在今天的商业环境中,IT已成为企业业务发展和管理不可或缺的重要组成部分,其作用和影响力已扩散到企业的每一个领域。但IT给企业带来活力、利润和竞争力的同时,也给企业带来了风险。例如,日益依赖IT的企业面临着因信息安全导致的业务灾难风险。因此,如何最大限度地保证信息安全成为每个企业都必须正视的问题。近日在深圳召开的“中国信息化与IT治理高层研讨会”上,信息安全架构和IT治理成为众多CIO关注的热点。会议认为加强信息安全离不开IT治理,完善的IT治理是信息安全的保障;而建立有效的信息安全架构则是IT治理的基石,企业才可以在很大程度上防御IT带来的信息安全风险。那么,信息安全架构是什么?为什么没有信息安全架构,IT治理就容易成为空中楼阁?
一、IT治理面临的信息安全挑战
在中国经济强劲复苏的背后,企业的业务发展与创新对IT的依赖程度越来越高。但任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展,但系统缺陷、人为误操作、系统攻击等不可预料的各种IT风险也同样会使企业面临巨大的灾难。长期以来,人们对保障信息安全的手段偏重于依靠技术,例如加密技术、数据备份、防病毒、防火墙等手段。而且在大多数IT管理人员的视角中,信息安全也仅仅局限在技术层面的操作,信息安全经常被看作只是一个技术问题,很少认为它是企业必需的并需要优先考虑。事实上,仅仅依靠技术来保障信息安全的愿望往往是难尽人意的,因为面对复杂多变的安全威胁和隐患单靠技术手段是无法消除的。
据实践经验表明,信息安全治理是与IT治理密不可分的。假如把信息安全治理比作指引组织进行安全项目的路标,那么信息安全架构的设计便是组织通往信息安全这个目标所用的交通工具。因此,没有了信息安全架构,IT治理根本无从谈起。信息安全架构是指企业管理层利用它来监督企业在信息安全战略上的过程、结构和联系,以确保IT运营处于正确的轨道之上。因此,缺乏良好信息安全架构的企业,就是说缺乏健全的风险控制机制,因而不可能很好的进行信息安全管理,进而也不可能取得IT治理的成功;同样,没有信息安全管理体系的畅通,IT治理也只能是一个美好的蓝图,而缺乏实际的内容。
二、为什么信息安全架构是IT治理的基石?
(1)IT治理要以IT风险防治为核心
目前,信息系统已在企业和政府组织中得到了广泛的应用,IT治理成为企业治理越来越关键的一部分。在复杂的现实环境中,不安全因素总是存在的。各种各样的资料都显示着信息安全风险以及灾难性事件的数量,正随着时间的推移而增加。IT治理的一个重要内容是估计相关风险对企业的经营收益和IT绩效的影响,并有效控制IT风险,避免IT资产的损失。IT风险是一种潜在的可能,是指某些威胁将会造成IT资产甚至其它相关资产损失或者破坏的潜在可能性。安全从来就不是一种非黑即白的概念。目前的信息安全早已不只是人们传统意义上的安全,即添加防火墙或路由器等简单的设备就可保证安全,而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁,保障业务连续性,最大限度地减少业务损失,从而最大限度地获取投资和回报的一种保障机制。
传统的信息安全管理基本上是一种静态的、局部的、突击式、事后纠正式的管理方式,导致的结果是不能从根本上避免和降低各类风险,也不能降低信息安全故障导致的综合损失。而基于信息安全架构的思想是一个系统化、程序化和文件化的管理体系,基于系统、全面、科学的安全风险评估,体现预防控制为主的思想,强调遵守有关信息安全的法律法规及要求,强调全过程动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护关键信息资产,使信息风险的发生概率和结果降低到可接受收水平。COSO(美国内部控制委员会)在最新一期的IT治理指南中将IT信息安全架构界定为内部控制和风险防范的起点与核心,足以说明IT治理应以信息安全的识别和防范为着力点。因此,企业需要建立完善、健全的信息安全架构来规范IT治理行为,通过建立详尽的风险控制机制来降低企业的IT风险。
(2)信息安全是IT治理的基石
信息安全不是一个孤立静止的概念,它是一个多层面、多因素的、综合的、动态的过程。不同的企业对信息安全会有不同的理解,长期以来信息安全被看作是消极因素,不产生价值。然而,全球网络的出现和企业传统边界地的延伸,使其成为价值和机会的创造者,特别在提升IT利益各方的信任感方面。因此,信息安全必将成为IT治理一个重要且必不可少的部分,忽略信息安全将使IT价值的创造无法持久。信息安全的涵义体现在三个方面:一是安全性,是指确保信息仅可让授权的人获取和访问;二是完整性,是指保护信息和处理方法的准确和完善;三是可用性,是指确保授权人需要时可以获取信息和相应的资产。因此,实现信息安全是一个需要完整的体系来保证的持续过程。有效的安全防卫不仅是技术问题,也是一个管理问题。
一般来说,信息安全架构是通过实施一套恰当的控制措施来实现的,该控制措施包括政策、实践、程序、组织结构和工具软件组成。因此,信息安全架构模型和其它模型一样,具有以下几个方面的优点或作用:①信息安全架构模型涉及信息安全和业务需求的各个方面,能以简单方式测定差异,并有助于确定有关安全性方面的相对水平;②信息安全架构成熟度是测量安全管理处理等级的一种方法,这些等级是一个给定的信息安全管理处理的惯例,体现各个成熟层次的典型模式,有助于企业将主要精力投入到关键的管理方面;③信息安全架构模型等级有助于专业人员向管理层解释信息安全管理存在的缺陷,并把组织的控制惯例与最佳惯例对照起来,从而确定企业的未来发展目标。因此,信息安全架构和IT治理不但是息息相关的,也是IT治理的基石。
三、建立高效信息安全架构的流程和方法
信息安全经常被看作只是一个技术问题,很少有企业认为它是必需的并需要优先考虑的。所以,治理和管理信息安全的责任常常被限制在CIO身上。事实上,这是一个误解。现在信息安全正越来越成为业务成功的关键因素,信息安全架构将能有效的帮助企业达到业务目标或创造新的竞争机遇,而不仅仅是一个技术环节。本部分提出建立信息安全架构的流程和常规步骤:
(1)宣传和推广信息安全对业务的重要性
首先是高层管理者必须意识到IT信息安全架构对业务的重要性,这是设计信息安全架构的前提。其次是充分了解企业的业务安全需求。例如,了解和分析组织业务所处的风险环境,并在此基础上提出安全保障措施;定义合理的安全投资规模和计划,制定出合理的安全政策和制度。包括对业务内容、性质、目标及其价值进行分析,在信息安全中业务一般是以资产形式表现出来,它包括信息/数据、软/硬件、无形资产、人员及其能力等。
(2)定义信息安全驱动方向和策略
企业应采取最高管理层级的行动及时了解信息安全状况,以确定信息安全的驱动方向和战略。信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制订不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
(3)进行信息安全风险评估
ISO/IEC把风险定义为特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性。风险评估是对信息和信息处理的威胁、影响和薄弱点及三者发生的可能性评估,即利用适当的风险评估工具用定性与定量的方法,确定资产风险等级和优先控制顺序。简单的说,风险评估主要是对信息安全架构范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定。
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。由于信息安全是一个动态的系统工程,企业应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使企业的信息安全得到有效、经济、合理的保护。
(4)成立安全管理小组,编制安全基线分析报告
CIO应要根据安全基线分析报告制定企业信息安全架构,包括成立一支专业、高效的信息安全管理的队伍,一般由信息安全主管为核心,并由信息安全日常管理、信息安全技术操作两方面的人员组成。这对建立有效的信息安全是非常有必要的。安全基线分析报告是指运用各种手段从各个层面广泛收集IT风险状况,进行全面、彻底的自我分析与诊断的报告。包括对组织业务特征、组织文化、安全意识、人员状况及信息风险评估的综合分析,详细描述当前企业的信息安全状况,为进一步制定信息安全投资预算计划、信息安全投资回报分析、制定安全政策、引入安全控制措施而提供基础数据。
(5)平衡信息安全架构中的风险
有业内人士指出,风险控制是一门系统科学,风险降得越低需要的支出就会越多。因此,企业需要寻找一个合适的平衡点来保障企业能够在可接受的风险范围内支出尽量少的钱。而要想平衡IT架构中的安全风险,就必须在信息安全架构设计的过程中平衡多种需求,这些需求可能是来自业务部门,或者来自企业的方方面面。平衡信息安全架构通常需要根据组成构架的每个元素的重要性来确定如何进行取舍和开发。基于此,许多信息安全专家一致认为信息安全架构需要从整体安全角度来审阅整个架构,以平衡架构设计与应用中的安全风险。
总而言之,信息安全是一个相对的概念,安全威胁时时刻刻存在。IT信息的安全涉及方方面面,任何一个地方的疏漏都会成为整个IT治理的致命短板。因此,当没有建立起信息安全架构时,IT治理根本无从谈起。IT技术本身可能是信息安全体系里最不重要的部分,但IT信息安全架构却是重中之重。IT 信息安全架构不仅是IT治理的一部份,更是企业持续经营重要基石。
【编辑推荐】
软件开发技术怎么样?
软件开发技术
一、从行业上划分,软件开发有以下:
1、手机
mac OS(苹果的),Linux,Palm(最大特色是不能后台),BlackBerry(黑莓)Windows Phone(WP,不错的系统,)
Android(安卓,07年兴起的,很好的系统),还有几个新系统,三星与intel联合开发的tizen,Mozilla 公司的FireFox OS ,N900的maemo。
2、电脑
企业管理软件,如:如MES系统软件、OA系统软件、CRM系统软件、HR系统软件、ERP系统软件合同。
二、从设计领域划分,包括以下领域:
1、 桌面程序:Java、C++、C#、VB、C均可。
2、网站服务器端开发:JSP(Java语法)、PHP、ASP(C#语法)、Web App框架等
3、网站客户端:HTML、CSS、JavaScript、Flash等等
4、智能手机程序:安卓使用Java,iPhone使用Objective-C
5、底层、工具开发:C、C++
6、多功能脚本程序:Python、Perl、Ruby等等
7.、人工智能:Prolog、PDDL
8、 工业控制:C、PLC、汇编
9、通用应用层数据交换处理技术:标记语言XML/XPATH/XSLT、JSON、YAML等等
10、数据库 SQL/PLSQL
去旅游拼团的话,有哪些优势跟劣势?
优势分析。 旅游者自主“拼团”多为网上拼团,其次还包括同事之间和亲友之间。 随着带薪休假的进一步推行,有着共同兴趣和爱好,追求自由、自主、个性和舒适的旅游者将逐渐把“拼团”出游作为他们主要的出游方式。 这种出游方式具有以下几方面的优势:1,可自由选择出团时间。 在旅行游览过程中,旅游者在时间的安排和旅行的节奏方面有较多的自主权,旅游舒适度能够较好的得到保障。 2,可节约旅游费用。 人数越多,包团旅游价格自然会越低。 如果人数不够,要想单独包团,价格肯定会很高,但又不愿意参加那种比较死板、质量相对来说较差、自由比较受限制的散客团,这样就可以采取网上拼团的方式,既可降低费用,又可享受到单独包团所带来的种种好处。 3,可寻找合适旅伴,使旅途增添无穷乐趣。 不管是网上拼团还是同事、亲友之间的拼团,成团之后的旅游者在兴趣爱好、个人素养、文化品味等方面相对更具有一致性,因而彼此比较容易融洽相处,旅途也会比较愉快。 4,可比较自由的选择合适的线路,甚至自行设计旅游线路,或者将已有的旅游线路按自己的要求作一些更改。 在出游目的地选择和旅游线路安排方面具有更多的自主性。 劣势分析。 作为一种新兴事物,旅游者“拼团”行为必然存在着一定的缺陷和漏洞,以网上拼团为例,其自身存在以下不足:1,网上拼团信息的可靠性难以保障。 拼团发起者提供的信息不一定准确,也就是说有可能提供虚假信息。 2,网上拼团信息的执行性难以保障。 网上拼团的发起者和响应者就旅游线路安排、旅游费用分摊等问题的协定多数为口头协定,存在较大的隐患。 3,网上拼团的安全性存在隐患。 网上拼团后若只从旅行社购买部分旅游线路或只购买“机票”+“酒店”而没有专业的导游人员陪同,对于缺乏旅游经验或旅游常识的旅游者来说其生命安全性很难得到有效的保证。 4,保险公司无法全面保障。 根据相关规定,如果是民间自发组织的旅游,许多意外无法进行索赔,比如山洪是自然灾害,无法避免,加上责任不明确,没有人为他们承担赔偿义务,遇难者要对自己负责。 要是遇难者有工作单位,并在单位中买有保险,可以向保险公司索赔;如果事情是在旅游景点或有单位直接管理的区域发生,比如公园,那么公园要承担一定的责任。 然而旅游人身意外险的附加条款第九条规定,“被保险人从事潜水、跳伞、攀岩运动、探险活动、武术比赛、摔跤比赛、特技表演、赛马、赛车等高风险运动”,保险公司不承担责任。 5,网上拼团缺乏有效的监管机制。 现阶段还没有专门的相关部门对网上拼团信息的有效性、网上拼团旅游者生命安全的保障性等环节进行有效监管,对于网上拼团旅游者出游后所发生的各种纠纷也缺乏相应的法律予以裁断和解决。
如今,it行业发展的趋势如何?
二十一世纪进入信息时代,席卷全球的信息科技给人类的生产和生活方式带来了深刻的变革,信息产业已成为推动国家经济发展的主导产业之一。 目前,中国软件产业还处于成长期,其市场潜力还远远没有挖掘出来。 2005年中国软件市场总体规模将达到907亿元,增长率达到33%。 2010年左右,中国软件产业将步入成熟期。 IT产业作为知识密集、技术密集的产业,其迅猛发展的关键是有一大批从事IT技术创新的人才。 一定数量、结构和质量的IT人才队伍是IT产业发展的支撑,一个国家的IT人力资源储备、IT人才培养及使用状况决定着该国IT产业发展的水平和潜力。 也可以说,IT产业的竞争就是人才的竞争,高水平的IT人才培养和队伍建设是走向IT产业大国和强国的前提条件。 美国、印度和爱尔兰的信息产业发展就是最好的例证。 就中国来说,IT产业在过去5年经历了年28%的增长速度,是同期国家GDP增长速度的三倍,对GDP增长的拉动作用已进一步增强,对我国国民经济增长的贡献率不断提高。 2003年,我国IT全行业实现销售收入1。 88万亿元,完成工业增加值4000亿元,利税总额1000亿元,IT产品出口额1421亿美元。 软件与系统集成销售收入1600亿元,软件出口额20亿美元,创历史最好水平。 IT产业占全国工业比重达到12。 3%,占GDP的9。 1%,成为第一大产业。 而未来一段时期,我国将会利用国际产业转移的重大机遇,聚集各种资源,突破核心技术制约,在集成电路、软件、计算机与信息处理、现代移动通信、信息安全、信息服务和系统集成等技术领域加强创新,促进IT产品更新换代,推动我国由IT大国向IT强国转变,并进而推动国民经济信息化进程,以信息化带动工业化,走出一条新型工业化道路。 所以,无论是从大的方向讲,还是从小的方面讲,培养和储备高素质的IT人才都显得非常重要。 五部委报告:IT人才需求每年增加100万中国计算机报讯 教育部、信息产业部、国防科工委、交通部、卫生部日前联合发布数控技术应用、计算机应用与软件技术、汽车运用与维修、护理等四个专业领域的人才需求状况。 计算机人才:需求每年增加100万!据介绍,目前我国的计算机应用水平还处于初级阶段,现有计算机和信息技术设施的功能没有得到很好的开发和运用,比发达国家落后10-20年。 但我国信息技术在不断地发展中,目前的软件营业收入是十年前的25倍,预计到2005年软件产业的规模将达到2500亿元。 随着我国软件业规模不断扩大,软件人才结构性矛盾日益显得突出。 教育部关于紧缺人才的报告称,软件从业人员近60万人,其中专业人才约有34万人(其中高级人才4万人,中级人才20万人,初级人才10万人)。 人才结构呈两头小中间大的橄榄型结构, 不仅缺乏高层次的系统分析员、项目总设计师, 也缺少大量的从事基础性软件开发人员。 根据国际经验,软件人才高、中、初之比为1:4:7。 按照合理的人才结构比例进行测算,到2005年,我国需要软件高级人才6万人,中级软件人才28万人,初级软件人才46万人,再加上企业、社区、机关、学校等行业,初步测算,全国计算机应用专业人才的需求每年将增加百万,但国内学历教育目前只能提供5-6万人。
发表评论