信息安全治理通过提出信息安全原则和信息安全目标,建立信息安全职责,明确信息安全实施步骤,为信息安全工作提供指引。

▼▼信息安全治理目标

明确信息安全的决策权力和责任,保证信息安全与业务发展的一致性;促进技术和业务充分融合,利用信息安全增强公司核心竞争力;实现信息安全资源最优配置,提高信息安全系统运行效率与服务质量;建立信息安全风险控制体系,保障系统运行安全与业务信息安全。

信息安全治理组织

高级管理层对信息安全治理的有效性及信息安全负有最终责任,成立信息安全治理委员会,指定具有信息安全专业工作经验的高级管理人员担任公司信息安全治理委员会负责人,并作为信息安全治理的直接责任人。

信息安全治理委员会是信息安全相关事务的最高决策机构,负责信息安全治理的推动与落实。信息安全治理委员会委员由公司信息安全治理直接责任人、运营总监、合规审查总监、财务总监、人事行政总监、信息安全部门负责人、相关业务负责人、内部控制负责人以及部分技术骨干等人员组成,其中信息安全人员不少于30%。可以适当聘请外部专家担任本公司的信息安全治理顾问。

信息科技部为信息安全治理办事机构,负责信息安全治理会议提案的收集、专题研究的组织、信息安全决策的落实、委员会工作组的领导与协调工作。

信息安全治理委员会下设信息安全规划和信息安全管理二个专业组。各工作组根据信息安全治理委员会的安排,就信息安全规划、信息安全架构、信息安全应用、信息安全、信息安全风险等事项进行研究,并提出意见及建议,供信息安全治理委员会决策参考。

通过建立信息安全治理委员会章程,规定重大信息安全事项的决策机制和相关人员的参与责任,建立信息安全治理委员会议事规则和信息安全治理工作流程,搭建信息安全与业务沟通的桥梁,建立科学的信息安全决策机制,为信息安全建设与运维提供充分的资源,促进信息安全成为公司的核心竞争力之一。

信息安全治理内容

建立信息安全治理委员会,规定重大信息安全事项的决策机制和相关人员的参与责任,建立信息安全治理委员会议事规则、工作流程和正式的信息安全沟通渠道。

完善层次化的制度体系,并规范具体的操作流程,逐步实现信息安全管理的标准化和精细化;在建立基本的制度的基本上,建立完善各个业务领域的操作流程,明确关键控制点与绩效指标。

在业务战略的基础上,考虑当前业务发展、监管要求、技术趋势、投资控制等因素,进行中长期信息安全规划;进行业务、技术与管理方面的信息安全架构设计,使架构具备良好的灵活性和开放性。

建立信息安全预算的合理评审机制,对信息安全项目进行投入产出分析,为信息安全系统的使用者建立成本分摊机制。从财务风险、市场风险、组织风险和技术风险等方面对信息安全投入进行风险评估。

在信息技科技部门建立设置合理、职责明确的岗位责任制,定期对信息技术人员进行考核。建立适宜信息安全专业职级体系,以吸引高端信息安全人才,提高信息安全人员的积极性。

建设持续的信息安全合规检查制度。建立信息安全审计流程和信息安全审计标准,对现有的信息安全控制进行信息安全审计,以及时发现存在的信息安全控制风险。


信息安全治理实施

信息安全治理是一项长期的任务,需要通过建立信息安全治理构架、进行全面信息安全控制、实施信息安全与业务融合三个阶段来实施。

信息安全治理第一阶段的主要内容:建立信息安全治理框架,建立规范化的管理制度。通过建立信息安全决策机制与职责框架,形成有效的信息安全治理机制,建立信息安全管理制度,奠定信息安全治理与规范化信息安全管理的基础。

信息安全治理第二阶段的主要内容:进行全面信息安全控制,实现信息安全精细化管理。通过引入成熟的国际、国家标准和流程,结合实际现状,有针对性实施,以使各项信息安全工作逐步接近并符合先进标准和规范的要求,形成综合的信息安全风险控制框架和信息安全管理流程,逐步精细化信息安全管理体系。

信息安全治理第三阶段的主要内容:实现信息安全与业务融合,信息安全支持业务发展。通过进一步提高信息安全规划、建设、运维、管理等方面的能力,重点提高应用系统需求获取与开发管理的能力,加强信息安全与业务的深度融合,实现信息安全对业务的全面支持。

信息安全治理环境

为实现其业务战略目标,信息安全作为战略性资产将发挥重要的作用。为获得市场竞争优势,需要对信息安全进行持续的资金与人员方面的投入,使信息安全成为推动业务发展的动力。

在实施信息安全治理过程中,要重视信息安全战略管理能力、信息安全资源管理能力、信息安全开发与服务能力及信息安全支持业务创新能力的培育,这些能力的获取是促进信息安全成为企业核心竞争力的重要基础。

信息安全治理的最终目标是通过信息安全支持业务创新而获取市场竞争优势,信息安全要支持业务创新,除了信息安全自身的能力培育以外,需要为信息安全建立创新的机制,包括引入创新人才、建立创新制度、鼓励创新精神,倡导创新文化。

确保足够的信息安全投入,最近三个财政年度信息安全投入平均数额应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%。

应配备足够的信息安全工作人员,满足安全和岗位设置的有关要求。公司的信息安全工作人员总数不少于公司信息科技员工总人数的6%,并且信息安全工作人员总数应不少于3人。