文章发表于2021-01-07 10:29:24,归属【信息安全】分类,已有885人阅读
我经常听到关于“信息安全是IT的一部分,还是应该与IT分离,成为合规或风险部门的一部分”的争议性话题。
但是,在我们决定哪个组织部门应该处理信息安全问题之前,让我们先看看其概念——信息安全在哪个组织中最合适?
一般来说,信息安全是公司整体风险管理的一部分,其领域与网络安全、业务风险管理和IT管理等重叠,如下所示:
网络安全基本上是信息安全的一个子集,因为它关注于保护数字形式的信息,而信息安全是一个稍微宽泛的概念,因为它保护任何媒体中的信息。
存在与业务风除管理重叠,因为它的目的之一是支持信息的可用性,这也是信息安全的关键角色之一。
当然,信息技术在信息安全中扮演着极其重要的角色;因此,这里跟IT管理也有一个重叠区域;信息技术不仅关乎安全,所以这就是为什么很多信息技术与安全无关。
但是,最重要的是,信息安全、网络安全和业务风险管理都有相同的目标:降低业务运营的风险。在你的日常工作中,你可能不把它称为风险管理,但基本上这就是信息安全所做的——评估哪些潜在的问题可能会发生,然后应用各种保护措施或控制措施来减少这些风险。
一些行业已经正式承认信息安全是风险管理的一部分——例如,在银行业,信息安全通常属于操作风险管理。我的猜测是,在未来,我们将看到越来越多的信息安全专业人员在他们组织的风险管理部分工作,信息安全将倾向于与业务风险管理合并。
所以,关键是:只从IT的角度考虑信息安全是错误的——这是一种将安全范围缩小到技术问题的方法,这不会解决风险事故的主要根源:人的行为。
如果你想让你的信息安全有效,你必须要保证信息是安全保护的,只有允许的组织和人才可以访问;另外你也要保证访问它的人是安全可靠的。