為了適應IT信息治理在當前社會和行業的發展形勢，中培偉業推出了《IT治理與審計最佳實踐（CISA）認證》培訓課程。該課程自推出以來，深受廣大學員的歡迎，已經成為中培偉業的又一王牌課程。負責該培訓授課的郭老師認為，IT治理如果沒有信息安全架構作為支撐，只能是空中樓閣。

一.IT治理面臨的信息安全挑戰

在中國經濟強勁復蘇的背后，企業的業務發展與創新對IT的依賴程度越來越高。但任何事物都有它的兩面性。正確、恰當地使用IT系統能為企業帶來飛速的發展，但系統缺陷、人為誤操作、系統攻擊等不可預料的各種IT風險也同樣會使企業面臨巨大的災難。長期以來，人們對保障信息安全的手段偏重于依靠技術，例如加密技術、數據備份、防病毒、防火墻等手段。而且在大多數IT管理人員的視角中，信息安全也僅僅局限在技術層面的操作，信息安全經常被看作只是一個技術問題，很少認為它是企業必需的并需要優先考慮。事實上，僅僅依靠技術來保障信息安全的愿望往往是難盡人意的，因為面對復雜多變的安全威脅和隱患單靠技術手段是無法消除的。

據實踐經驗表明，信息安全治理是與IT治理密不可分的。假如把信息安全治理比作指引組織進行安全項目的路標，那么信息安全架構的設計便是組織通往信息安全這個目標所用的交通工具。因此，沒有了信息安全架構，IT治理根本無從談起。信息安全架構是指企業管理層利用它來監督企業在信息安全戰略上的過程、結構和聯系，以確保IT運營處于正確的軌道之上。因此，缺乏良好信息安全架構的企業，就是說缺乏健全的風險控制機制，因而不可能很好的進行信息安全管理，進而也不可能取得IT治理的成功;同樣，沒有信息安全管理體系的暢通，IT治理也只能是一個美好的藍圖，而缺乏實際的內容。

二.為什么信息安全架構是IT治理的基石?

(1)IT治理要以IT風險防治為核心

目前，信息系統已在企業和政府組織中得到了廣泛的應用，IT治理成為企業治理越來越關鍵的一部分。在復雜的現實環境中，不安全因素總是存在的。各種各樣的資料都顯示著信息安全風險以及災難性事件的數量，正隨著時間的推移而增加。IT治理的一個重要內容是估計相關風險對企業的經營收益和IT績效的影響，并有效控制IT風險，避免IT資產的損失。IT風險是一種潛在的可能，是指某些威脅將會造成IT資產甚至其它相關資產損失或者破壞的潛在可能性。安全從來就不是一種非黑即白的概念。目前的信息安全早已不只是人們傳統意義上的安全，即添加防火墻或路由器等簡單的設備就可保證安全，而是成為一種系統和全局的觀念。信息安全是指使信息避免一系列威脅，保障業務連續性，最大限度地減少業務損失，從而最大限度地獲取投資和回報的一種保障機制。

傳統的信息安全管理基本上是一種靜態的、局部的、突擊式、事后糾正式的管理方式，導致的結果是不能從根本上避免和降低各類風險，也不能降低信息安全故障導致的綜合損失。而基于信息安全架構的思想是一個系統化、程序化和文件化的管理體系，基于系統、全面、科學的安全風險評估，體現預防控制為主的思想，強調遵守有關信息安全的法律法規及要求，強調全過程動態控制，本著控制費用與風險平衡的原則合理選擇安全控制方式保護關鍵信息資產，使信息風險的發生概率和結果降低到可接受收水平。COSO(美國內部控制委員會)在最新一期的IT治理指南中將IT信息安全架構界定為內部控制和風險防范的起點與核心，足以說明IT治理應以信息安全的識別和防范為著力點。因此，企業需要建立完善、健全的信息安全架構來規范IT治理行為，通過建立詳盡的風險控制機制來降低企業的IT風險。

(2)信息安全是IT治理的基石

信息安全不是一個孤立靜止的概念，它是一個多層面、多因素的、綜合的、動態的過程。不同的企業對信息安全會有不同的理解，長期以來信息安全被看作是消極因素，不產生價值。然而，全球網絡的出現和企業傳統邊界地的延伸，使其成為價值和機會的創造者，特別在提升IT利益各方的信任感方面。因此，信息安全必將成為IT治理一個重要且必不可少的部分，忽略信息安全將使IT價值的創造無法持久。信息安全的涵義體現在三個方面：一是安全性，是指確保信息僅可讓授權的人獲取和訪問;二是完整性，是指保護信息和處理方法的準確和完善;三是可用性，是指確保授權人需要時可以獲取信息和相應的資產。因此，實現信息安全是一個需要完整的體系來保證的持續過程。有效的安全防衛不僅是技術問題，也是一個管理問題。

一般來說，信息安全架構是通過實施一套恰當的控制措施來實現的，該控制措施包括政策、實踐、程序、組織結構和工具軟件組成。因此，信息安全架構模型和其它模型一樣，具有以下幾個方面的優點或作用：①信息安全架構模型涉及信息安全和業務需求的各個方面，能以簡單方式測定差異，并有助于確定有關安全性方面的相對水平;②信息安全架構成熟度是測量安全管理處理等級的一種方法，這些等級是一個給定的信息安全管理處理的慣例，體現各個成熟層次的典型模式，有助于企業將主要精力投入到關鍵的管理方面;③信息安全架構模型等級有助于專業人員向管理層解釋信息安全管理存在的缺陷，并把組織的控制慣例與最佳慣例對照起來，從而確定企業的未來發展目標。因此，信息安全架構和IT治理不但是息息相關的，也是IT治理的基石。