信息安全治理制度
信息安全治理通過提出信息安全原則和信息安全目標,建立信息安全職責,明確信息安全實施步驟,為信息安全工作提供指引。
▼▼信息安全治理目標
明確信息安全的決策權力和責任,保證信息安全與業務發展的一致性;促進技術和業務充分融合,利用信息安全增強公司核心競爭力;實現信息安全資源最優配置,提高信息安全系統運行效率與服務質量;建立信息安全風險控制體系,保障系統運行安全與業務信息安全。
信息安全治理組織
高級管理層對信息安全治理的有效性及信息安全負有最終責任,成立信息安全治理委員會,指定具有信息安全專業工作經驗的高級管理人員擔任公司信息安全治理委員會負責人,并作為信息安全治理的直接責任人。
信息安全治理委員會是信息安全相關事務的最高決策機構,負責信息安全治理的推動與落實。信息安全治理委員會委員由公司信息安全治理直接責任人、運營總監、合規審查總監、財務總監、人事行政總監、信息安全部門負責人、相關業務負責人、內部控制負責人以及部分技術骨干等人員組成,其中信息安全人員不少于30%。可以適當聘請外部專家擔任本公司的信息安全治理顧問。
信息科技部為信息安全治理辦事機構,負責信息安全治理會議提案的收集、專題研究的組織、信息安全決策的落實、委員會工作組的領導與協調工作。
信息安全治理委員會下設信息安全規劃和信息安全管理二個專業組。各工作組根據信息安全治理委員會的安排,就信息安全規劃、信息安全架構、信息安全應用、信息安全、信息安全風險等事項進行研究,并提出意見及建議,供信息安全治理委員會決策參考。
通過建立信息安全治理委員會章程,規定重大信息安全事項的決策機制和相關人員的參與責任,建立信息安全治理委員會議事規則和信息安全治理工作流程,搭建信息安全與業務溝通的橋梁,建立科學的信息安全決策機制,為信息安全建設與運維提供充分的資源,促進信息安全成為公司的核心競爭力之一。
信息安全治理內容
建立信息安全治理委員會,規定重大信息安全事項的決策機制和相關人員的參與責任,建立信息安全治理委員會議事規則、工作流程和正式的信息安全溝通渠道。
完善層次化的制度體系,并規范具體的操作流程,逐步實現信息安全管理的標準化和精細化;在建立基本的制度的基本上,建立完善各個業務領域的操作流程,明確關鍵控制點與績效指標。
在業務戰略的基礎上,考慮當前業務發展、監管要求、技術趨勢、投資控制等因素,進行中長期信息安全規劃;進行業務、技術與管理方面的信息安全架構設計,使架構具備良好的靈活性和開放性。
建立信息安全預算的合理評審機制,對信息安全項目進行投入產出分析,為信息安全系統的使用者建立成本分攤機制。從財務風險、市場風險、組織風險和技術風險等方面對信息安全投入進行風險評估。
在信息技科技部門建立設置合理、職責明確的崗位責任制,定期對信息技術人員進行考核。建立適宜信息安全專業職級體系,以吸引高端信息安全人才,提高信息安全人員的積極性。
建設持續的信息安全合規檢查制度。建立信息安全審計流程和信息安全審計標準,對現有的信息安全控制進行信息安全審計,以及時發現存在的信息安全控制風險。
信息安全治理實施
信息安全治理是一項長期的任務,需要通過建立信息安全治理構架、進行全面信息安全控制、實施信息安全與業務融合三個階段來實施。
信息安全治理第一階段的主要內容:建立信息安全治理框架,建立規范化的管理制度。通過建立信息安全決策機制與職責框架,形成有效的信息安全治理機制,建立信息安全管理制度,奠定信息安全治理與規范化信息安全管理的基礎。
信息安全治理第二階段的主要內容:進行全面信息安全控制,實現信息安全精細化管理。通過引入成熟的國際、國家標準和流程,結合實際現狀,有針對性實施,以使各項信息安全工作逐步接近并符合先進標準和規范的要求,形成綜合的信息安全風險控制框架和信息安全管理流程,逐步精細化信息安全管理體系。
信息安全治理第三階段的主要內容:實現信息安全與業務融合,信息安全支持業務發展。通過進一步提高信息安全規劃、建設、運維、管理等方面的能力,重點提高應用系統需求獲取與開發管理的能力,加強信息安全與業務的深度融合,實現信息安全對業務的全面支持。
信息安全治理環境
為實現其業務戰略目標,信息安全作為戰略性資產將發揮重要的作用。為獲得市場競爭優勢,需要對信息安全進行持續的資金與人員方面的投入,使信息安全成為推動業務發展的動力。
在實施信息安全治理過程中,要重視信息安全戰略管理能力、信息安全資源管理能力、信息安全開發與服務能力及信息安全支持業務創新能力的培育,這些能力的獲取是促進信息安全成為企業核心競爭力的重要基礎。
信息安全治理的最終目標是通過信息安全支持業務創新而獲取市場競爭優勢,信息安全要支持業務創新,除了信息安全自身的能力培育以外,需要為信息安全建立創新的機制,包括引入創新人才、建立創新制度、鼓勵創新精神,倡導創新文化。
確保足夠的信息安全投入,最近三個財政年度信息安全投入平均數額應不少于最近三個財政年度平均凈利潤的6%或不少于最近三個財政年度平均營業收入的3%。
應配備足夠的信息安全工作人員,滿足安全和崗位設置的有關要求。公司的信息安全工作人員總數不少于公司信息科技員工總人數的6%,并且信息安全工作人員總數應不少于3人。
