信息安全治理:集中式与分布式

The First American Corporation副总裁Audry Agle致力于创建适合您业务的模型

信息风险的管理已成为所有大小企业的重要话题。但是对于大型的,跨部门的组织,这带来了另一个挑战,即确定如何在经常分散的业务部门之间部署信息安全治理计划。定义程序的政策,程序和流程是否应在中央公司机构内制定和管理?还是将责任更好地放在单个单位级别上?有可行的中间立场吗?

如果跨业务部门的协调非常重要,则集中式模型似乎是正确的选择。通过在中央治理机构内部指导和管理该计划,所有业务部门将被迫遵守相同的统一愿景和政策集。由于只有一个地方可以评估组织的状况,因此这种结构可以使执行领导和董事会得到更好的监督。集中治理通常是最有效的,因为可以在整个组织中以经济有效的方式利用资源,从而限制了重复劳动并更好地利用了人才和工具。该模型还具有一定的可持续性,因为可以向股东保证单个部门的盈利能力不会损害计划的质量。最后,一旦发生事故,可以在公司的全面监督下以统一的方式进行处理。

另请参见Micki Krause等人撰写的《信息安全管理基础知识》。

但是,集中式方法存在一些问题,可以使用分布式模型更好地解决该问题,在该模型中,每个业务部门都要负责自己的InfoSec程序。随着他们制定自己的政策和标准,他们更有可能接受该计划,为其分配必要的资源并全面实施。该模型没有具有可在整个组织中应用的通用策略集,而是具有产生与每个部门特定业务模型相一致的策略的优势。此外,业务部门可以自主行动,因此在需要更改政策或进行事件调查时从理论上讲可以更有效地行动。

我们都熟悉在安然局势期间出现的问责制问题。结果,今天的股东要求他们领导的组织要精通公司领导才能。重大信息安全事件发生后,可能会立即要求这些领导人提供详细信息。为了解决此问题,在利用业务部门自主权的好处的同时,许多组织正在采用混合方法。通过提供一个集中于计划结果的中央治理机构来实现这两种模型中的最佳方法,而业务部门则可以控制这些方法。这些小组共同努力以实现总体计划目标。以下内容描述了如何实现混合程序的建立和责任分担。

1.制定基准政策和标准 -为了确保一致性,许多组织集中了此过程。但是,业务部门应该为这些材料的开发提供大量投入,因为接受对于采用这些材料至关重要。通过在整个组织中定义一致的基准要求,领导者可以了解该计划的框架。然后鼓励该部门开发自己的业务专用套件,以增强公司基准,并解决他们可能具有的任何独特需求。

2.评估差距 -这可以由内部安全和审核资源,外部供应商或咨询机构执行。集中该功能将有助于确保客观了解每个部门对基准政策的遵守情况。

3.计划和实施风险控制 -缓解策略的开发通常最好在单位级别执行,因为可以最深入地了解流程,并且可以更有效地实施更改。中央治理机构可能能够为尚未考虑的控制措施提供客观的想法,但不应规定该部门将如何实现政策合规性。

4.管理,监测和持续测量 -一旦实施,对控制措施的管理通常是单位级别的功能,但是,应该共享监视和衡量控制措施的有效性。尽管业务部门可能希望监视结果,但中央治理小组也将需要洞察力。需要可靠,客观的指标来确保高级领导者该计划有效。为了确保报告的公正性,单位人员应与中央管理机构保持报告关系。

拥有相似产品和跨部门客户的公司可能强烈需要统一性,并且自然会调整其模型以实现更加集中化。相反,具有不同业务模型和不同客户的企业可能具有非常不同的安全性要求,因此可能会通过将更多责任转移到单位级别而倾向于分布更广泛的模型。

无论您的组织选择采用哪种模式,高层领导和董事会都必须参与其中。管理层必须清楚地传达其重视和拥护InfoSec计划的动机,以激发员工之间的相同反应。负责任的InfoSec小组,无论是公司一级还是单位一级,只有在三方成员对遵守计划负责的情况下才能成功。应对政策违规行为非常重视,并且必须引起反响。此外,组织必须愿意灵活,并根据反馈和结果调整计划。可靠的信息安全计划不只是发生而已。组织在确定哪种模型最能实现其业务目标时必须采取周到的协作方法。 ##

奥德里·阿格尔 ,CISSP,CBCP,MBA,是第一美国公司信息安全副总裁。目前,她负责协助公司信息安全计划的开发和维护。

版权 © 2008 IDG通讯 ,Inc.