為了適應IT信息治理在當前社會和行業(yè)的發(fā)展形勢，中培偉業(yè)推出了《IT治理與審計最佳實踐（CISA）認證》培訓課程。該課程自推出以來，深受廣大學員的歡迎，已經(jīng)成為中培偉業(yè)的又一王牌課程。負責該培訓授課的郭老師認為，IT治理如果沒有信息安全架構(gòu)作為支撐，只能是空中樓閣。

一.IT治理面臨的信息安全挑戰(zhàn)

在中國經(jīng)濟強勁復蘇的背后，企業(yè)的業(yè)務發(fā)展與創(chuàng)新對IT的依賴程度越來越高。但任何事物都有它的兩面性。正確、恰當?shù)厥褂肐T系統(tǒng)能為企業(yè)帶來飛速的發(fā)展，但系統(tǒng)缺陷、人為誤操作、系統(tǒng)攻擊等不可預料的各種IT風險也同樣會使企業(yè)面臨巨大的災難。長期以來，人們對保障信息安全的手段偏重于依靠技術，例如加密技術、數(shù)據(jù)備份、防病毒、防火墻等手段。而且在大多數(shù)IT管理人員的視角中，信息安全也僅僅局限在技術層面的操作，信息安全經(jīng)常被看作只是一個技術問題，很少認為它是企業(yè)必需的并需要優(yōu)先考慮。事實上，僅僅依靠技術來保障信息安全的愿望往往是難盡人意的，因為面對復雜多變的安全威脅和隱患單靠技術手段是無法消除的。

據(jù)實踐經(jīng)驗表明，信息安全治理是與IT治理密不可分的。假如把信息安全治理比作指引組織進行安全項目的路標，那么信息安全架構(gòu)的設計便是組織通往信息安全這個目標所用的交通工具。因此，沒有了信息安全架構(gòu)，IT治理根本無從談起。信息安全架構(gòu)是指企業(yè)管理層利用它來監(jiān)督企業(yè)在信息安全戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保IT運營處于正確的軌道之上。因此，缺乏良好信息安全架構(gòu)的企業(yè)，就是說缺乏健全的風險控制機制，因而不可能很好的進行信息安全管理，進而也不可能取得IT治理的成功;同樣，沒有信息安全管理體系的暢通，IT治理也只能是一個美好的藍圖，而缺乏實際的內(nèi)容。

二.為什么信息安全架構(gòu)是IT治理的基石?

(1)IT治理要以IT風險防治為核心

目前，信息系統(tǒng)已在企業(yè)和政府組織中得到了廣泛的應用，IT治理成為企業(yè)治理越來越關鍵的一部分。在復雜的現(xiàn)實環(huán)境中，不安全因素總是存在的。各種各樣的資料都顯示著信息安全風險以及災難性事件的數(shù)量，正隨著時間的推移而增加。IT治理的一個重要內(nèi)容是估計相關風險對企業(yè)的經(jīng)營收益和IT績效的影響，并有效控制IT風險，避免IT資產(chǎn)的損失。IT風險是一種潛在的可能，是指某些威脅將會造成IT資產(chǎn)甚至其它相關資產(chǎn)損失或者破壞的潛在可能性。安全從來就不是一種非黑即白的概念。目前的信息安全早已不只是人們傳統(tǒng)意義上的安全，即添加防火墻或路由器等簡單的設備就可保證安全，而是成為一種系統(tǒng)和全局的觀念。信息安全是指使信息避免一系列威脅，保障業(yè)務連續(xù)性，最大限度地減少業(yè)務損失，從而最大限度地獲取投資和回報的一種保障機制。

傳統(tǒng)的信息安全管理基本上是一種靜態(tài)的、局部的、突擊式、事后糾正式的管理方式，導致的結(jié)果是不能從根本上避免和降低各類風險，也不能降低信息安全故障導致的綜合損失。而基于信息安全架構(gòu)的思想是一個系統(tǒng)化、程序化和文件化的管理體系，基于系統(tǒng)、全面、科學的安全風險評估，體現(xiàn)預防控制為主的思想，強調(diào)遵守有關信息安全的法律法規(guī)及要求，強調(diào)全過程動態(tài)控制，本著控制費用與風險平衡的原則合理選擇安全控制方式保護關鍵信息資產(chǎn)，使信息風險的發(fā)生概率和結(jié)果降低到可接受收水平。COSO(美國內(nèi)部控制委員會)在最新一期的IT治理指南中將IT信息安全架構(gòu)界定為內(nèi)部控制和風險防范的起點與核心，足以說明IT治理應以信息安全的識別和防范為著力點。因此，企業(yè)需要建立完善、健全的信息安全架構(gòu)來規(guī)范IT治理行為，通過建立詳盡的風險控制機制來降低企業(yè)的IT風險。

(2)信息安全是IT治理的基石

信息安全不是一個孤立靜止的概念，它是一個多層面、多因素的、綜合的、動態(tài)的過程。不同的企業(yè)對信息安全會有不同的理解，長期以來信息安全被看作是消極因素，不產(chǎn)生價值。然而，全球網(wǎng)絡的出現(xiàn)和企業(yè)傳統(tǒng)邊界地的延伸，使其成為價值和機會的創(chuàng)造者，特別在提升IT利益各方的信任感方面。因此，信息安全必將成為IT治理一個重要且必不可少的部分，忽略信息安全將使IT價值的創(chuàng)造無法持久。信息安全的涵義體現(xiàn)在三個方面：一是安全性，是指確保信息僅可讓授權(quán)的人獲取和訪問;二是完整性，是指保護信息和處理方法的準確和完善;三是可用性，是指確保授權(quán)人需要時可以獲取信息和相應的資產(chǎn)。因此，實現(xiàn)信息安全是一個需要完整的體系來保證的持續(xù)過程。有效的安全防衛(wèi)不僅是技術問題，也是一個管理問題。

一般來說，信息安全架構(gòu)是通過實施一套恰當?shù)目刂拼胧﹣韺崿F(xiàn)的，該控制措施包括政策、實踐、程序、組織結(jié)構(gòu)和工具軟件組成。因此，信息安全架構(gòu)模型和其它模型一樣，具有以下幾個方面的優(yōu)點或作用：①信息安全架構(gòu)模型涉及信息安全和業(yè)務需求的各個方面，能以簡單方式測定差異，并有助于確定有關安全性方面的相對水平;②信息安全架構(gòu)成熟度是測量安全管理處理等級的一種方法，這些等級是一個給定的信息安全管理處理的慣例，體現(xiàn)各個成熟層次的典型模式，有助于企業(yè)將主要精力投入到關鍵的管理方面;③信息安全架構(gòu)模型等級有助于專業(yè)人員向管理層解釋信息安全管理存在的缺陷，并把組織的控制慣例與最佳慣例對照起來，從而確定企業(yè)的未來發(fā)展目標。因此，信息安全架構(gòu)和IT治理不但是息息相關的，也是IT治理的基石。