隨著企業(yè)信息化建設的不斷發(fā)展和升級，信息系統(tǒng)也越來越復雜，與企業(yè)的之間的利益聯(lián)系也越來越緊密。如何進行有效治理，也成為企業(yè)信息化建設實現(xiàn)利益最大化的重要途徑。

中培偉業(yè)《企業(yè)信息化審計與治理管控 IT4IT》培訓專家張老師表示，信息作為企業(yè)最有價值和最主要的資產，其安全保護面臨巨大挑戰(zhàn)。董事會和高管層的責任在于保護投資者的利益，有責任保護信息的安全。

信息安全問題一直是政府管制的重點，政府和監(jiān)管機構出臺了很多有關信息安全的法規(guī)、條例，以后一定會是越來越多。并且，政府和監(jiān)管機構在這些法規(guī)條例的執(zhí)行上會越來越嚴格。

信息安全經常被作為一個單純的技術或管理問題，但是，現(xiàn)在它已經是一個公司治理問題，是一個涉及到政府部門、監(jiān)管機構、外部審計、技術服務提供商、董事會與管理層等所有利益相關者相互關系的治理問題。

張老師認為，信息安全問題的解決必須依賴于治理，因為實踐證明，僅僅依靠政府監(jiān)管和CIO及信息安全部不能完全解決信息安全問題，必須有董事會和高管層的關注，而SOX法案通過302404等條款將信息安全上升為法律的高度。

但是，就信息安全和組織治理本身，我國政府部門和企事業(yè)業(yè)單位目前尚處在初級階段，相關體制、機制及領導層觀念都亟待轉變。理論界只有ITGov中國IT治理研究中心在研究界定信息安全治理的基本理論框架，特別是信息安全、內部控制和組織治理、文化治理之間的關系；信息安全治理與信息安全技術、信息安全管理的聯(lián)系與區(qū)別；信息安全治理與文化治理、組織治理、IT治理的有機整合。

在改善信息安全治理狀況方面，發(fā)達國家先進企業(yè)已取得共識，要重視管理和制度安排。突出表現(xiàn)在領導層認識到信息安全問題從合規(guī)的角度看，不能是政府強制下的被動適應，而要從戰(zhàn)略角度出發(fā)，管理層參與，變被動合規(guī)為主動合規(guī)，將合法合規(guī)轉換為戰(zhàn)略競爭優(yōu)勢，進而為企業(yè)創(chuàng)造戰(zhàn)略競爭機會。

對于IT治理在當前的發(fā)展，王老師指出，當前最迫切的是需要一個與組織治理、文化治理相一致的信息安全治理的機制和框架。組織僅僅通過應用最新的工具和技術來解決所面臨的信息安全問題是遠遠不夠的。因為信息安全問題變得越來越復雜，并且很少僅用一種技術來解決。大多數安全問題深深的植根于多個組織分支和業(yè)務流程中。當前所用的大多數方法都是“自下而上”的、“補丁式”的、操作層面的，較少考慮治理層面需要、組織戰(zhàn)略目標、業(yè)務流程風險管控目標及合規(guī)問題。