治理目的最重要的包含三个：一是使信息安全目的和战略业务目的在战略上保持一致；二是为治理者和利益相关者提供价值；三是确保信息风险得到充分解决，避免安全责任。

　　治理是一种指导和控制本单位信息安全活动的框架模型。在治理的过程中需要遵从6条行动原则，安全治理者在实施过程中可将这些原则责任到人，采取问责机制来落实。

　　治理要在单位决策层面考虑，因为安全是是整体的、动态的。安全治理要考虑到本单位业务和信息安全的关联，可通过基于业务的信息安全的责任制和问责制来确定本单位信息安全的范围。

　　信息安全治理建立在基于风险的决策基础上。通过风险分析来决定多少安全程度是可接受的，需要考虑到一旦安全风险发生，是否会丧失竞争优势、是否会违规、日常业务是否中断、公司声誉是否受损和经济损失多大。

　　建设是需要资本和运营支出的，一旦违反法律还需要承担法律责任。因此，信息安全治理者要建立信息安全投资战略，使得业务和信息安全要求之间无论短期还是长期都是相称的，从而满足当前和未来一直在变化的需要。

　　治理要确保信息安全策略要符合相关的强制性法律、法规和规章，以及承诺的业务或合同要求和其他的外部或内部要求。因此，治理者通过委托第三方安全服务机构开展安全业务时，需要满足一致性和合规性要求。

　　治理是建立在人的行为之上。对人的管理很重要，为建立良好的信息安全文化，治理者可通过开展安全教育、培训和宣传等手段确保信息安全工作的顺利开展。

　　治理者通过绩效考核，来衡量在业务方面的影响，从而将绩效和业务绩效关联在一起。

　　在治理模型中涉及三种角色。执行管理者是最高管理层，可分为两组人员：治理者和执行管理者。执行管理者是为达成组织意图，承担由组织治理者委派的战略和策略实现责任的个人或一组人。具体包括首席执行官/行政总裁（CEO）、政府机构领导、首席财务官/首席财务官（CFO）、首席运营官/运营总监（COO）、首席信息官/信息总监（CIO）、首席官/总监（CISO）和类似的角色。治理者是对组织的绩效和合规负有责任的个人或一组人。治理者执行“评价”、“指导”、“监视”和“沟通”过程来治理。利益相关者是指对于组织活动能够产生一定的影响、受一定的影响或感觉受一定的影响的任何个人或组织。决策者也可以是利益相关者。三种角色的关系如图1所示。

　　通过图1可知，治理模型中标识治理者通过执行“评价”、“指导”、“监视”、“沟通”和“保障”过程来治理。

　　“评价”过程基于当前的过程和计划的变更，考虑到当前和预期要达到的安全目的，确定最能有效达成未来战略目的所需要的任何调整。

　　为执行“评价”过程，治理者需要确保业务新计划考虑到了问题，同时为响应绩效结果，需要优化并启动所需要的行动。

　　为推动“评价”过程，执行管理者需要确保充分支持和维持业务目的；同时向治理者提交有显著影响的新的项目。

　　治理者通过“指导”过程为要实现的信息安全目的和战略指明方向。指导最重要的包含资源配置级别的变更、资源的分配、活动的优先级，以及策略、重大风险接受和风险管理计划的批准。

　　为执行“指导”过程，治理者需要确定组织对风险的承受、批准信息安全战略和策略、分配足够的投资和资源。

　　为推动“指导”过程，执行管理者需要制定和实现战略和策略、要确保目的与业务目的一致、要建设良好的文化。

　　为执行“监视”过程，治理者需要评估信息安全管理活动的效果、确保符合一致性和合规性要求、要最大限度地考虑一直在变化的业务、法律、法规和规章环境及其对信息风险的潜在影响。

　　为推动“监视”过程，执行管理者需要从业务角度选择适当的绩效测度；需要向治理者反馈绩效结果，包括之前由治理者所确定的行动的绩效及其对组织的影响；向治理者发出可能会影响信息风险和新开发的预警。

　　治理者和利益相关者通过“沟通”这一双向的治理过程交换适合他们特定需要的关于信息安全的信息。

　　为执行“沟通”过程，治理者需要向外部利益相关者报告组织在实行与其业务性质相称的级别；需要通知执行管理者任何发现问题并要求采取纠正措施的外部评审结果；需要识别相关的监管义务、利益相关者期望和业务需要。

　　为推动“沟通”过程，执行管理者需要向治理者建议任何的需要其注意，还在大多数情况下要决策的事项；需要在采取支持治理者指示和决定的具体行动上指导有关的利益相关方。

　　治理者通过“保障”过程，以委托方式，委托第三方开展独立和客观的审核、评审或认证，以此识别和确认与治理活动开展和操作运行相关的目的和行动，从而方便获得的期望水平。如开展、、、通报预警等第三方服务。

　　为执行“保障”过程，治理者一定要通过委托获得对其履行信息安全期望水平责任的独立和客观的意见。

　　为推动“保障”过程，执行管理者需要支持由治理者委托的审核、评审或认证。返回搜狐，查看更加多