先把持次序。簡略的說，風險評估重要是對信息安全架構范疇內(nèi)的信息資產(chǎn)進行鑒定和估價，然后對信息資產(chǎn)面對的各種要挾和脆弱性進行評估，同時對已存在的或計劃的安全管制措施進行鑒定。