相关链接

    国内外主要安全组织一览

    ■ ISACA

    信息系统审计和控制协会（Information Systems Audit and Control Association）是一个致力于信息治理、控制、安全和审计的全球性领导组织。ISACA在全球140 多个国家拥有超过65000 名成员获得公认的IT管理、控制、安全及保证上的全球领先者。该组织成立于1969 年，主要负责主办国际会议和出版《信息系统控制期刊》（Information Systems Control Journal），制定国际信息系统审核和控制标准，负责CISA、CISM和CGEIT认证。

    ■ ISSA

    信息系统安全协会（Information System Security Association）是信息安全领域的一个独立的非赢利国际组织。ISSA在全球24个国家拥有超过13000名成员，拥有超过109个分会组织。ISSA通过举办教育性的论坛，并为其成员提供相互交流与信息资源的机会，帮助成员增长知识，提高专业技能。ISSA已经在安全领域建立起一个国际性的通信网络，是公认的全球信息安全领域的领先者。

    ■ ItSMF

    IT服务管理论坛（IT Service Management Forum）于2005年1月16日在香港成立，当时世界上的itSMF有大约30个Chapters，现在增加到40多个Chapters。itSMF是建立在ITIL基础上的。ITIL（IT Infrastructure Library）是在上世纪80年代末由英国政府所负责编写的最优方法。最初在当地政府的IT部门使用，之后应用在IT业界，目的是要管理好现有的IT服务，从而符合用户的需要。ITIL最初在欧洲推行，到后期在亚洲地区开始采用，目前ITIL已推出了Version 3。

    ■ ISA

    中国信息化推进联盟信息安全委员会（ISA）是中国信息化推进联盟的下设机构，于2007年在相关部门的支持下成立。信息安全委员会的宗旨是致力于组织国际、国内信息安全专业人士、管理工作者及IT厂商，搭建行业内外信息沟通与交流平台，促进合作，共同推进中国企业信息化发展。

    编看编想

    安全代言“三方信心”

    在撰写本文之前，发生过一个非常著名的案例：新加坡的一家银行，有500个小额账户的信息被泄露，导致40000个用户觉得此银行不安全，把自己的资金转走。500个小额账户和40000个用户相比，储户更在乎的显然是对银行的信心。

    事实上，这个案例说明，信息安全不仅仅是企业内部的问题，它还关系到企业业务与上下游生态群落中的各个环节。以萨班斯法案为例，它要求企业管理者都会被要求对公司实施安全方面的控制，否则CIO、CEO会受到仅次于谋杀罪名的法律制裁。而这些企业的经理层最希望的，就是做到对企业经营活动的周期进行全方位掌控，不论是对内还是对外，不仅是让客户对企业有信心，也是通过管理带给自己信心。

    但仅仅这样似乎还不够。一个自称“第三只眼”的安全专家近日在其博客中举例说，有一家软件企业安全意识很强，将研发部门所有台式机的机箱都额外加一个封壳，所有USB接口也都封锁，所有研发人员只能登录内网，不能浏览外网。即使更换一个电脑鼠标，也必须告诉公司的IT部门，由专人解决。

    他认为这个例子说明，从安全的角度思考问题，企业的风险管理容易陷入两个极端：要么充分相信员工，所有的信息资源都共享；要么就是一点都不信任员工。

    记者的看法是，安全所产生的信心感对企业内部员工不应有里外。因为从风险管理的实质来看，上述事例中的做法并非IT治理的初衷，只有风险管理和安全管理做到恰如其分，才能使企业业务流程更加自动化和有效。