树立风险导向意识

　　面对复杂的信息安全环境，单纯地通过购置安全产品已经难以防御，企业必须从信息资产管理的宏观角度建立整体的安全防御体系。“目前中国的安全市场仍然以安全产品的销售为主。厂家和用户从购置产品的角度看待威胁，在应对病毒破坏、黑客攻击等问题时，基本停留在兵来将挡的阶段。总体而言，企业在安全项目方面的回报并不很好，花了很多钱却没有花到企业需要用的地方。”IBM的徐欢说，“其中一个原因是企业难以认识到自己的风险所在，也就难以从投资回报的角度衡量安全投资。”同时，安全又是一个涵盖很广的领域，不同的厂家、集成商和用户对安全的理解各有千秋，但有限范围内最好的选择未必在全局上发挥最好的效果。

　　在单个安全威胁向混合安全威胁变化的趋势中，企业首先需要了解有哪些风险存在，预测、评估其发生的可能性以及对企业的影响程度，尽可能量化风险，然后根据优先顺序，采取适当的预防措施。从今年“全球信息安全调查”的结果可以看出，有24%的中国企业过去一年没有进行过风险评估，有44%的中国企业只是由IT部门的普通员工进行风险评估。（见表7）

　　风险评估机制的不完善造成了企业大量的信息安全投入收不到预期的效果。“你不能把面包和钻石放在同一个保险箱里。”王铭杰说。不进行风险评估，就等于把所有安全风险等同看待，这在安全威胁愈加复杂的今天显然会造成企业疲于应付。对于企业来说，树立风险导向意识成为当务之急，以把面包和钻石用不同的方法保护起来。“这不仅仅是一个IT系统的问题，”科索路咨询公司（Cosolu）高级咨询师梁晟说，“而是指将IT系统的风险与业务风险建立联系，把影响 IT系统的因素进行量化，然后确定这些因素对业务可能产生的影响。从业务的角度出发，建立风险的可能性与影响性的矩阵表，这样就可以看出各种IT设施和应对措施的优先级别。”

　　树立风险导向的信息安全管理意识，最终目的在于提高信息安全项目的投资回报，将IT风险作为企业运营风险中的一部分加以管理，为建立完整的安全架构打下基础，彻底告别“头痛医头，脚痛医脚”的被动局面。

建立完整安全架构

　　对整体安全策略的重视正是美国企业比中国企业在信息安全方面信心更强的原因所在，有78%的美国企业在进行风险评估之后所采取的措施是完善企业的整体IT安全策略，而中国企业更多的则是选择修补漏洞（见表8）。IBM的徐欢说：“对于多数企业而言，目前都已制订了相关的制度和流程，但还没有企业级整体的信息安全规划和建设，信息安全还没有或很少从整体上进行考虑。”但类似尝试已经展开。

　　中国太平洋保险（集团）股份有限公司（下称太平洋保险）的企业IT安全体系正在建立中，目前已经完成了项目的设计和开发，进入评估阶段。由于企业 IT安全体系的建立和实施涉及整个公司的各个层面，需要企业在IT建设方面建立相应的IT管理机制。为此，太平洋保险建立了从集团信息技术工作委员会的决策层，IT管理和专家组成的监控层，以及项目团队为实施层的管理框架。

　　在推进方法上，太平洋保险按照计划、开发、评估、推广4个阶段分步实施。在计划阶段，在分类和收集公司IT资产的基础上，进行安全风险评估工作。同时，通过安全需求分析，从管理体系和技术架构两方面设计了IT安全总体解决方案，确定IT安全管理体系框架。在开发阶段，对总体解决方案进行全面展开，将管理体系方面解析为安全策略、管理规范、用户行为守则等管理文档；并将技术架构分为用户管理与认证、安全事件的收集与分析等子系统进行单独设计。太平洋保险IT安全项目负责人、副总经理徐敬惠表示：“太平洋保险进行企业IT安全体系建设，目的在于通过科学、灵活地规划信息安全管理体系，真正达到规避风险，保障业务发展的目标。”现在，类似的整体信息安全体系建设已经在中国移动通信集团天津有限公司等企业进行建设。

　　可见，企业管理者已经不再将信息安全看作一个孤立的或是纯技术的问题，而是从企业运营的全局角度整体看待，制订与企业特点和成长潜力相适应的安全管理架构。值得一提的是，很多企业已经意识到了这一点。“全球信息安全调查”的结果表明，分别有44%的中国企业在制订企业IT策略时，总裁、CEO等管理层参与其中，美国这一比例为37%。（见表9）管理层的参与为企业建立完整的安全架构打下了基础。