基于ISO/IEC 27001:2013的集團(tuán)企業(yè)信息安全管控設(shè)計(jì)

李心陽（神華天津煤炭碼頭有限責(zé)任公司信息中心）　謝宗曉（南開大學(xué)商學(xué)院）

基于ISO/IEC 27001:2013的集團(tuán)企業(yè)信息安全管控設(shè)計(jì)

李心陽（神華天津煤炭碼頭有限責(zé)任公司信息中心）謝宗曉（南開大學(xué)商學(xué)院）

本文設(shè)計(jì)了一個(gè)大型集團(tuán)企業(yè)的信息安全管控模式，該模式以ISO/IEC 27001:2013為基礎(chǔ)，建立了一個(gè)四級(jí)文件架構(gòu)的信息安全管理體系（ISMS）。本文可以為大型集團(tuán)企業(yè)部署信息安全管理體系（ISMS）提供指導(dǎo)。

信息安全集團(tuán)管控治理ISO/IEC 27001: 2013

ISO/IEC 27001:2013是全球應(yīng)用最廣泛的信息安全管理標(biāo)準(zhǔn)之一，其2005年版本被等同采用為GB/T 22080—2008。該標(biāo)準(zhǔn)適用于所有的組織，致力于幫助組織建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系（Information Security Management System, ISMS）。以該標(biāo)準(zhǔn)為基礎(chǔ)的ISO/IEC 27000標(biāo)準(zhǔn)族共包括了從ISO/IEC 27000到ISO/IEC 27059的60個(gè)標(biāo)準(zhǔn)，幾乎囊括了信息安全的方方面面。

但是，ISO/IEC 27001:2013主要關(guān)注單個(gè)組織的信息安全，對(duì)于大型集團(tuán)企業(yè)并沒有單獨(dú)的版本或提出額外的實(shí)施指南。對(duì)于集團(tuán)企業(yè)而言，最首要的問題恰恰是治理層的問題，而不是管理層問題。本文基于ISO/IEC 27001:2013以及實(shí)踐中所積累的經(jīng)驗(yàn)，對(duì)大型集團(tuán)公司信息安全的管控模式進(jìn)行了初步的探討。

一、文件化的信息安全管理體系的原則

文件化是有效溝通方式的一種，尤其是在一對(duì)多的模式中。在中小企業(yè)，文件溝通不見得是最好的方式，當(dāng)面溝通可能更有效。但是在大型集團(tuán)企業(yè)中，甚至一國(guó)政府，當(dāng)面溝通不但低效，而且存在諸多弊端，例如，信息傳遞過程中的失真。幾乎所有的大型組織最終都會(huì)選擇文件作為主要的溝通載體之一，由此便導(dǎo)致了“文山會(huì)海”的弊端。因此，對(duì)于文件化的信息安全管理體系設(shè)計(jì)應(yīng)該遵循以下兩個(gè)原則：

（一）按照組織的最小需求設(shè)計(jì)文件，降低文件數(shù)目

制度是一個(gè)廣泛的概念，其中包括了明確的或隱含的規(guī)則，實(shí)際上對(duì)于制度而言，表現(xiàn)形式是最次要的一部分。在實(shí)踐中，更表現(xiàn)出了這樣的特點(diǎn)，許多法律法規(guī)文件可能效力遠(yuǎn)不如某些潛規(guī)則。

組織追求龐大的文件體系，原因可能有很多。例如，主管部門為了追求“盡職，免責(zé)”。由于立法、執(zhí)法和監(jiān)督部門往往都是分離的1毫無疑問，職責(zé)分離是利大于弊的。關(guān)于這一點(diǎn)在ISO/IEC 27001:2013附錄A中也有類似的要求。我們?cè)诖擞懻摰哪康牟皇欠穸氊?zé)分離，而是更大化的發(fā)揮其作用。，組織內(nèi)部不免會(huì)陷入相互推諉。信息安全事件發(fā)生后，負(fù)責(zé)執(zhí)行的部門往往會(huì)歸結(jié)為由于缺乏相應(yīng)的立法，導(dǎo)致“無法可依”。在這種情況下，立法部門往往會(huì)盡量設(shè)計(jì)更全面的制度。但立法部門最關(guān)注的不是制度的可實(shí)施性，換句話說，他們最關(guān)心的是“有法可依”，而不是“有法必依”。

國(guó)家的法律雖然繁雜，但是有專業(yè)的律師提供服務(wù)，普通人不需要了解其中的細(xì)節(jié)。但是一個(gè)組織的制度則不同，組織內(nèi)部不可能提供類似律師一樣的專業(yè)服務(wù)。每一個(gè)制度，原則上員工都需要了解。顯然，員工不可能花太多的精力去學(xué)習(xí)更多的文件。所以，過多龐大的制度體系不但不會(huì)提升組織的正規(guī)化，反而使組織落入“制度在墻”的尷尬境界。

（二）可以由上級(jí)統(tǒng)一文件化的，下面不再文件化

許多制度的關(guān)鍵點(diǎn)不在于好或壞，而在于能夠被統(tǒng)一的執(zhí)行，例如，左側(cè)行駛或者右側(cè)行駛，沒有本質(zhì)的區(qū)別，重要的是，在特定的范圍內(nèi)能夠被統(tǒng)一的，無差別的執(zhí)行。組織內(nèi)部的制度也遵循同樣的道理。

在大型集團(tuán)企業(yè)內(nèi)，如果某個(gè)制度能夠被統(tǒng)一，應(yīng)該盡量由上級(jí)統(tǒng)一文件化，下級(jí)機(jī)構(gòu)可以據(jù)此執(zhí)行，或者適當(dāng)修改后執(zhí)行。這樣做的目的是形成統(tǒng)一的規(guī)則，降低不確定性帶來的成本。

綜上所述，以上兩個(gè)原則應(yīng)該貫穿信息安全管理制度文件架構(gòu)的始終，即（1）只在必要的時(shí)候才單獨(dú)成文；（2）盡量在全集團(tuán)內(nèi)設(shè)計(jì)推行統(tǒng)一的制度文件。

二、集團(tuán)企業(yè)信息安全管控模式設(shè)計(jì)

大型集團(tuán)企業(yè)的整體管控模式，按照母子公司的集權(quán)分權(quán)程度，可以劃分為財(cái)務(wù)管控、戰(zhàn)略管控和運(yùn)營(yíng)管控三種。信息安全管控模式首先要適應(yīng)整體的集團(tuán)管控模式，如上所述，ISO/IEC 27001:2013默認(rèn)部署的范圍是一個(gè)組織或者組織的一部分，并沒有考慮集團(tuán)企業(yè)的情況。集團(tuán)企業(yè)往往是由諸多獨(dú)立運(yùn)營(yíng)的公司所組成，這就關(guān)系到管控問題，信息安全管控模式的本質(zhì)是信息安全管理制度的頂層設(shè)計(jì)。

我們以大都控股集團(tuán)2關(guān)于虛擬案例大都集團(tuán)的詳細(xì)介紹，請(qǐng)參考《信息安全管理體系實(shí)施案例》，見參考文獻(xiàn)。的組織結(jié)構(gòu)為例設(shè)計(jì)管控模式，大都控股集團(tuán)的組織機(jī)構(gòu)如圖1所示。

圖1　大都控股集團(tuán)組織結(jié)構(gòu)

根據(jù)《信息安全管理體系實(shí)施指南》的文件架構(gòu)設(shè)計(jì)，我們將大都控股集團(tuán)的文件分為四級(jí)，其介紹如表1所示。

表1　大都集團(tuán)文件體系

按照這個(gè)管控模式對(duì)應(yīng)之后的文件體系，示例如圖2所示。

圖2　大都控股集團(tuán)文件體系

三、結(jié)語

雖然ISO/IEC 27001:2013強(qiáng)調(diào)了適用于所有的組織，但是并沒有專門對(duì)大型集團(tuán)企業(yè)或小型組織3國(guó)際標(biāo)準(zhǔn)化組織的官方網(wǎng)站（www.iso.org）在2010年提供了小型組織裁剪使用ISO/IEC 27001的指南，標(biāo)題為：ISO/IEC 27001 for Small Businesses - Practical advice，購(gòu)買該手冊(cè)的地址為：http://www.iso.org/iso/home/store/publication_item.htm?pid=PUB100255.做相應(yīng)的指導(dǎo)，本文針對(duì)這種不足，設(shè)計(jì)了一種適合大型集團(tuán)企業(yè)的信息安全管控模式，保留了實(shí)踐中較為通用的ISO/IEC 27001:2013的四級(jí)文件架構(gòu)，但是按照集團(tuán)企業(yè)的母子公司進(jìn)行了重新劃分，使得一級(jí)文件與二級(jí)文件“對(duì)事不對(duì)人”，三級(jí)文件“對(duì)事也對(duì)人”，但盡量保證“一個(gè)角色，一件事，只對(duì)應(yīng)一個(gè)文件”，從而降低了員工閱讀文件的負(fù)擔(dān)，最大限度的避免了文件與實(shí)際執(zhí)行存在的“兩層皮”現(xiàn)象，提高了文件的可實(shí)施性。

[1] ISO/IEC 27001:2013 Information Security Management System Requirement.

[2] 謝宗曉，鞏慶志. ISO/IEC 27001:2013標(biāo)準(zhǔn)解讀及改版分析[M]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2014.

[3] 謝宗曉，《政府部門信息安全管理基本要求》理解與實(shí)施[M]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2014.

[4] 謝宗曉，信息安全管理體系實(shí)施案例[M]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2012.

[5] 謝宗曉，信息安全管理體系實(shí)施指南[M]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2012.

Design of Information Security Management and Control for Group Enterprises Based on ISO/IEC 27001:2013

Li Xin-yang ( Information Center ShenHua TianJin Coal Terminal. LTD ) Xie Zong-xiao ( Business School, Nankai University )

Design an information security management and control model for group enterprises, which based on ISO/ IEC 27001:2013 and constructed information security management system (ISMS) with 4 document levels. It can provide guidance for developing ISMS in group enterprises.

information security, group enterprises management and control, governance, ISO/IEC 27001: 2013