信息安全與保護對組織有絕對的重要性，但無法確保組織運營的成功。從風險管理的角度入手，不但可在信息安全與組織運營的需求中取得平衡，更可加強信息保護，并進一步促使組織達到運營活動的效率與成功。信息在企業(yè)運營中一向有著其可觀的價值，然而，信息的價值卻是一直到了最近，才被有能力與有競爭力的企業(yè)真正了解及運用。

目前許多企業(yè)針對法規(guī)遵從、信息與物理安全、隱私權(quán)、以及運營及財務(wù)風險等，分別建立獨立的部門以達到上述各方面的公司治理。這些獨立的組織個體都能有效的達到其組織目標，然而，由于這些部門各自獨立作業(yè)，并屬于不同管理階層，它們可能無法達到企業(yè)整體的有效信息風險管理目標，通過這些獨立部門組織的整合，可實現(xiàn)有效的信息風險管理。

為何信息安全如此具挑戰(zhàn)性?

信息安全因為信息技術(shù)不斷更新的特性，成為信息處理流程中，最具挑戰(zhàn)性的一環(huán)。簡單來說，信息安全所以困難，是因為敵人只需要猜對一次就成功了，而防守的一方則需要每次都對，才得以保住信息安全。然而，信息安全負責人員卻往往被缺乏資金、資源、時間、以及知識而困擾。企業(yè)往往期望信息安全負責人能夠在有限的資源與能力下，避免任何可能造成信息架構(gòu)損壞的風險，每當信息安全負責人創(chuàng)造或?qū)肓艘惶追乐箶橙斯舻目刂茩C制，對手往往會發(fā)展出一套更新更有效的攻擊手法，迫使信息安全負責人再發(fā)展出更多的其他控制。

職業(yè)道德、法律法規(guī)、組織士氣、資金匱乏、以及資源的缺口，都無法限制敵人的惡意行為。互聯(lián)網(wǎng)的廣泛使用與發(fā)展，使得信息安全不法分子有了更方便的平臺，不需要面對面討論，就可集結(jié)各方知識，開發(fā)出更新的攻擊手法，他們共同產(chǎn)生的研究分享、知識、以及開發(fā)能力，遠遠超過了任何企業(yè)組織可以單獨達到的境界，而信息安全負責人剩下最有可能遏止敵手的方法，便是運用風險管理的方法以保護信息，以有限的資源與能力，協(xié)助企業(yè)有效的保護必要與重要的信息。

信息安全現(xiàn)況

目前企業(yè)主要的信息安全重點仍是通過技術(shù)的使用，以降低其威脅。過去的經(jīng)驗證明，政策、流程及程序，再輔以技術(shù)的應(yīng)用，比起單獨依靠技術(shù)的使用，能夠提供更有效的防護效果。然而，大部分企業(yè)通常并未有效實施這些要素，其主要原因在于政策、流程及程序的建立及運作，比起直接采購與安裝一個技術(shù)性的控制措施，難度較高，且無法像技術(shù)性的控制措施一樣可以立即見到效果，企業(yè)普遍缺乏耐心，導致威脅的范圍擴張，并明顯提升了敵人接近與利用企業(yè)信息架構(gòu)的能力。

「僅為法律遵從的安全」是一個非常危險的全球化趨勢，其意思是指，企業(yè)將全部的信息保護重點，放在達到政府與產(chǎn)業(yè)制定的各項規(guī)范上，例如支付卡產(chǎn)業(yè)標準(Payment Card Industry (PCI) Standards)、薩班斯法案(Sarbanes-Oxley Act)、歐洲資料保護與隱私權(quán)法案(European Data Protection andPrivacy Act)、以及信息披露相關(guān)法規(guī)等，提供了某種程度上的信息保護引導方針。部分上述標準，例如PCI 標準，提供了企業(yè)必須建立特定技術(shù)與控制的相關(guān)規(guī)范，即使這些控制對于該企業(yè)沒有實際效用，甚至其與企業(yè)本身根本沒有重大關(guān)聯(lián)。因此，此觀點概念有著極高的風險。它將重點放在組織達到法規(guī)遵從上，而并不能了解與降低企業(yè)在信息架構(gòu)上實際面臨的風險與威脅。      

企業(yè)面臨的威脅版圖在過去的幾年中已大幅的改變了，信息攻擊社群已將其重點從概念性的驗證及地位追求為目標的攻擊，轉(zhuǎn)換至高目標導向、高效果、與不引人注意的攻擊為主，這意味著過去用來保護信息與信息架構(gòu)的傳統(tǒng)智能、技術(shù)控制框架、以及方法與實務(wù)操作，已經(jīng)無法有效的保護信息安全。因此，企業(yè)必須建立以風險為導向的決策流程與架構(gòu)，以應(yīng)對新的挑戰(zhàn)。

信息風險管理 vs. 信息安全

信息風險管理定義組織信息架構(gòu)的范圍，識別需要保護的信息內(nèi)容，并依照組織的風險容忍值擬定信息保護的程度，其識別企業(yè)的價值、業(yè)務(wù)沖擊、法規(guī)遵從需求、以及組織整體業(yè)務(wù)策略的一致性。一旦識別出上述相關(guān)信息，信息風險管理部門可將此信息呈報給企業(yè)領(lǐng)導者，供其在評估為達到適當?shù)男畔⒈Ｗo與風險管理時，應(yīng)投入多少財務(wù)及資源的決策參考依據(jù)。

在完成信息安全相關(guān)投資決策后，信息安全團隊可依照企業(yè)領(lǐng)導者的決策，著手落實相關(guān)決策。信息安全團隊協(xié)助識別威脅、開發(fā)及實現(xiàn)控制措施、以及定期監(jiān)控相關(guān)控制的有效性，以確保控制與目標的一致性。此風險管理模型與目前的信息安全狀況的主要差異，在于信息安全團隊的決策權(quán)，在風險管理模型中，信息安全團隊在整體企業(yè)中，不再擁有定義信息安全及信息架構(gòu)相關(guān)與否的決策權(quán)，取而代替的，該團隊負責向企業(yè)領(lǐng)導者提供有價值的參考信息，企業(yè)領(lǐng)導者依照獲得的信息做出適當?shù)纳虡I(yè)決策。這項重大的變化，顯著提升了信息安全團隊的有效性，組織不再將這些團隊成員視為阻礙企業(yè)運營的糾察隊，而是幫助企業(yè)運營的專門顧問。

信息風險管理的演進

在當今的大多數(shù)企業(yè)中，信息保護與確認能力等相關(guān)項目以不同的形態(tài)，存在于不同的流程階段中，相關(guān)能力通常可依照功能來區(qū)分，其領(lǐng)導者可能命名為首席信息安全官(Chief Information Security Officer, CISO)、隱私官(Chief Privacy Officer, CPO)、物理安全官(Chief Physical Security Officer,CPSO)、以及法規(guī)遵從官(Chief ComplianceOfficer, CCPO)等，很不幸，這些職務(wù)雖然皆有「官」的頭銜，實質(zhì)上他們卻沒有領(lǐng)導階層權(quán)限，及參與與重大業(yè)務(wù)戰(zhàn)略或活動的權(quán)力，并且各自分別隸屬于不同的領(lǐng)導階層類別，他們也通常獨自運作，僅在必要時有部分交流，與企業(yè)策略無關(guān)。

這些信息保護機制必須依照現(xiàn)今信息與信息架構(gòu)所面臨的挑戰(zhàn)而演進。這些機制的演進(圖1)，需要整合這些各自獨立的單位，進而產(chǎn)生一個整體性的業(yè)務(wù)單位，也就是所謂的信息風險管理計劃。

信息風險管理計劃

信息風險管理計劃可為企業(yè)提供一個360 度的全面性信息資產(chǎn)與其所有相關(guān)信息架構(gòu)的風險視圖，此計劃為公司治理模式的演變，主導信息風險管理相關(guān)的概念與活動。同時，它將既有負責提供信息保護的獨立領(lǐng)導單位與計劃元素，整合為一個單一的功能組織，由一個統(tǒng)一的領(lǐng)導者帶領(lǐng)，該領(lǐng)導者擁有參與企業(yè)的業(yè)務(wù)活動與戰(zhàn)略決策的權(quán)限。

信息風險管理計劃若能有效的導入及運作，可促使組織在風險導向的模式下運營，帶來相對應(yīng)的企業(yè)價值。與其限制企業(yè)的運作，信息風險管理計劃提供了更有效果的運營規(guī)范，使企業(yè)能夠在正常運營的同時，實現(xiàn)信息資產(chǎn)及架構(gòu)的有效保護。此計劃的概念徹底改變了企業(yè)運營的模式，其通過找出方法以促進企業(yè)的活動及能力，而非基于察覺到的風險，而限制了企業(yè)的商業(yè)活動。舉例來說，信息風險管理并不會阻止企業(yè)訪問系統(tǒng)與信息，相對的，它會評估出適當?shù)脑L問權(quán)限，以及適當?shù)脑L問時點。過多的信息安全管控機制可能阻礙到企業(yè)的運營，而此計劃的目標是使信息資產(chǎn)風險最小化的同時，促使企業(yè)的業(yè)務(wù)活動能達到其運營目標。

組織架構(gòu)設(shè)計的進化

為有效的達到組織風險管理需求，企業(yè)的組織架構(gòu)需要導入一個整合且有效率的管理方法(圖2)。此方法的概念是使企業(yè)中的所有風險管理活動皆回報給單一主管 –首席風險官(Chief Risk Officer, CRO)，此風險官為所有風險識別、風險降低、與風險控管等相關(guān)活動統(tǒng)一溝通信息匯集的中心，風險官也與高級管理層有定期的互動，向高級管理層提供所有與信息風險有關(guān)的企業(yè)決策、戰(zhàn)略、與活動的相關(guān)信息、指南及方向。