信息安全與保護對組織有絕對的重要性，但無法確保組織運營的成功。從風險管理的角度入手，不但可在信息安全與組織運營的需求中取得平衡，更可加強信息保護，并進一步促使組織達到運營活動的效率與成功。信息在企業運營中一向有著其可觀的價值，然而，信息的價值卻是一直到了最近，才被有能力與有競爭力的企業真正了解及運用。

目前許多企業針對法規遵從、信息與物理安全、隱私權、以及運營及財務風險等，分別建立獨立的部門以達到上述各方面的公司治理。這些獨立的組織個體都能有效的達到其組織目標，然而，由于這些部門各自獨立作業，并屬于不同管理階層，它們可能無法達到企業整體的有效信息風險管理目標，通過這些獨立部門組織的整合，可實現有效的信息風險管理。

為何信息安全如此具挑戰性?

信息安全因為信息技術不斷更新的特性，成為信息處理流程中，最具挑戰性的一環。簡單來說，信息安全所以困難，是因為敵人只需要猜對一次就成功了，而防守的一方則需要每次都對，才得以保住信息安全。然而，信息安全負責人員卻往往被缺乏資金、資源、時間、以及知識而困擾。企業往往期望信息安全負責人能夠在有限的資源與能力下，避免任何可能造成信息架構損壞的風險，每當信息安全負責人創造或導入了一套防止敵人攻擊的控制機制，對手往往會發展出一套更新更有效的攻擊手法，迫使信息安全負責人再發展出更多的其他控制。

職業道德、法律法規、組織士氣、資金匱乏、以及資源的缺口，都無法限制敵人的惡意行為。互聯網的廣泛使用與發展，使得信息安全不法分子有了更方便的平臺，不需要面對面討論，就可集結各方知識，開發出更新的攻擊手法，他們共同產生的研究分享、知識、以及開發能力，遠遠超過了任何企業組織可以單獨達到的境界，而信息安全負責人剩下最有可能遏止敵手的方法，便是運用風險管理的方法以保護信息，以有限的資源與能力，協助企業有效的保護必要與重要的信息。

信息安全現況

目前企業主要的信息安全重點仍是通過技術的使用，以降低其威脅。過去的經驗證明，政策、流程及程序，再輔以技術的應用，比起單獨依靠技術的使用，能夠提供更有效的防護效果。然而，大部分企業通常并未有效實施這些要素，其主要原因在于政策、流程及程序的建立及運作，比起直接采購與安裝一個技術性的控制措施，難度較高，且無法像技術性的控制措施一樣可以立即見到效果，企業普遍缺乏耐心，導致威脅的范圍擴張，并明顯提升了敵人接近與利用企業信息架構的能力。

「僅為法律遵從的安全」是一個非常危險的全球化趨勢，其意思是指，企業將全部的信息保護重點，放在達到政府與產業制定的各項規范上，例如支付卡產業標準(Payment Card Industry (PCI) Standards)、薩班斯法案(Sarbanes-Oxley Act)、歐洲資料保護與隱私權法案(European Data Protection andPrivacy Act)、以及信息披露相關法規等，提供了某種程度上的信息保護引導方針。部分上述標準，例如PCI 標準，提供了企業必須建立特定技術與控制的相關規范，即使這些控制對于該企業沒有實際效用，甚至其與企業本身根本沒有重大關聯。因此，此觀點概念有著極高的風險。它將重點放在組織達到法規遵從上，而并不能了解與降低企業在信息架構上實際面臨的風險與威脅。      

企業面臨的威脅版圖在過去的幾年中已大幅的改變了，信息攻擊社群已將其重點從概念性的驗證及地位追求為目標的攻擊，轉換至高目標導向、高效果、與不引人注意的攻擊為主，這意味著過去用來保護信息與信息架構的傳統智能、技術控制框架、以及方法與實務操作，已經無法有效的保護信息安全。因此，企業必須建立以風險為導向的決策流程與架構，以應對新的挑戰。

信息風險管理 vs. 信息安全

信息風險管理定義組織信息架構的范圍，識別需要保護的信息內容，并依照組織的風險容忍值擬定信息保護的程度，其識別企業的價值、業務沖擊、法規遵從需求、以及組織整體業務策略的一致性。一旦識別出上述相關信息，信息風險管理部門可將此信息呈報給企業領導者，供其在評估為達到適當的信息保護與風險管理時，應投入多少財務及資源的決策參考依據。

在完成信息安全相關投資決策后，信息安全團隊可依照企業領導者的決策，著手落實相關決策。信息安全團隊協助識別威脅、開發及實現控制措施、以及定期監控相關控制的有效性，以確保控制與目標的一致性。此風險管理模型與目前的信息安全狀況的主要差異，在于信息安全團隊的決策權，在風險管理模型中，信息安全團隊在整體企業中，不再擁有定義信息安全及信息架構相關與否的決策權，取而代替的，該團隊負責向企業領導者提供有價值的參考信息，企業領導者依照獲得的信息做出適當的商業決策。這項重大的變化，顯著提升了信息安全團隊的有效性，組織不再將這些團隊成員視為阻礙企業運營的糾察隊，而是幫助企業運營的專門顧問。

信息風險管理的演進

在當今的大多數企業中，信息保護與確認能力等相關項目以不同的形態，存在于不同的流程階段中，相關能力通常可依照功能來區分，其領導者可能命名為首席信息安全官(Chief Information Security Officer, CISO)、隱私官(Chief Privacy Officer, CPO)、物理安全官(Chief Physical Security Officer,CPSO)、以及法規遵從官(Chief ComplianceOfficer, CCPO)等，很不幸，這些職務雖然皆有「官」的頭銜，實質上他們卻沒有領導階層權限，及參與與重大業務戰略或活動的權力，并且各自分別隸屬于不同的領導階層類別，他們也通常獨自運作，僅在必要時有部分交流，與企業策略無關。

這些信息保護機制必須依照現今信息與信息架構所面臨的挑戰而演進。這些機制的演進(圖1)，需要整合這些各自獨立的單位，進而產生一個整體性的業務單位，也就是所謂的信息風險管理計劃。

信息風險管理計劃

信息風險管理計劃可為企業提供一個360 度的全面性信息資產與其所有相關信息架構的風險視圖，此計劃為公司治理模式的演變，主導信息風險管理相關的概念與活動。同時，它將既有負責提供信息保護的獨立領導單位與計劃元素，整合為一個單一的功能組織，由一個統一的領導者帶領，該領導者擁有參與企業的業務活動與戰略決策的權限。

信息風險管理計劃若能有效的導入及運作，可促使組織在風險導向的模式下運營，帶來相對應的企業價值。與其限制企業的運作，信息風險管理計劃提供了更有效果的運營規范，使企業能夠在正常運營的同時，實現信息資產及架構的有效保護。此計劃的概念徹底改變了企業運營的模式，其通過找出方法以促進企業的活動及能力，而非基于察覺到的風險，而限制了企業的商業活動。舉例來說，信息風險管理并不會阻止企業訪問系統與信息，相對的，它會評估出適當的訪問權限，以及適當的訪問時點。過多的信息安全管控機制可能阻礙到企業的運營，而此計劃的目標是使信息資產風險最小化的同時，促使企業的業務活動能達到其運營目標。

組織架構設計的進化

為有效的達到組織風險管理需求，企業的組織架構需要導入一個整合且有效率的管理方法(圖2)。此方法的概念是使企業中的所有風險管理活動皆回報給單一主管 –首席風險官(Chief Risk Officer, CRO)，此風險官為所有風險識別、風險降低、與風險控管等相關活動統一溝通信息匯集的中心，風險官也與高級管理層有定期的互動，向高級管理層提供所有與信息風險有關的企業決策、戰略、與活動的相關信息、指南及方向。