7.Information Security Governance

Audit Academy

15 Jul 201711:18

Summary

TLDR本视频脚本讨论了信息安全治理的核心概念，重点介绍了CIA三要素——机密性、完整性和可用性。随着技术的发展，安全边界已经不再局限于组织内部，云计算和互联网使得信息安全变得更加复杂。通过加密技术，信息的传输和存储可以得到保护。同时，安全治理必须自上而下地实施，确保政策在最高层的支持下才具备执行力。合规性、风险管理、法律责任以及决策透明性都是有效信息安全治理的关键组成部分。

Takeaways

😀 信息安全的核心原则是CIA（三重性），即保密性、完整性和可用性，这三者共同确保信息的持续性和安全。
😀 保密性意味着通过加密技术保护信息不被未经授权的人访问。
😀 完整性确保信息在传输和存储过程中不被恶意或意外更改。
😀 可用性保证信息在需要时能够被访问，不受恶意攻击的干扰。
😀 随着云计算和互联网的发展，信息安全的边界已经超越了传统的企业网络，成为全球范围的问题。
😀 安全治理需要自上而下的支持，只有从最高管理层获得支持，安全政策才有实际的执行力。
😀 信息不仅仅在收集和存储时需要保护，还必须在传输过程中（即‘信息在运动中’）和存储后（即‘信息在静止中’）得到保护。
😀 越来越多的网络攻击变得更加复杂且容易实施，即使是技术水平较低的攻击者也能利用网络工具发起攻击。
😀 信息安全治理不仅是遵循最佳实践的问题，还涉及到企业的法律责任和合规性，确保遵守相关法律法规。
😀 良好的信息安全治理能显著降低法律责任，避免数据泄露等带来的负面后果，同时提升企业的合规性和透明度。
😀 良好的安全治理为企业提供了框架，可以高效分配安全资源，确保最关键的安全领域得到保障。
😀 信息安全治理不仅涉及技术，还需要建立清晰的责任和问责机制，特别是在合作、并购等复杂环境中。

Q & A

信息安全治理中的CIA三原则是什么？
-CIA三原则是指机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。这三项原则共同作用，确保组织的数据受到保护，并且只有授权方能够访问数据，且数据保持不被篡改并可随时访问。
信息安全治理中为何强调‘自上而下’的治理模式？
-‘自上而下’的治理模式强调组织的高层领导（如CEO和董事会）需要支持信息安全政策，才能确保这些政策得到有效执行。否则，即便是低层级制定的政策，也可能因缺乏高层支持而无法得到充分执行。
信息在生命周期中的哪些阶段需要保护？
-信息需要在其整个生命周期中得到保护，包括传输中的信息（在运动中）和存储中的信息（静止状态）。这两者都必须采取加密措施，防止信息在传输或存储过程中被窃取或篡改。
加密在信息安全治理中的作用是什么？
-加密在信息安全治理中起着至关重要的作用，它确保无论信息是在传输过程中还是存储状态下，都能保持机密性和完整性。即使信息被非法获取，如果已加密，黑客也难以解密并滥用这些数据。
信息安全治理为何成为越来越重要的议题？
-随着网络攻击手段的不断升级，信息安全治理的重要性与日俱增。组织面临的威胁日益复杂，黑客技术日益成熟，尤其是一些低技术水平的攻击者也能造成严重损害。因此，信息安全治理对于保护企业的数据和声誉至关重要。
信息安全治理能带来哪些法律上的好处？
-良好的信息安全治理能够减少企业因数据泄露或不当处理信息而面临的法律责任。通过遵守最佳实践和合规标准，组织能够降低因未能合理保护客户数据而引发的诉讼和赔偿风险。
信息安全治理如何优化有限资源的使用？
-信息安全治理通过制定清晰的框架和标准，帮助组织优化有限的安全资源，确保在保障安全的同时，提高资源使用效率，避免过度投入而浪费。
安全治理如何提高组织决策的可信度？
-良好的安全治理确保决策是基于未经篡改的准确数据，这样可以增强决策的可信度。例如，通过保障信息完整性，决策者可以确信所依据的信息是真实可靠的，而不是被恶意修改的。
信息安全治理如何促进合作伙伴关系中的问责制？
-信息安全治理提供了一种结构化的框架，使得合作伙伴、并购或收购中的各方能够清晰地承担自己的责任，确保信息安全措施得到一致遵守，从而加强了合作中的透明度和问责制。
随着信息安全风险的增加，组织如何应对不断变化的法律法规？
-组织需要密切关注与信息保护相关的法律法规变化，及时进行调整，确保遵守最新的合规要求。通过遵循这些法规，组织不仅能减少法律风险，还能提升信息安全治理的整体水平。