在过去几个月中我们RSA召开了一个理事会，是由十位负责风险的高管组成的，他们也代表了全球信息安全领域最高级专家，他们在一起共同探讨信息安全的方式，提出意见。他们提出一个成功的安全管理策略必须要与业务目标挂钩，我们先听一下摩托罗拉负责信息安全的主管是怎么看待他们现在信息安全的状况和如何于业务挂钩的？

　　通常在全球化组织机构中，信息安全风险总是被看作是一场难以避免的摩擦，这是由于信息安全关注限制人的行为控制安全问题的发生，这是变成了业务的障碍，而不是促进了业务的发展。这是因为信息安全战略是在技术驱使下制订的，信息安全取得成功并不是靠为业务目标有多大的贡献来衡量，而是看它阻止了多少病毒的侵入，以这样的指标来衡量。

　　当然随着越来越多新的监管规则的颁布，更多的关注合规了，但是这方面尽管有所改善，但是任何一个机构内的业务发展都必须要对它业务目标本身做出贡献，对信息安全战略来说是一样的。为了能够实现信息安全战略与业务目标更好的结合，我们专家理事指出了如下意见：要想制订执行更好的信息安全战略，首先信息安全从业者要普遍意识形态，他们应该说YES，这样才能有正确的思想意识，为了实现这一点他们还需要理解和思考业务，这样才能识别和把握住发展的机遇，能够对业务进行增值。为了实现这一点他们必须要构建联系关系，赢得机会，他们必须要变成能掌握风险预报的专家，这样才能制订与业务目标更契合的战略，他们也应该做一个可重新的流程，从而为高管保留更多的战略思考的时间。

　　为什么与业务目标挂钩这么重要呢？因为今天的公司面临巨大的挑战，他们必须要以低廉的成本高效实现业务目标进行创新，同时能合规，满足监管的要求。这点在当今的金融环境下其实是更佳真实的。要与业务目标更好的挂钩就意味着公司不应该再盲目的遵从监管机构的要求，信息高管应该与业务高管密切合作，应该理解信息安全的要求，并且在应对监管要求的同时信息安全从业人员应该从全球角度出发更好的看待业务，更宏观的考虑业务目标。为了能够与商业目标更好的契合一个成功的信息安全管理战略应该采取以信息为核心，应该首先识别和关注对一个公司业务来说至关重要的焦点敏感信息。举个例子来说：

　　比如说零售行业电子商务就需要汇款、直邮、客户处理等等流程，这样的例子中关键信息就是客户的个人识别信息，包括姓名、地址、信用卡号码等等，一旦这些关键信息或者交易内容被明确识别了，这些交易信息所经过的路径就必须得到严密的监控，理解这些信息在哪一些路径上会被使用？漏洞存在在哪里？什么人会利用这些漏洞，从而更好的规避公司的信息风险。这是一项非常复杂的任务，需要各种各样的工具，比如数据分类，信息监控等等，这些分类能够帮助从业者识别敏感信息，如果他们实现完整这项复杂任务就能顺便实现监管的要求。但是他们在开展工作中重点关注的应该是业务和信息本身。

　　首先信息安全管理的策略要求信息安全投资应该基于以下几个要素决定，比如说相关业务活动招致的信息风险有多大，妥善处理为业务带来多大的贡献？也要跟公司风险的偏好要匹配。在这儿首先要关注几个要素之间的相互关系。比如说漏洞、概率性、和后果的严重性，首先要看看存在那些威胁和漏洞，这些漏洞可被利用性多大？概率多少？一旦发生带来的后果有多严重？理想概率中风险与回报应该是基于实际数字决定的，但是现实生活中却没有这么简单。我们专家小组的一位专家他把各种各样环境发生的威胁按照重要程度列在了这张表上，这张图表中Y轴代表事件发生的可能性从最不可能发生的到最可能发生的；X轴代表威胁事件一旦发生带来的威胁有多大？从最无关紧要的到灾难性。在这个图表中逐渐分层的结构告诉大家，在大的公司机构中每一个层面的风险应该由每一层的领导管理进行决策，尽管没有统计数据但是这个模型也是非常有效的。关键在于采取标准的方式在全机构、全公司角度看待风险，并且要前后持续连贯的应用这种模型。一旦明确了这些关键风险和可接受的风险程度，从业者就要构建一个全面的信息安全框架，使得可以运用这些信息风险的措施，如果没有一个这样全面信息管理的框架，信息控制措施就会失败。