隨著企業(yè)信息化建設(shè)的不斷發(fā)展和升級，信息系統(tǒng)也越來越復(fù)雜，與企業(yè)的之間的利益聯(lián)系也越來越緊密。如何進(jìn)行有效治理，也成為企業(yè)信息化建設(shè)實(shí)現(xiàn)利益最大化的重要途徑。

中培偉業(yè)《企業(yè)信息化審計(jì)與治理管控 IT4IT》培訓(xùn)專家張老師表示，信息作為企業(yè)最有價(jià)值和最主要的資產(chǎn)，其安全保護(hù)面臨巨大挑戰(zhàn)。董事會和高管層的責(zé)任在于保護(hù)投資者的利益，有責(zé)任保護(hù)信息的安全。

信息安全問題一直是政府管制的重點(diǎn)，政府和監(jiān)管機(jī)構(gòu)出臺了很多有關(guān)信息安全的法規(guī)、條例，以后一定會是越來越多。并且，政府和監(jiān)管機(jī)構(gòu)在這些法規(guī)條例的執(zhí)行上會越來越嚴(yán)格。

信息安全經(jīng)常被作為一個(gè)單純的技術(shù)或管理問題，但是，現(xiàn)在它已經(jīng)是一個(gè)公司治理問題，是一個(gè)涉及到政府部門、監(jiān)管機(jī)構(gòu)、外部審計(jì)、技術(shù)服務(wù)提供商、董事會與管理層等所有利益相關(guān)者相互關(guān)系的治理問題。

張老師認(rèn)為，信息安全問題的解決必須依賴于治理，因?yàn)閷?shí)踐證明，僅僅依靠政府監(jiān)管和CIO及信息安全部不能完全解決信息安全問題，必須有董事會和高管層的關(guān)注，而SOX法案通過302404等條款將信息安全上升為法律的高度。

但是，就信息安全和組織治理本身，我國政府部門和企事業(yè)業(yè)單位目前尚處在初級階段，相關(guān)體制、機(jī)制及領(lǐng)導(dǎo)層觀念都亟待轉(zhuǎn)變。理論界只有ITGov中國IT治理研究中心在研究界定信息安全治理的基本理論框架，特別是信息安全、內(nèi)部控制和組織治理、文化治理之間的關(guān)系；信息安全治理與信息安全技術(shù)、信息安全管理的聯(lián)系與區(qū)別；信息安全治理與文化治理、組織治理、IT治理的有機(jī)整合。

在改善信息安全治理狀況方面，發(fā)達(dá)國家先進(jìn)企業(yè)已取得共識，要重視管理和制度安排。突出表現(xiàn)在領(lǐng)導(dǎo)層認(rèn)識到信息安全問題從合規(guī)的角度看，不能是政府強(qiáng)制下的被動適應(yīng)，而要從戰(zhàn)略角度出發(fā)，管理層參與，變被動合規(guī)為主動合規(guī)，將合法合規(guī)轉(zhuǎn)換為戰(zhàn)略競爭優(yōu)勢，進(jìn)而為企業(yè)創(chuàng)造戰(zhàn)略競爭機(jī)會。

對于IT治理在當(dāng)前的發(fā)展，王老師指出，當(dāng)前最迫切的是需要一個(gè)與組織治理、文化治理相一致的信息安全治理的機(jī)制和框架。組織僅僅通過應(yīng)用最新的工具和技術(shù)來解決所面臨的信息安全問題是遠(yuǎn)遠(yuǎn)不夠的。因?yàn)樾畔踩珕栴}變得越來越復(fù)雜，并且很少僅用一種技術(shù)來解決。大多數(shù)安全問題深深的植根于多個(gè)組織分支和業(yè)務(wù)流程中。當(dāng)前所用的大多數(shù)方法都是“自下而上”的、“補(bǔ)丁式”的、操作層面的，較少考慮治理層面需要、組織戰(zhàn)略目標(biāo)、業(yè)務(wù)流程風(fēng)險(xiǎn)管控目標(biāo)及合規(guī)問題。