信息安全管理新方向

信息安全与保护对组织有绝对的重要性，但无法确保组织运营的成功。从风险管理的角度入手，不但可在信息安全与组织运营的需求中取得平衡，更可加强信息保护，并进一步促使组织达到运营活动的效率与成功。信息在企业运营中一向有着其可观的价值，然而，信息的价值却是一直到了最近，才被有能力与有竞争力的企业真正了解及运用。

目前许多企业针对法规遵从、信息与物理安全、隐私权、以及运营及财务风险等，分别建立独立的部门以达到上述各方面的公司治理。这些独立的组织个体都能有效的达到其组织目标，然而，由于这些部门各自独立作业，并属于不同管理阶层，它们可能无法达到企业整体的有效信息风险管理目标，通过这些独立部门组织的整合，可实现有效的信息风险管理。

为何信息安全如此具挑战性?

信息安全因为信息技术不断更新的特性，成为信息处理流程中，最具挑战性的一环。简单来说，信息安全所以困难，是因为敌人只需要猜对一次就成功了，而防守的一方则需要每次都对，才得以保住信息安全。然而，信息安全负责人员却往往被缺乏资金、资源、时间、以及知识而困扰。企业往往期望信息安全负责人能够在有限的资源与能力下，避免任何可能造成信息架构损坏的风险，每当信息安全负责人创造或导入了一套防止敌人攻击的控制机制，对手往往会发展出一套更新更有效的攻击手法，迫使信息安全负责人再发展出更多的其他控制。

职业道德、法律法规、组织士气、资金匮乏、以及资源的缺口，都无法限制敌人的恶意行为。互联网的广泛使用与发展，使得信息安全不法分子有了更方便的平台，不需要面对面讨论，就可集结各方知识，开发出更新的攻击手法，他们共同产生的研究分享、知识、以及开发能力，远远超过了任何企业组织可以单独达到的境界，而信息安全负责人剩下最有可能遏止敌手的方法，便是运用风险管理的方法以保护信息，以有限的资源与能力，协助企业有效的保护必要与重要的信息。

信息安全现况

目前企业主要的信息安全重点仍是通过技术的使用，以降低其威胁。过去的经验证明，政策、流程及程序，再辅以技术的应用，比起单独依靠技术的使用，能够提供更有效的防护效果。然而，大部分企业通常并未有效实施这些要素，其主要原因在于政策、流程及程序的建立及运作，比起直接采购与安装一个技术性的控制措施，难度较高，且无法像技术性的控制措施一样可以立即见到效果，企业普遍缺乏耐心，导致威胁的范围扩张，并明显提升了敌人接近与利用企业信息架构的能力。

「仅为法律遵从的安全」是一个非常危险的全球化趋势，其意思是指，企业将全部的信息保护重点，放在达到政府与产业制定的各项规范上，例如支付卡产业标准(Payment Card Industry (PCI) Standards)、萨班斯法案(Sarbanes-Oxley Act)、欧洲资料保护与隐私权法案(European Data Protection andPrivacy Act)、以及信息披露相关法规等，提供了某种程度上的信息保护引导方针。部分上述标准，例如PCI 标准，提供了企业必须建立特定技术与控制的相关规范，即使这些控制对于该企业没有实际效用，甚至其与企业本身根本没有重大关联。因此，此观点概念有着极高的风险。它将重点放在组织达到法规遵从上，而并不能了解与降低企业在信息架构上实际面临的风险与威胁。      

企业面临的威胁版图在过去的几年中已大幅的改变了，信息攻击社群已将其重点从概念性的验证及地位追求为目标的攻击，转换至高目标导向、高效果、与不引人注意的攻击为主，这意味着过去用来保护信息与信息架构的传统智能、技术控制框架、以及方法与实务操作，已经无法有效的保护信息安全。因此，企业必须建立以风险为导向的决策流程与架构，以应对新的挑战。

信息风险管理 vs. 信息安全

信息风险管理定义组织信息架构的范围，识别需要保护的信息内容，并依照组织的风险容忍值拟定信息保护的程度，其识别企业的价值、业务冲击、法规遵从需求、以及组织整体业务策略的一致性。一旦识别出上述相关信息，信息风险管理部门可将此信息呈报给企业领导者，供其在评估为达到适当的信息保护与风险管理时，应投入多少财务及资源的决策参考依据。

在完成信息安全相关投资决策后，信息安全团队可依照企业领导者的决策，着手落实相关决策。信息安全团队协助识别威胁、开发及实现控制措施、以及定期监控相关控制的有效性，以确保控制与目标的一致性。此风险管理模型与目前的信息安全状况的主要差异，在于信息安全团队的决策权，在风险管理模型中，信息安全团队在整体企业中，不再拥有定义信息安全及信息架构相关与否的决策权，取而代替的，该团队负责向企业领导者提供有价值的参考信息，企业领导者依照获得的信息做出适当的商业决策。这项重大的变化，显著提升了信息安全团队的有效性，组织不再将这些团队成员视为阻碍企业运营的纠察队，而是帮助企业运营的专门顾问。

信息风险管理的演进

在当今的大多数企业中，信息保护与确认能力等相关项目以不同的形态，存在于不同的流程阶段中，相关能力通常可依照功能来区分，其领导者可能命名为首席信息安全官(Chief Information Security Officer, CISO)、隐私官(Chief Privacy Officer, CPO)、物理安全官(Chief Physical Security Officer,CPSO)、以及法规遵从官(Chief ComplianceOfficer, CCPO)等，很不幸，这些职务虽然皆有「官」的头衔，实质上他们却没有领导阶层权限，及参与与重大业务战略或活动的权力，并且各自分别隶属于不同的领导阶层类别，他们也通常独自运作，仅在必要时有部分交流，与企业策略无关。

这些信息保护机制必须依照现今信息与信息架构所面临的挑战而演进。这些机制的演进(图1)，需要整合这些各自独立的单位，进而产生一个整体性的业务单位，也就是所谓的信息风险管理计划。

信息风险管理计划

信息风险管理计划可为企业提供一个360 度的全面性信息资产与其所有相关信息架构的风险视图，此计划为公司治理模式的演变，主导信息风险管理相关的概念与活动。同时，它将既有负责提供信息保护的独立领导单位与计划元素，整合为一个单一的功能组织，由一个统一的领导者带领，该领导者拥有参与企业的业务活动与战略决策的权限。

信息风险管理计划若能有效的导入及运作，可促使组织在风险导向的模式下运营，带来相对应的企业价值。与其限制企业的运作，信息风险管理计划提供了更有效果的运营规范，使企业能够在正常运营的同时，实现信息资产及架构的有效保护。此计划的概念彻底改变了企业运营的模式，其通过找出方法以促进企业的活动及能力，而非基于察觉到的风险，而限制了企业的商业活动。举例来说，信息风险管理并不会阻止企业访问系统与信息，相对的，它会评估出适当的访问权限，以及适当的访问时点。过多的信息安全管控机制可能阻碍到企业的运营，而此计划的目标是使信息资产风险最小化的同时，促使企业的业务活动能达到其运营目标。

组织架构设计的进化

为有效的达到组织风险管理需求，企业的组织架构需要导入一个整合且有效率的管理方法(图2)。此方法的概念是使企业中的所有风险管理活动皆回报给单一主管 –首席风险官(Chief Risk Officer, CRO)，此风险官为所有风险识别、风险降低、与风险控管等相关活动统一沟通信息汇集的中心，风险官也与高级管理层有定期的互动，向高级管理层提供所有与信息风险有关的企业决策、战略、与活动的相关信息、指南及方向。