在今天的商業(yè)環(huán)境中，IT已成為企業(yè)業(yè)務發(fā)展和管理不可或缺的重要組成部分，其作用和影響力已擴散到企業(yè)的每一個范疇。但IT給企業(yè)帶來活力、利潤和競爭力的同時，也給企業(yè)帶來了風險。例如，日益依附IT的企業(yè)面臨著因信息安全導致的業(yè)務災害風險。因此，如何最大限度地保證信息安全成為每個企業(yè)都必須正視的問題。 近日在深圳召開的“中國信息化與IT治理高層研究會”上，信息安全架構和IT治理成為眾多CIO關注的熱門。會議認為加強信息安全離不開IT治理，完善的IT治理是信息安全的保障；而建立有效的信息安全架構則是IT治理的基石，企業(yè)才可以在很大程度上防御IT帶來的信息安全風險。那么，信息安全架構是什么？為什么沒有信息安全架構，IT治理就容易成為空中樓閣？

一、IT治理面臨的信息安全挑釁

在中國經濟強勁復蘇的背后，企業(yè)的業(yè)務發(fā)展與創(chuàng)新對IT的依附程度越來越高。但任何事物都有它的兩面性。正確、適當?shù)貞�用IT系統(tǒng)能為企業(yè)帶來飛速的發(fā)展，但系統(tǒng)缺點、人為誤操作、系統(tǒng)攻擊等不可預感的各種IT風險也同樣會使企業(yè)面臨宏大的災害。長期以來，人們對保障信息安全的手段著重于依附技巧，例如加密技巧、數(shù)據備份、防病毒、防火墻等手段。而且在大多數(shù)IT管理人員的視角中，信息安全也僅僅局限在技巧層面的操作，信息安全經常被看作只是一個技巧問題，很少認為它是企業(yè)必須的并需要優(yōu)先考慮。事實上，僅僅依附技巧來保障信息安全的愿望往往是難盡人意的，因為面對復雜多變的安全要挾和隱患單靠技巧手段是無法打消的。

據實踐經驗表明，信息安全治理是與IT治理密不可分的。假如把信息安全治理比作指引組織進行安全項目標路標，那么信息安全架構的設計便是組織通往信息安全這個目標所用的交通工具。因此，沒有了信息安全架構，IT治理基本無從談起。信息安全架構是指企業(yè)管理層利用它來監(jiān)督企業(yè)在信息安全戰(zhàn)略上的過程、結構和接洽，以確保IT運營處于正確的軌道之上。因此，缺乏良好信息安全架構的企業(yè)，就是說缺乏健全的風險把持機制，因而不可能很好的進行信息安全管理，進而也不可能取得IT治理的成功；同樣，沒有信息安全管理系統(tǒng)的暢通，IT治理也只能是一個美好的藍圖，而缺乏實際的內容。

二、為什么信息安全架構是IT治理的基石？

（1）IT治理要以IT風險防治為核心

目前，信息系統(tǒng)已在企業(yè)和政府組織中得到了廣泛的利用，IT治理成為企業(yè)治理越來越要害的一部分。在復雜的現(xiàn)實環(huán)境中，不安全因素總是存在的。各種各樣的材料都顯示著信息安全風險以及災害性事件的數(shù)量，正隨著時間的推移而增加。IT治理的一個重要內容是估計相干風險對企業(yè)的經營收益和IT績效的影響，并有效把持IT風險，避免IT資產的喪失。IT風險是一種潛在的可能，是指某些要挾將會造成IT資產甚至其它相干資產喪失或者損壞的潛在可能性。安全從來就不是一種非黑即白的概念。目前的信息安全早已不只是人們傳統(tǒng)意義上的安全，即添加防火墻或路由器等簡略的設備就可保證安全，而是成為一種系統(tǒng)和全局的觀念。信息安全是指使信息避免一系列要挾，保障業(yè)務持續(xù)性，最大限度地減少業(yè)務喪失，從而最大限度地獲取投資和回報的一種保障機制。

傳統(tǒng)的信息安全管理基礎上是一種靜態(tài)的、局部的、突擊式、事后改正式的管理方法，導致的成果是不能從基本上避免和下降各類風險，也不能下降信息安全故障導致的綜合喪失。而基于信息安全架構的思想是一個系統(tǒng)化、程序化和文件化的管理系統(tǒng)，基于系統(tǒng)、全面、科學的安全風險評估，體現(xiàn)預防把持為主的思想，強調遵照有關信息安全的法律法規(guī)及請求，強調全過程動態(tài)把持，本著把持費用與風險平衡的原則合理選擇安全把持方法保護要害信息資產，使信息風險的產生概率和成果下降到可接收收程度。COSO（美國內部把持委員會）在最新一期的IT治理指南中將IT信息安全架構界定為內部把持和風險防備的起點與核心，足以闡明IT治理應以信息安全的辨認和防備為著力點。因此，企業(yè)需要建立完善、健全的信息安全架構來規(guī)范IT治理行動，通過建立詳盡的風險把持機制來下降企業(yè)的IT風險。