当今的全球市场,技术支持着企业运行。从会议室到邮件收发室,所有人都通过信息技术(IT)从事商业交易、货物运送、客户账户追踪、公司资产结算。信息技术是存储和传播信息的载体,而信息是公司最有价值的资源,信息技术把信息从一个业务单位传递到另外一个业务单位。如果这个载体受到损坏,哪怕是一小会儿,那将会发生什么呢?买卖失败、货物丢失,并且公司资产从内到外将更易受到威胁。
以往,企业经理们对这种可能的威胁的反应是宣称我们有专业人员来处理技术问题。当技术被限制在数据中心控制室并且对信息进行集中处理时,这样的宣称可能是有效的。但在过去20年中,技术已经渗透到商业环节的每个方面。 商业活动随着工作人员在办公室或城市间移动。由于业务更具流动性,所以计算机安全观念也就被信息安全观念所取代。因为这种观念涵盖了从数据保护到人力资源保护等更多领域的问题,信息安全不再是公司一小部分人的责任,而是公司每一位员工,特别是管理阶层的责任。
高瞻远瞩的企业经理们越来越认识到信息安全的至关重要性。由于这种意识的增强,企业中出现了一种新的职位来处理这些新近认识到的问题。像Iris这些技术主管的出现使得专职从事信息安全管理的团队应运而生,他们的主要职责是保护信息资产的安全。
各个机构必须意识到为信息安全提供资金和计划决策不仅仅只涉及到技术主管,例如信息安全主管或者信息安全小组的成员。事实上,这个过程应该包括3 个不同的决策群,或个利益团体( communities of interest)
信息安全管理者和专业人员
信息技术管理者和专业人员
非技术的业务管理者和专业人员
通过富有建设性的商讨,个团体应在保护组织机构信息资产的总体计划上达成共识。
这些利益团体应履行以下角色:
信息安全团体保护组织机构信息资产免受外来威胁。
信息技术团体通过提供适合于业务需要的技术来支持组织机构的经营目标。
非技术普通业务团体负责传播组织机构的策略和目标,并把资源分配给其他两个团体。
这些团体分工协作,共同制定决策来确定如何有效保护组织机构的资源。
正如IrisCharley之间谈论的那样,成功地管理一个信息安全项目需要时间、资源和大量的工作。组织机构内的个团体必须都要认识到信息安全所牵涉的工作是识别、度量和减轻运作信息资产所面临的风险,或最低限度要记录这些风险。