信息安全制度化3I模型

謝宗曉　林潤輝（南開大學商學院）

?

信息安全制度化3I模型

謝宗曉林潤輝
（南開大學商學院）

摘要：企業如何滿足國家監管要求（即滿足內外合規）成為近幾年的研究熱點，也是企業在實踐中面臨的現實問題。本文通過對新制度理論以及信息安全的相關文獻梳理，提出信息安全制度化3I（識別、履行和內化）模型。

關鍵詞：信息安全制度化合法化

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文42篇，出版專著12本。

謝宗曉　博士

信息安全管理系列之十七

信息安全是強監管環境，企業如何滿足內外合規是實踐中面臨的難題之一。越來越多的企業通過部署ISO/IEC 27001：2013等最佳實踐來滿足內外合規（獲取信息安全合法性），并由此實現制度化（或合法化）的過程，下文將這一過程高度概念化為信息安全制度化3I模型。

謝宗曉（特約編輯）

1　信息安全制度化的概念

解決信息安全問題主要通過兩種途徑：通過部署安全類IT系統，或者發布信息安全制度加強管理。很長時間以來，信息安全業界都存在“重技術，輕管理”的錯誤認識，到現在，業界至少形成了這樣一個共識：單純的技術幾乎不能解決任何問題。

制度化（institutionalization）是一個廣義的概念，在現有的英文文獻中，無論是場域（field）層次的“體制化”，還是組織層次的“合法化”，都統稱為制度化。首先，這不符合中文語境，在漢語中，我們并不習慣用一個詞匯包括不同的層次。宏觀的制度化，實際上平時我們理解為“體制化”，只有在微觀層次，我們才習慣用“制度化”詞匯。這種情形在信息安全領域中也存在，例如，在GB/T 22080—2008/ISO/IEC 27001：2005中，policy，在指戰略性問題時，如整體的信息安全方向或目標，翻譯為“方針”，在指細節問題時，如防火墻的配置等，翻譯為“策略”。在GB/T 23694—2013/ISO Guide 73：2009中，policy則被翻譯為更本土化的“政策”。其次，從微觀的角度觀察組織行為，對制度化/體制化與制度化/合法化進行恰當的區分不但必要，甚至不可或缺，如圖1所示。

圖1　宏觀/微觀視角下的制度化

值得指出的是，制度具有合法化功能。組織與個體一個重要的不同之處在于，個體自誕生開始，就具備某種形式的天然的合法性，組織卻沒有。或者說，剝奪個體生命需要強理由，但是組織恰好相反，其存在需要強理由。

高績效與合法性是使組織得以存在的重要原因。那么，什么樣的組織是合法的？這就取決于組織所面臨的制度環境。組織內部制度必須適應其外部制度環境，否則就失去了其存在的基礎，此時，組織調整內部結構的過程絕對不是或不僅僅是追求效率，而是為了使組織合法或“看起來合法”。在追求合法性的過程中，就產生了“合法化”。從這個角度講，宏觀層次的制度化與體制化同義，而微觀層次的制度化則與合法化同義。在本文的討論中，尤其是以部署信息安全管理體系（Information Security Management System，ISMS）和信息系統安全等級保護為例，“制度化”與“合法化”是同義詞。

2　基于NIST風險管理層級的3I模型

風險在信息安全中有重要的位置，甚至可以說，信息安全圍繞風險展開。幾乎在所有的信息安全標準中，風險評估都作為基礎性手段而存在。NIST （National Institute of Standards and Technology）1）NIST，美國國家標準與技術研究院，http://www.nist.gov/.發布的所有信息安全標準基本依據風險管理層級展開，并定義為“風險管理框架（Risk Management Framework，RMF）”，RMF不但在NIST發布的標準中頻繁出現，在其他文獻中引用率也很高，甚至被稱為“NIST Approach （NIST方法）”。

風險管理層級在NIST SP800-392）NIST SP800-39, Managing Information Security Risk Organization, Mission, and Information System View.2011.http://csrc.nist.gov/publications/PubsSPs.html.中定義，一經發布，便成為信息安全業界最為重要的框架模型之一。風險管理層級在任務分解上設計了從治理層到管理層，最后到控制層的清晰邏輯，具體如圖2所示。

圖2　NIST風險管理層級框架圖

雖然“治理”和“管理”在管理學情境中具有不同的含義[1]，但是在本文中，我們不再單獨區分，而是籠統地描述為信息安全管理。在信息安全領域，多數文獻大多也遵循了這樣的慣例，例如，ISO/IEC 27014：2013一般被列入信息安全管理體系標準族（ISO/IEC 27000標準族）中。

在已有的文獻的基礎上，尤其是Kostova & Roth[2]根據內外部合法性提出了制度化（或合法化）的兩個過程3）原文在描述implementation與internalization時，用的是兩個維度，高度概念化的最佳實踐認證過程（例如ISO 9000）存在明確的先后順序，當然實施過程不見得能區分得非常清楚。：履行（Implementation）與內化（Internalization）。但是這兩個過程并沒有覆蓋組織制度化的所有過程，因此，我們在此基礎上加上另一個過程：識別（Identification），形成信息安全制度化的3I模型（Identification，Implementation，Internalization），3I模型如圖3所示。

圖3　信息安全制度化的3I（1+2）模型

“履行”是指組織對于自身合法性的外部表達，“內化”是指內部制度的真正付諸實施。在實踐中，最常見的外部表達方式就是設計滿足監管制度要求的內部制度，例如，在ISO/IEC 27001：2013中要求組織必須有信息安全協調機構，其外在的表達方式就是正式公布的相關文件，而組織按照正式公布的文件建立信息安全協調機構的過程就是內化。可見，站在組織的視角，履行的過程更關注內外部制度的一致性，內化的過程更偏重制度的實施。

“識別”是指組織選擇合法性的路線，并據此確定部署的環境的全過程。例如，國內的組織在選擇信息安全解決方案時，面臨兩種廣泛應用的最佳實踐：以ISO/IEC 27001：2013為代表的ISMS和信息系統安全等級保護。在確定整體戰略4）這種選擇，一般認為是戰略性選擇。例如，在GB/T 22080—2008/ISO/IEC 27001：2005的總則（pp.4）中很明確地指出“采用（adoption）ISMS應當是組織的一項戰略性決策”。之后，無論采用哪一種實踐，組織都要識別組織的情境（context），并進行信息安全風險評估，以確定組織的安全要求（requirement）。

相對而言，履行與內化的兩個過程聯系更為緊密，且存在更多的交叉，識別過程則相對獨立，因此我們稱3I模型為（1+2）的過程，并沒有呈現完全并列的關系。在下文中的圖4顯示了這三者相互關系的不同。

3　信息安全制度化3I模型應用實例

詳細的ISMS部署過程，請見參考文獻[3]和[4]，本文中不再詳細討論。圖4給出了以ISMS部署為例與信息安全制度化3I模型進行了對應。其中，合規性的選擇過程和信息安全風險評估過程都可以列入“識別”，ISMS的體系設計過程和文件編寫過程，可以列入“履行”，這個階段主要關注從標準要求到組織內部制度，試運行的過程以及持續改進可以列入“內化”，這個階段主要關注內部制度的落地。

圖4　以ISMS為例的3I模型應用

事實上，在實踐中，信息安全制度化3I模型中的識別過程也有更高的通用性，例如，組織在部署信息安全的過程中，無論是選擇以ISO/IEC 27001：2013為代表的ISMS還是信息系統安全等級保護,都要有信息安全風險評估的過程。與圖4進行對比，圖5給出了以信息系統等級保護為示例的信息安全制度化3I模型。

圖5　以信息系統安全等級保護為例的3I模型應用

4　小結

3I模型是信息安全制度化的概念模型，主要針對為獲取信息安全合法性而進行的制度化過程。雖然提出的情境主要起源于ISO/IEC 27001：2013的部署和認證，但是信息安全制度化3I模型依然具有一定的普適性。限于篇幅，我們在后續的文章中會繼續以ISMS為例分析更詳細的過程。

參考文獻

[1]謝宗曉，周常寶.信息安全治理及其標準介紹[J].中國標準導報，2015（10）：38-40，45.

[2]Kostova T, Roth K.Adoption of an organizational practice by subsidiaries of multinational corporations: institutional and relational effects [J].Academy of Management Journal, 2002, 45（1）：215-233.

[3]謝宗曉.政府部門信息安全管理基本要求理解與實施[M].北京：中國標準出版社，2014.

[4]謝宗曉.信息安全管理體系實施指南[M].北京：中國標準出版社，2012.

Information Security Institutionalization 3I Model

Xie Zongxiao, Lin Runhui
( Business School, Nankai University )

Abstract:How to react to regulatory requirements (that is, to meet internal and external compliance) has become a hotspot in recent years.Based on neo-institutional theory and information security literature, information security institutionalization 3I model (Identifi cation, Implementation and Internalization) is proposed.

Key words:information security, institutionalization, legitimation