英语原文共 7 页,剩余内容已隐藏,支付完成后下载完整资料
信息安全管理:人类的挑战?
摘要:
本文认为信息安全管理在多大程度上是人类的挑战。它表明人类的挑战在于接受组织中的个人不仅具有其角色所赋予的身份,而且还具有与他们一起工作所带来的个人和社会身份组织面临的挑战是,在努力实现资源的最佳配置以达到业务目标的同时管理这一问题。本文从组织的角度考虑了信息安全面临的挑战, 并从管理和组织行为等方面提出了基于研究的论点。它的结论是,信息安全管理的人类挑战在很大程度上被忽视了,并建议解决这个问题,我们需要研究改变组织文化所需的技能、信息安全管理人员的身份和信息安全管理人员、最终用户和高级管理人员之间的有效沟通
关键词:
信息安全、管理、组织文化、人为因素、变革管理、通信、意识
- 简介
本文认为信息安全管理是人类面临的挑战。信息安全作为组织功能继续成熟,信息安全管理显然依赖于技术、过程和人员。可以理解的是,我们在管理技术和流程方面已经变得熟练,但在管理人员方面却不那么成功。这可能是因为我们倾向于从错误的出发点来看待这个问题--我们从信息安全开始,并试图向业务方向向外看。本文旨在扭转这种做法,并从组织走向信息安全。它首先从组织的角度审视人类的挑战,并发展组织管理与信息安全管理之间的联系。最后,研究了信息安全管理面临的挑战,并探讨了这些问题在多大程度上是人类面临的挑战。
2.“人类挑战”意味着什么?
也许第一个要解决的问题就是我们所说的“人类挑战”这个词的意思。为了回答这个问题,我们将探讨在组织中的人是什么意思,以及这是如何超越个人所付出的作用。然后,我们将转而研究所有组织面临的主要挑战之一--配置资源的问题。最后,我们将把我们的理解放在配置资源的挑战中,成为人类的意义。
2.1作为组织环境中的人类
当我们谈论'人类挑战'时,我们不仅要考虑到体现个人工作身份的角色(例如, 销售经理、管理会计、团队领导),我们还必须包括个人的独特态度、信念和感知,他们带来的工作。考虑到这一点,我们需要从最终用户到信息安全经理,再到高级管理人员和董事会成员查看组织中的所有个人。
作为一个整体,在组织内的人带来了这个相当模糊的现象,我们称之为组织文化。这是一个短语,目前使用宽松。组织文化由管理研究人员定义为那些假设或启发式模式,当对组织中的某种情况作出反应时,个人将作为指导使用。三组织文化的维度已经定义: 个人、规范、态度和看法的可观察行为,可以从他们的言行和核心价值推断出来。我们可以看到后两个维度在很大程度上是隐藏的--这些都包含了组织中每个个体的内部信念体系。组织文化不仅包括控制、系统、过程和组织结构发出的可见信号, 而且可能更重要的是,在组织的皮肤下的元素, 如仪式和惯例,被跟踪和故事, 周围的水冷却器, 咖啡或食堂。作为一个组织中的人,是个人与个人和社会身份共同履行的角色的混合体, 这有助于形成组织的文化。
2.2组织挑战
组织面临着许多不同的挑战, 但如果我们采取战略观点,那么可能面临的主要挑战是确保资源配置的方式达到股东或利益攸关方的最大价值。“资源” 一词最广义地用于包括组织结构、它如何定义和实现它所遵循的过程、它如何在地理上、逻辑上以及它所执行的业务方面定义其边界,以及它如何管理内部和外部的关系.
当我们考虑商业环境中的一些当前趋势,例如由于新技术的变化速度(这使得战略难以发展),配置资源的挑战变得更加复杂,知识的重要性创造和知识共享以及在全球市场竞争的必要性。
那么,组织是如何设法应对配置资源这一挑战的呢?下面是一个广泛可见的例子。组织现在认识到他们的关键成功因素之一是他们如何整合知识。不幸的是,许多知识的组织是心照不宣的,只能被那些拥有它的人成功地使用。配置组织结构的最佳选择就是把所谓的“松紧”结构放到位。这是一个难以实现的平衡,但包括在业务的某些领域保持严密的指挥和控制方法,同时允许在其他方面采取更具参与性的办法。对于喜欢明确定义角色和边界的人来说,这可能是一个相当不舒服的情况。这意味着在某些情况下,一个个人,一部分的组织或一个合作伙伴将领导,在其他情况下,领导角色将落在其他地方。成功与否将取决于谈判和推销。然而,有些人必须有最终的发言权,因为毫不奇怪的是,这种结构可能导致冲突,并增加时间来作出决定,组织通常没有。为了确保有一个权力杠杆到位,需要有一个不平衡,这往往是通过限制获得财政资源而实现的。
这种方法引出的是,从高度垂直的层次结构转向一个平坦的、更网络化的结构。在组织意义上,网络通常具有模糊的边界,并依赖于协作--这是个人、团队、部门和合作伙伴组织之间的信任和互惠。
人类面临的挑战是管理个人身份的组织、社会和个人要素的组合。要做到这一点, 就必须通过组织结构、业务流程、边界和关系等资源的组合, 确保组织的最大利益。这必须在流动性强、灵活性强的商业环境中实现,而这一点越来越有利于一个扁平、更网络化的组织结构。
3. 我们的意思是什么“信息安全管理”?
近年来,信息安全领域不断扩大--从技术倡议中增长,并将IT安全标记为更广泛、更注重业务的关注,以保护整个组织内所有形式的信息。它不再仅仅是保护信息的保密性、完整性和可用性的目的,而信息安全的目的是通过保护和便利受控共享信息和管理在不断变化的威胁环境中关联的风险。这一重点的改变意味着企业内更多的职能可以发挥作用--有些在一般层面上,有些则具有特定的利基角色(特别是在技术方面)。信息安全作为一个概念已经发展了广度和深度,而且,因为它正确地成为一个内嵌的功能在组织中,它需要覆盖一个强大的管理系统,以确定如何有效和连贯地实现这些目标。
3.1. 组织管理
在本节中,我们将考虑在组织环境中我们所指的管理,信息安全的管理方面是什么, 最后是什么好处信息安全管理提供了整个信息安全。
传统的管理定义是一种方式,在这种情况下,组织的业务被进行、控制和监督。它被描述为一种活动、工作或艺术,后者的描述也许特别适合于上文概述的人类挑战。组织管理是对商业活动的控制,以便为实现组织目标提供持续改进的活动。
正如我们已经看到的一个关键挑战管理将是资源配置。为了以严谨和可重复的方式解决这一问题,组织将建立一个管理系统。这将包括体现控制和变更管理原则的政策、过程和做法。其目的将是确保这些原则在一致的基础上得到适用。
虽然每个组织都有自己的总体管理系统,但它可能依赖于特定类型的业务活动的标准管理系统。例如,iso 9001是质量管理体系的标准,iso 14001是用于环境管理系统的, 而最适合我们的是iso 27001的信息安全管理系统。
管理则是确保组织中资源的最佳配置的活动。这通常会以确保活动严谨和可重复性以及经常可审核的方式实现。如果审计管理系统的能力是关键的,那么可以使用国际公认的标准。
3.2信息安全管理的目的
我们现在对管理的总体了解是什么,特别是信息安全的管理要素是什么?本节考虑了关于信息安全管理所涵盖的各种不同的意见, 并发现它们大体上一致。我们开始看 ISO 27001, 然后继续考虑其他意见。
ISO 27001定义了信息安全的管理方面,这是基于业务风险方法的整个管理系统的一部分,用于建立、实施、操作、监视、审查、维护和改进信息安全。它指出这包括 '组织结构、政策、规划活动、责任、做法、程序、进程和资源'。这似乎与我们以前对管理手段的定义以及配置资源的主要目的相一致。
ISO 27001 通常在一个组织中执行,以确保有一个一致的、可重复的和可以审核的方法来解决信息安全问题。标准化方法的要求为决策、预算分配等提供了坚实的基础。它还为内部和外部利益攸关方提供了信心,即有效地解决了安全问题。
虽然我们已经定义了什么是信息安全管理,但考虑它可以作为组织内的一个功能提供信息安全性可能会很有用。我们可以考虑在没有任何管理的情况下进行信息安全时会发生什么情况,并将其与管理系统中可能发生的改进进行对比。
对信息安全的非托管方法可能会导致实施安全控制的零碎方法(例如,随之而来的防火墙、工作人员审查政策、闭路电视摄像机等)的随意收集。结果可能是,并非所有风险都得到充分解决,有些控制可能不适当或过于详尽。我们必须说,这是“可能的”,因为至少会缺乏明确的信息安全目标是否已经实现。这是因为如果没有管理层,就很难理解已经做了什么、为什么、由谁和出于什么目的。
另一方面,信息安全的管理将确保选择适当和相称的安全控制,以保护信息资产并向第三方提供信任。从这一提取中可以清楚地看出, 信息安全管理既具有内部和外部的贡献。
通过管理信息安全,我们开始着手解决配置我们现有资源的挑战。例如,一个健壮的、可重复的和可审核的方法意味着:
可以为预算和资源需求辩解,并为行动提供逻辑健全的业务案例。
更广泛的组织贡献是与业务效率,实现法规遵从性,品牌保护,声誉和专有信息等。
让决策者参与制定与业务相关的信息安全问题。
对信息风险的分析和处理、安全控制的实施以及对这些控制的测量、监测和审查的系统方法。
我们有实践和控制立场,允许与股东和监管者进行明智的讨论。
最后,它为信息安全作为一个专业的持续发展做出了贡献,这是我们稍后将会返回的一个方面。
我们可以看到,通过管理信息安全,我们莫利克利托能够以最佳方式应配置资源。我们还能够在一个组织的信息安全和其他职能之间建立更牢固的联系,并在与外部组织、股东和利益攸关方打交道时有一个可防御的地位。
在操作级别,包括信息安全管理的技术被列为知识和经验、与事件和漏洞有关的信息、风险分析和风险管理、战略和规划、政策和标准、流程和程序、方法和框架、认识和培训、审计、合同和外包。有趣的是,知识和经验首先出现在名单上。这些都是内在的人性品质。
当我们也认为学者和执业者同意成功管理信息安全有赖于权威、领导、远见和良好的管理实践时,我们可以看到所谓的“软”技能在成功管理中的重要性。信息安全。正是这些技能在个人中基本上是天生的,而不是为了发挥组织作用而学习的。
信息安全管理包括与配置资源相关的活动,以便以最佳服务于组织的方式满足信息安全目标。关键活动包括实施政策、过程和程序,以及行使软技能的能力。信息安全管理还有助于使信息安全与组织的其他职能保持一致。它为第三方建立了如何实现和维护信息安全的方法。最后,它使我们更接近于将信息安全作为一种职业来建立。
虽然信息安全管理活动无疑包括过程和程序,但似乎有许多关键的成功因素依赖于软技能。这种技能往往来自于我们在本文开头所承认的个人和社会身份(而不是组织身份)。正是这些技能确保了有益的关系得到发展和维护,并确保了解决人类挑战的能力。
4.那么,信息安全管理面临的挑战是什么?
我们已经研究了一个组织中的主要管理挑战--即在快速变化的商业环境中配置资源。我们还探讨了信息安全管理的性质。在本节中,我们将研究如何通过设置结构、进程、边界和关系的挑战来管理信息安全。由于前三项已由执业者广泛研究,我们只会在这里接触他们。然而,人际关系或人类的挑战在很大程度上被忽视了,这就是我们将注意力集中在的地方。
4.1结构、过程、边界挑战
信息安全管理必须面临挑战在第二十一世纪更具流动性的商业环境中工作。正如我们已经讨论过的硬边界 (地理、物理和逻辑) 正在崩溃, 信息安全必须通过一个伙伴关系、联盟和外包关系网络来管理。扁平的组织结构导致风险和信任决定的下放到较低的,通常是个人的水平。这与将个人和群体整合以更好地利用隐性知识的要求相结合。
对于实践者来说,这一挑战将在一个快速变化的业务环境中,根据时间和资源限制来管理信息安全。人们常常承认,在各级信息安全方面缺乏专门知识,但是,重组、兼并、收购和结盟证明了商业环境的变化率有所提高。这些变化对信息安全的管理产生了影响。例如,有必要增加连通性,需要灵活使用新技术。越来越多的组织需要与客户、利益相关者和跨价值链共享信息。这信息的风险仍然处于可接受的水平。
4.2人类挑战
有人说,黑客比信息安全从业者花费更多的时间考虑人类的挑战。在接下来的章节中,我们将考虑为什么人类很难在信息安全的背景下进行管理,在建立信息安全管理的成功关系方面,面临的主要挑战是什么。最后,有哪些技能信息安全管理人员需要开发才能成功。
4.2.1改变组织文化
研究人员建议,在一段时间内,信息安全管理是关于 '不仅仅是锁和密钥,必须与社会分组和行为相关。少数研究人员一再表示,有需要更好地了解本组织的社会方面;特别是人的元素。
不幸的是,人类不是很可预测的。如果相同的信息是以相同的方式输入和处理,则它们不作为机器操作,那么输出的结果将会在同一时间后发生。他们在行为上可能显得不稳定,因为我们常常不考虑到人类引入组织的个人信仰系统。正如我们在论文开始时所讨论的那样,组织角色与个人和社会身份的混合,有助于形成组织文化。
意见是分歧的,但虽然我们可能能够改变可观察的行为,我们是否能得到一个人的皮肤下,以技术和过程改度,感知和核心价值是值得怀疑的。虽然有可能有人相信,我们可以通过技术和过程来实现文化变革,但似乎这些事件,如那些经历了全国建筑协会,HMRC,DVLA和国防部(只是命名那些可能有最高配置文件)确实指出了过程和技术的失败来保护信息。在上述每种情况下,最终用户似乎都没有正确的启发式方法来处理将引导他们正确方向的信息。正如最近的数据处理报告所表明的, 组织文化有很大的一部分要发挥。
4.2.2开发信息安全管理器的身份
我们不能将所有的责任都归咎于最终用户的脚,因为我们已经看到组织文化的发展是一种集体活动。信息安全管理人员面临的一个困难是,他们的作用往往是技术专家的职责, 即管理的指挥和控制方法。他们倾向于在信息安全方面作出决定,很少参与或与员工谈判。正如我们所看到的,良好的信息
全文共8909字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[11267],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
