信息安全與保護(hù)對(duì)組織有絕對(duì)的重要性，但無(wú)法確保組織運(yùn)營(yíng)的成功。從風(fēng)險(xiǎn)管理的角度入手，不但可在信息安全與組織運(yùn)營(yíng)的需求中取得平衡，更可加強(qiáng)信息保護(hù)，并進(jìn)一步促使組織達(dá)到運(yùn)營(yíng)活動(dòng)的效率與成功。信息在企業(yè)運(yùn)營(yíng)中一向有著其可觀的價(jià)值，然而，信息的價(jià)值卻是一直到了最近，才被有能力與有競(jìng)爭(zhēng)力的企業(yè)真正了解及運(yùn)用。

目前許多企業(yè)針對(duì)法規(guī)遵從、信息與物理安全、隱私權(quán)、以及運(yùn)營(yíng)及財(cái)務(wù)風(fēng)險(xiǎn)等，分別建立獨(dú)立的部門(mén)以達(dá)到上述各方面的公司治理。這些獨(dú)立的組織個(gè)體都能有效的達(dá)到其組織目標(biāo)，然而，由于這些部門(mén)各自獨(dú)立作業(yè)，并屬于不同管理階層，它們可能無(wú)法達(dá)到企業(yè)整體的有效信息風(fēng)險(xiǎn)管理目標(biāo)，通過(guò)這些獨(dú)立部門(mén)組織的整合，可實(shí)現(xiàn)有效的信息風(fēng)險(xiǎn)管理。

為何信息安全如此具挑戰(zhàn)性?

信息安全因?yàn)樾畔⒓夹g(shù)不斷更新的特性，成為信息處理流程中，最具挑戰(zhàn)性的一環(huán)。簡(jiǎn)單來(lái)說(shuō)，信息安全所以困難，是因?yàn)閿橙酥恍枰聦?duì)一次就成功了，而防守的一方則需要每次都對(duì)，才得以保住信息安全。然而，信息安全負(fù)責(zé)人員卻往往被缺乏資金、資源、時(shí)間、以及知識(shí)而困擾。企業(yè)往往期望信息安全負(fù)責(zé)人能夠在有限的資源與能力下，避免任何可能造成信息架構(gòu)損壞的風(fēng)險(xiǎn)，每當(dāng)信息安全負(fù)責(zé)人創(chuàng)造或?qū)肓艘惶追乐箶橙斯舻目刂茩C(jī)制，對(duì)手往往會(huì)發(fā)展出一套更新更有效的攻擊手法，迫使信息安全負(fù)責(zé)人再發(fā)展出更多的其他控制。

職業(yè)道德、法律法規(guī)、組織士氣、資金匱乏、以及資源的缺口，都無(wú)法限制敵人的惡意行為。互聯(lián)網(wǎng)的廣泛使用與發(fā)展，使得信息安全不法分子有了更方便的平臺(tái)，不需要面對(duì)面討論，就可集結(jié)各方知識(shí)，開(kāi)發(fā)出更新的攻擊手法，他們共同產(chǎn)生的研究分享、知識(shí)、以及開(kāi)發(fā)能力，遠(yuǎn)遠(yuǎn)超過(guò)了任何企業(yè)組織可以單獨(dú)達(dá)到的境界，而信息安全負(fù)責(zé)人剩下最有可能遏止敵手的方法，便是運(yùn)用風(fēng)險(xiǎn)管理的方法以保護(hù)信息，以有限的資源與能力，協(xié)助企業(yè)有效的保護(hù)必要與重要的信息。

信息安全現(xiàn)況

目前企業(yè)主要的信息安全重點(diǎn)仍是通過(guò)技術(shù)的使用，以降低其威脅。過(guò)去的經(jīng)驗(yàn)證明，政策、流程及程序，再輔以技術(shù)的應(yīng)用，比起單獨(dú)依靠技術(shù)的使用，能夠提供更有效的防護(hù)效果。然而，大部分企業(yè)通常并未有效實(shí)施這些要素，其主要原因在于政策、流程及程序的建立及運(yùn)作，比起直接采購(gòu)與安裝一個(gè)技術(shù)性的控制措施，難度較高，且無(wú)法像技術(shù)性的控制措施一樣可以立即見(jiàn)到效果，企業(yè)普遍缺乏耐心，導(dǎo)致威脅的范圍擴(kuò)張，并明顯提升了敵人接近與利用企業(yè)信息架構(gòu)的能力。

「僅為法律遵從的安全」是一個(gè)非常危險(xiǎn)的全球化趨勢(shì)，其意思是指，企業(yè)將全部的信息保護(hù)重點(diǎn)，放在達(dá)到政府與產(chǎn)業(yè)制定的各項(xiàng)規(guī)范上，例如支付卡產(chǎn)業(yè)標(biāo)準(zhǔn)(Payment Card Industry (PCI) Standards)、薩班斯法案(Sarbanes-Oxley Act)、歐洲資料保護(hù)與隱私權(quán)法案(European Data Protection andPrivacy Act)、以及信息披露相關(guān)法規(guī)等，提供了某種程度上的信息保護(hù)引導(dǎo)方針。部分上述標(biāo)準(zhǔn)，例如PCI 標(biāo)準(zhǔn)，提供了企業(yè)必須建立特定技術(shù)與控制的相關(guān)規(guī)范，即使這些控制對(duì)于該企業(yè)沒(méi)有實(shí)際效用，甚至其與企業(yè)本身根本沒(méi)有重大關(guān)聯(lián)。因此，此觀點(diǎn)概念有著極高的風(fēng)險(xiǎn)。它將重點(diǎn)放在組織達(dá)到法規(guī)遵從上，而并不能了解與降低企業(yè)在信息架構(gòu)上實(shí)際面臨的風(fēng)險(xiǎn)與威脅。      

企業(yè)面臨的威脅版圖在過(guò)去的幾年中已大幅的改變了，信息攻擊社群已將其重點(diǎn)從概念性的驗(yàn)證及地位追求為目標(biāo)的攻擊，轉(zhuǎn)換至高目標(biāo)導(dǎo)向、高效果、與不引人注意的攻擊為主，這意味著過(guò)去用來(lái)保護(hù)信息與信息架構(gòu)的傳統(tǒng)智能、技術(shù)控制框架、以及方法與實(shí)務(wù)操作，已經(jīng)無(wú)法有效的保護(hù)信息安全。因此，企業(yè)必須建立以風(fēng)險(xiǎn)為導(dǎo)向的決策流程與架構(gòu)，以應(yīng)對(duì)新的挑戰(zhàn)。

信息風(fēng)險(xiǎn)管理 vs. 信息安全

信息風(fēng)險(xiǎn)管理定義組織信息架構(gòu)的范圍，識(shí)別需要保護(hù)的信息內(nèi)容，并依照組織的風(fēng)險(xiǎn)容忍值擬定信息保護(hù)的程度，其識(shí)別企業(yè)的價(jià)值、業(yè)務(wù)沖擊、法規(guī)遵從需求、以及組織整體業(yè)務(wù)策略的一致性。一旦識(shí)別出上述相關(guān)信息，信息風(fēng)險(xiǎn)管理部門(mén)可將此信息呈報(bào)給企業(yè)領(lǐng)導(dǎo)者，供其在評(píng)估為達(dá)到適當(dāng)?shù)男畔⒈Ｗo(hù)與風(fēng)險(xiǎn)管理時(shí)，應(yīng)投入多少財(cái)務(wù)及資源的決策參考依據(jù)。

在完成信息安全相關(guān)投資決策后，信息安全團(tuán)隊(duì)可依照企業(yè)領(lǐng)導(dǎo)者的決策，著手落實(shí)相關(guān)決策。信息安全團(tuán)隊(duì)協(xié)助識(shí)別威脅、開(kāi)發(fā)及實(shí)現(xiàn)控制措施、以及定期監(jiān)控相關(guān)控制的有效性，以確保控制與目標(biāo)的一致性。此風(fēng)險(xiǎn)管理模型與目前的信息安全狀況的主要差異，在于信息安全團(tuán)隊(duì)的決策權(quán)，在風(fēng)險(xiǎn)管理模型中，信息安全團(tuán)隊(duì)在整體企業(yè)中，不再擁有定義信息安全及信息架構(gòu)相關(guān)與否的決策權(quán)，取而代替的，該團(tuán)隊(duì)負(fù)責(zé)向企業(yè)領(lǐng)導(dǎo)者提供有價(jià)值的參考信息，企業(yè)領(lǐng)導(dǎo)者依照獲得的信息做出適當(dāng)?shù)纳虡I(yè)決策。這項(xiàng)重大的變化，顯著提升了信息安全團(tuán)隊(duì)的有效性，組織不再將這些團(tuán)隊(duì)成員視為阻礙企業(yè)運(yùn)營(yíng)的糾察隊(duì)，而是幫助企業(yè)運(yùn)營(yíng)的專(zhuān)門(mén)顧問(wèn)。

信息風(fēng)險(xiǎn)管理的演進(jìn)

在當(dāng)今的大多數(shù)企業(yè)中，信息保護(hù)與確認(rèn)能力等相關(guān)項(xiàng)目以不同的形態(tài)，存在于不同的流程階段中，相關(guān)能力通常可依照功能來(lái)區(qū)分，其領(lǐng)導(dǎo)者可能命名為首席信息安全官(Chief Information Security Officer, CISO)、隱私官(Chief Privacy Officer, CPO)、物理安全官(Chief Physical Security Officer,CPSO)、以及法規(guī)遵從官(Chief ComplianceOfficer, CCPO)等，很不幸，這些職務(wù)雖然皆有「官」的頭銜，實(shí)質(zhì)上他們卻沒(méi)有領(lǐng)導(dǎo)階層權(quán)限，及參與與重大業(yè)務(wù)戰(zhàn)略或活動(dòng)的權(quán)力，并且各自分別隸屬于不同的領(lǐng)導(dǎo)階層類(lèi)別，他們也通常獨(dú)自運(yùn)作，僅在必要時(shí)有部分交流，與企業(yè)策略無(wú)關(guān)。

這些信息保護(hù)機(jī)制必須依照現(xiàn)今信息與信息架構(gòu)所面臨的挑戰(zhàn)而演進(jìn)。這些機(jī)制的演進(jìn)(圖1)，需要整合這些各自獨(dú)立的單位，進(jìn)而產(chǎn)生一個(gè)整體性的業(yè)務(wù)單位，也就是所謂的信息風(fēng)險(xiǎn)管理計(jì)劃。

信息風(fēng)險(xiǎn)管理計(jì)劃

信息風(fēng)險(xiǎn)管理計(jì)劃可為企業(yè)提供一個(gè)360 度的全面性信息資產(chǎn)與其所有相關(guān)信息架構(gòu)的風(fēng)險(xiǎn)視圖，此計(jì)劃為公司治理模式的演變，主導(dǎo)信息風(fēng)險(xiǎn)管理相關(guān)的概念與活動(dòng)。同時(shí)，它將既有負(fù)責(zé)提供信息保護(hù)的獨(dú)立領(lǐng)導(dǎo)單位與計(jì)劃元素，整合為一個(gè)單一的功能組織，由一個(gè)統(tǒng)一的領(lǐng)導(dǎo)者帶領(lǐng)，該領(lǐng)導(dǎo)者擁有參與企業(yè)的業(yè)務(wù)活動(dòng)與戰(zhàn)略決策的權(quán)限。

信息風(fēng)險(xiǎn)管理計(jì)劃若能有效的導(dǎo)入及運(yùn)作，可促使組織在風(fēng)險(xiǎn)導(dǎo)向的模式下運(yùn)營(yíng)，帶來(lái)相對(duì)應(yīng)的企業(yè)價(jià)值。與其限制企業(yè)的運(yùn)作，信息風(fēng)險(xiǎn)管理計(jì)劃提供了更有效果的運(yùn)營(yíng)規(guī)范，使企業(yè)能夠在正常運(yùn)營(yíng)的同時(shí)，實(shí)現(xiàn)信息資產(chǎn)及架構(gòu)的有效保護(hù)。此計(jì)劃的概念徹底改變了企業(yè)運(yùn)營(yíng)的模式，其通過(guò)找出方法以促進(jìn)企業(yè)的活動(dòng)及能力，而非基于察覺(jué)到的風(fēng)險(xiǎn)，而限制了企業(yè)的商業(yè)活動(dòng)。舉例來(lái)說(shuō)，信息風(fēng)險(xiǎn)管理并不會(huì)阻止企業(yè)訪問(wèn)系統(tǒng)與信息，相對(duì)的，它會(huì)評(píng)估出適當(dāng)?shù)脑L問(wèn)權(quán)限，以及適當(dāng)?shù)脑L問(wèn)時(shí)點(diǎn)。過(guò)多的信息安全管控機(jī)制可能阻礙到企業(yè)的運(yùn)營(yíng)，而此計(jì)劃的目標(biāo)是使信息資產(chǎn)風(fēng)險(xiǎn)最小化的同時(shí)，促使企業(yè)的業(yè)務(wù)活動(dòng)能達(dá)到其運(yùn)營(yíng)目標(biāo)。

組織架構(gòu)設(shè)計(jì)的進(jìn)化

為有效的達(dá)到組織風(fēng)險(xiǎn)管理需求，企業(yè)的組織架構(gòu)需要導(dǎo)入一個(gè)整合且有效率的管理方法(圖2)。此方法的概念是使企業(yè)中的所有風(fēng)險(xiǎn)管理活動(dòng)皆回報(bào)給單一主管 –首席風(fēng)險(xiǎn)官(Chief Risk Officer, CRO)，此風(fēng)險(xiǎn)官為所有風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)降低、與風(fēng)險(xiǎn)控管等相關(guān)活動(dòng)統(tǒng)一溝通信息匯集的中心，風(fēng)險(xiǎn)官也與高級(jí)管理層有定期的互動(dòng)，向高級(jí)管理層提供所有與信息風(fēng)險(xiǎn)有關(guān)的企業(yè)決策、戰(zhàn)略、與活動(dòng)的相關(guān)信息、指南及方向。