信息安全管理系列之七信息安全管理制度編寫的要點

權貞惠（中國人民銀行哈爾濱中心支行） 謝宗曉（南開大學 商學院）

1 選擇合適的語言風格

一個組織在長期的運轉過程中，一般都形成了獨特的工作語言，凡是經常溝通的人群，都容易形成語言風格，大到方言的產生，小到朋友圈子的幽默方式。這些語言風格一旦形成，便具有很大的慣性，哪怕這種語言風格是不實用甚至不合理的。為了減少制度的推廣阻力，或者為了提高制度的界面友好性，信息安全制度編寫的語言風格必須要建立在考慮組織文化的基礎上。目前通用的制度語言風格可以分為：“標準式語言風格”和“規章式語言風格”。

標準式語言風格一般用中性的學術化語言提出要求或描述過程，實際上，國內標準基本與英文原版保持了一致，即使沒有與之對應的英文標準，新開發的標準也沿用了這種風格。例如GB/T 22080—2008/ISO/IEC 27001：2005中“按照組織的需要實施ISMS 是本標準所期望的，例如，簡單的情況可采用簡單的ISMS解決方案。”這就是典型的標準式語言風格。

在標準式語言風格中，助動詞有很大的作用，對不同的助動詞需要認真體會其區別，在GB/T 1.1—2009《標準化工作導則 第1部分：標準的結構和編寫》中專門規定了助動詞的適用規范，如表1所示。

表1 GB/T 1.1—2009中助動詞的使用規范

而規章式語言風格則不同，語氣一般較為嚴厲，這種嚴厲的語氣也可以通過助動詞來表述，但與標準式語言風格中略有不同，例如，在規章中，一般沒有“應”詞匯，而一般只用“應當”詞匯。我們以《中華人民共和國保守國家秘密法》為例分析助動詞的用法，如表2所示。

表2 規章式語言風格中的助動詞用法示例

2 選擇合適的文檔格式

文檔的格式雖然遠遠沒有內容重要，但是形式有時候也是很重要的。用規范的、好的展現形式可以給閱讀者以直觀的沖擊力，這類似一個好菜的標準“色香味俱全”中的“色”。

在選擇格式的時候，可以采用GB/T 1.1—2009或GB/T 9704—2012《黨政機關公文格式》。GB/T 1.1—2009（ISO/IEC Directives—Part 2 ：2004，Rules for the structure and drafting of International Standards NEQ1）在《采用國際標準管理辦法》中，第十七條規定，我國標準與國際標準的對應關系除等同、修改外，還包括非等效。非等效不屬于采用國際標準，只表明我國標準與相應國際標準有對應關系。非等效指與相應國際標準在技術內容和文本結構上不同，它們之間的差異沒有被清楚地標明。非等效還包括在我國標準中只保留了少量或者不重要的國際標準條款的情況。非等效（not equivalent）代號為NEQ。適用于大部分企業 ；GB/T 9704—2012（由中國標準化研究院、中共中央辦公廳秘書局、國務院辦公廳秘書局、中國標準出版社起草）適用于中央企業、地方國企或政府單位。組織可以采用GB/T 1.1—2009與GB/T 9704—2012的其中一個，或者修改采用。

3 編寫制度應遵循的原則

3.1 內容要明確，追求可操作性

對單個組織來說，用模糊的語言去描述則應該是盡量避免的。一般的規律是，適用范圍越廣，則描述越模糊、相對；適用范圍越窄，則描述越清晰、絕對。

導致可操作性差的制度可能有兩種情況：（1）制度描述過于模糊，導致空間太大。例如，如果信息安全事件非常嚴重，則要對涉事員工進行嚴肅處理。如果對“非常嚴重”和“嚴肅處理”沒有進行清晰的定義，這句話就留有太多的空間，而導致不可實施。（2）制度描述雖然明確，但是不切實際。例如，風險評估的實施頻率為每季度至少一次，必須覆蓋所有的信息系統。對于信息系統復雜的組織來說，這個要求很難實現，而且必要性也不大。反倒是風險評估所帶來的業務中斷更值得關注。

在制度中盡量避免出現“有關部門”“相關部門”“相關人員”等模糊詞匯，這種詞匯一般是出于制度制定者的“免責”的心態，看似義正言辭，實則言之無物。一個制度，一旦站在“立場正確”的角度對現象進行指責，并強烈呼吁“提高人的××素質”，唯獨缺乏可操作性的措施，注定是失敗的制度。

3.2 術語要規范，前后要統一

無論是否有專門的術語和定義，術語的引用應該盡量與國家標準保持一致，但是有些術語本身沒有統一的規范，或者還沒有國家標準，因此在一篇文檔里至少應該保持統一性。例如，confidentiality，在中文里面有時翻譯成“保密性”，有時翻譯成“機密性”，在日常應用中，經常會發現一篇文檔，“保密性”和“機密性”輪換使用，而作者卻渾然不覺。再如，在以往的翻譯中，information security event 譯為“信息安全事件”，而information security incident譯為“信息安全事故”但是在GB/Z 20985—2007中，將information security event 譯為“信息安全事態”，而information security incident 譯為“信息安全事件”。雖然開始不習慣，但是也必須跟國家標準保持一致。

3.3 用詞力求準確，避免產生可能的歧義

明確是為了防止模棱兩可，準確則是為了防止產生歧義。例如，在GB/T 22080—2008/ISO/IEC 27001：2005部署之前，應分析組織目前情況與標準之間的差距。“差距”一詞，不夠準確，這意味著組織實際的所有方面都沒有標準要求的好，但實際上，某些方面，組織的控制措施可能已經超過了GB/T 22080—2008/ISO/IEC 27001：2005的要求，上句修正為“差異”則比較準確。

在GB/T 1.1—2009的6.3.1.3強調了規范性技術要素的可證實性原則：不論標準的目的如何，標準中應只列入那些能被證實的要求。標準中的要求應定量并使用明確的數值表示，不應僅使用定性的表述，如“足夠堅固”或“適當的強度”等。當然，一個企業的制度不必一定達到GB/T 1.1—2009的要求。

3.4 表述要簡潔，刪除顯而易見的廢話

語言風格力求簡潔、清晰易懂，防止過度解釋和循環解釋。例如，信息安全風險評估指的是評估信息安全的風險的系統化過程。這種解釋就是循環解釋。

語言啰嗦，在“標準式語言”中最為典型。由于英文中多用長句、從句、被動語態等，在翻譯為漢語時，特別容易出現句式啰嗦的毛病，即便如此，對制度而言，只要能表達清楚意思，也是可以的。制度最忌諱的是“大話”和“空話”，在“規章式語言”中最容易出現這種情況，實際上“大話”和“空話”與“廢話”沒有本質的區別，只是不一定“顯而易見”。

如果制度中的某些描述具備下面兩個特點，基本可以斷定為廢話：（1）總是立場正確。例如：所有的員工應當自覺保護組織的資產。該條款立場是正確的，但是沒有實際意義。（2）缺乏可操作性的步驟，將責任推給不可度量的員工行為。例如：員工帶出工作場所的移動計算設備，嚴禁用于與工作無關的內容，并負有對其中存儲內容保密的義務。在該制度條款中，工作場所外的員工行為是很難度量的，該條款的目的是指出這樣的行為是不對的，使違規之后的懲罰有章可循，但即便如此，也很難在違規后果與移動設備違規使用之間建立關聯。能度量和建立關聯的實際是員工對移動設備的硬件保護。

3.5 保持相對穩定，避免過度時效性的陳述

制度一旦發布，就要在一定的時間內保持穩定。再好的制度，一旦朝令夕改也很難起到預想的效果。例如，信息安全風險評估程序，如前文所述，風險評估程序并沒有絕對的好壞，結果也難分對錯，最重要的是確定標準和程序之后持續改進，從而使風險評估結果越來越接近組織的實際情況。如果經常改動信息安全風險評估程序，就會使得每次評估都是重新開始，大大降低了風險評估的客觀性。要想保持制度穩定，首先要避免過度時效性的陳述。

[1]謝宗曉. 信息安全管理體系實施指南[M]. 北京：中國標準出版社，2012.

[2]李心陽，謝宗曉. 基于ISO/IEC 27001:2013的集團企業信息安全管控設計[J]. 中國標準化，2015（01）.