随着企业信息化建设的不断发展和升级,信息系统也越来越复杂,与企业的之间的利益联系也越来越紧密。如何进行有效治理,也成为企业信息化建设实现利益最大化的重要途径。
中培教育《企业信息化审计与治理管控 IT4IT》培训专家张老师表示,信息作为企业最有价值和最主要的资产,其安全保护面临巨大挑战。董事会和高管层的责任在于保护投资者的利益,有责任保护信息的安全。
信息安全问题一直是政府管制的重点,政府和监管机构出台了很多有关信息安全的法规、条例,以后一定会是越来越多。并且,政府和监管机构在这些法规条例的执行上会越来越严格。
信息安全经常被作为一个单纯的技术或管理问题,但是,现在它已经是一个公司治理问题,是一个涉及到政府部门、监管机构、外部审计、技术服务提供商、董事会与管理层等所有利益相关者相互关系的治理问题。
张老师认为,信息安全问题的解决必须依赖于治理,因为实践证明,仅仅依靠政府监管和CIO及信息安全部不能完全解决信息安全问题,必须有董事会和高管层的关注,而SOX法案通过302404等条款将信息安全上升为法律的高度。
但是,就信息安全和组织治理本身,我国政府部门和企事业业单位目前尚处在初级阶段,相关体制、机制及领导层观念都亟待转变。理论界只有ITGov中国IT治理研究中心在研究界定信息安全治理的基本理论框架,特别是信息安全、内部控制和组织治理、文化治理之间的关系;信息安全治理与信息安全技术、信息安全管理的联系与区别;信息安全治理与文化治理、组织治理、IT治理的有机整合。
在改善信息安全治理状况方面,发达国家先进企业已取得共识,要重视管理和制度安排。突出表现在领导层认识到信息安全问题从合规的角度看,不能是政府强制下的被动适应,而要从战略角度出发,管理层参与,变被动合规为主动合规,将合法合规转换为战略竞争优势,进而为企业创造战略竞争机会。
对于IT治理在当前的发展,王老师指出,当前最迫切的是需要一个与组织治理、文化治理相一致的信息安全治理的机制和框架。组织仅仅通过应用最新的工具和技术来解决所面临的信息安全问题是远远不够的。因为信息安全问题变得越来越复杂,并且很少仅用一种技术来解决。大多数安全问题深深的植根于多个组织分支和业务流程中。当前所用的大多数方法都是“自下而上”的、“补丁式”的、操作层面的,较少考虑治理层面需要、组织战略目标、业务流程风险管控目标及合规问题。