信息安全制度落地中的治理問題探討

謝宗曉（南開大學(xué)商學(xué)院）

甄杰（重慶工商大學(xué)商務(wù)策劃學(xué)院）

信息安全制度落地中的治理問題探討

謝宗曉（南開大學(xué)商學(xué)院）

甄杰（重慶工商大學(xué)商務(wù)策劃學(xué)院）

信息安全制度不能落地的原因有很多，其中一部分要歸結(jié)到治理層。本文對影響制度落地的信息安全治理問題，尤其是治理結(jié)構(gòu)，進行了初步探討，并根據(jù)實踐的觀察，將其分為3種類型。

治理 信息安全 信息安全制度/策略

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文55篇，出版專著12本。

信息安全管理系列之二十

在信息安全制度的落地過程中，存在一些管理上難于解決的問題，這往往是由于未能理順治理結(jié)構(gòu)。一般而言，在一個組織中，高層存在的頑疾，試圖通過底層的“倒逼”去解決比較困難，即使成功也“事倍功半”。本文在信息安全管理系列之十八的基礎(chǔ)上，從治理的角度討論如何促進信息安全制度的落地。

謝宗曉（特約編輯）

一般而言，在底層執(zhí)行中存在的不可調(diào)和的沖突，往往是由于高層設(shè)計中出現(xiàn)了問題。ISO/IEC 27014：2013《信息技術(shù) 安全技術(shù) 信息安全治理》將信息安全治理定義為“指導(dǎo)和控制組織信息安全活動的體系”，并明確地指出“在信息安全方面，治理者的關(guān)鍵聚焦點是確保組織的信息安全方法是有效率的、有效果的、可接受的，與業(yè)務(wù)目的和戰(zhàn)略是一致的，并充分考慮到利益相關(guān)者的期望”[1]。

信息安全治理的主要目的有：1）使信息安全目的和戰(zhàn)略與業(yè)務(wù)目的和戰(zhàn)略一致（戰(zhàn)略一致）；2）為治理者和利益相關(guān)者帶來價值（價值提供）；3）確保信息風(fēng)險得到充分解決（責(zé)任承擔(dān)）。

李維安等認為公司治理的目標(biāo)不但要實現(xiàn)利益相關(guān)者之間相互制衡，而且要實現(xiàn)公司決策的科學(xué)化[2]。對比公司治理的目標(biāo)，可見信息安全治理實際就是公司治理在信息安全情境中的細化。

1 關(guān)于信息治理結(jié)構(gòu)

治理結(jié)構(gòu)的設(shè)計是信息安全治理的基本問題之一[3]。在公司治理領(lǐng)域，一般認為治理結(jié)構(gòu)包括了董事會及高層管理的相關(guān)設(shè)計，處于組織內(nèi)外的交界處。在信息安全實踐中，治理結(jié)構(gòu)更多地體現(xiàn)為信息安全的分管結(jié)構(gòu)。

基于實踐觀察，我們按照信息安全與IT之間的關(guān)系，對常見的分管結(jié)構(gòu)進行了初步的分析，主要分為3種：治理結(jié)構(gòu)Ⅰ型（分開分管）、治理結(jié)構(gòu)Ⅱ型（統(tǒng)一分管）和治理結(jié)構(gòu)Ⅲ型（統(tǒng)一管理）。

必須強調(diào)的是，這3種治理結(jié)構(gòu)沒有絕對的好與壞，重點在于治理結(jié)構(gòu)與組織戰(zhàn)略是否匹配。例如，某企業(yè)中，信息安全與信息化的分管領(lǐng)導(dǎo)不是同一個高管，導(dǎo)致的后果必然是信息安全部門公布的所有制度都“從嚴”，但是如果該企業(yè)的主營業(yè)務(wù)是典型的乙方性質(zhì)，那么該企業(yè)在分管結(jié)構(gòu)上與公司戰(zhàn)略是否匹配則有待商榷。

1.1 信息安全治理結(jié)構(gòu)Ⅰ型（分開分管）

越來越多的組織試圖將首席信息官（Chief Information Officer，CIO）與首席安全官（Chief Security Officer，CSO）分離，設(shè)計成與審計類似的架構(gòu)。信息安全治理結(jié)構(gòu)Ⅰ型（分開分管）指的是信息安全與IT分屬不同的高層管理，如圖1所示。

圖1 信息安全治理結(jié)構(gòu)Ⅰ型（分開分管）

這種結(jié)構(gòu)強調(diào)了信息安全的重要性，尤其是對IT部門形成了制約，這是優(yōu)點。但缺點是容易導(dǎo)致?lián)p失便利性考慮。分離之后的信息安全部門往往顯得行動偏激，甚至?xí)蓴_正常業(yè)務(wù)運轉(zhuǎn)。一個部門一旦獨立，為了爭取部門權(quán)益或存在合法性，必然最大化利用手中的權(quán)力，這在組織研究領(lǐng)域中已經(jīng)有較為充分的研究。

在很多情況下，如果強調(diào)一件事的重要性，建立獨立的組織并招募一批以此為生的員工，為爭取生存，他們自然會最大化地強調(diào)這件事的重要性。更通俗的例子是，城管隊員可能會逐步表現(xiàn)出城市高層管理并不期望的偏激行為，例如，毆打小商小販，這不是管理技巧的討論范疇，而是一個治理層問題，因為在制度的頂層設(shè)計中，城管隊員與小商小販在生存權(quán)問題上存在根本的沖突。幾乎同樣的邏輯也會發(fā)生在信息安全情境中。

此外，根據(jù)認知失調(diào)理論（Cognitive Dissonance），我們得知在個體認知層面討論這種沖突亦無濟于事，因為沖突中的每一方往往都認為自己是正義的，否則就不會發(fā)生公開的沖突。個體認知只有在匯聚起來的時候，才能夠形成合法性，并由此改變社會結(jié)構(gòu)。如果缺乏足夠的人群，個體認知不會改變整體組織架構(gòu)，而是呈現(xiàn)了相反的影響路徑。通俗地講，在改變不了自身狀態(tài)的情況下，個體一般會選擇改變認知，因為改變認知結(jié)構(gòu)比改變社會結(jié)構(gòu)要容易得多。

1.2 信息安全治理結(jié)構(gòu)Ⅱ型（統(tǒng)一分管）

信息安全治理結(jié)構(gòu)Ⅱ型（統(tǒng)一分管）指信息安全與IT是不同的獨立部門，但是歸屬同一個高管分管。具體如圖2所示。

圖2 信息安全治理結(jié)構(gòu)Ⅱ型（統(tǒng)一分管）

這種結(jié)構(gòu)的缺點很明顯，由于信息安全和IT部門同屬一個分管領(lǐng)導(dǎo)，信息安全對信息系統(tǒng)管理的監(jiān)督作用有限，當(dāng)然這種做法的優(yōu)點同治理結(jié)構(gòu)Ⅰ型（分開分管）一樣，也會形成一定的制約，這種制約更多地體現(xiàn)為對其他部門。但是在實踐中，信息安全雖然是廣義的，包括了各種形式存在信息，例如，存在信息系統(tǒng)中的信息，打印在紙上的信息，直至員工大腦中的知識，即便如此，信息系統(tǒng)安全毫無疑問是其中最重要的部分。從這個角度講，治理結(jié)構(gòu)Ⅱ型（統(tǒng)一分管）并不適合信息安全非常重要的組織。

治理結(jié)構(gòu)Ⅱ型（統(tǒng)一分管）更容易在“便利性”與“安全性”之間達到平衡，越來越多的組織開始采用這種治理結(jié)構(gòu)。

1.3 信息安全治理結(jié)構(gòu)Ⅲ型（統(tǒng)一管理）

在信息安全治理結(jié)構(gòu)Ⅲ型（統(tǒng)一管理）中，信息安全還是作為IT部門中的一個部門，如圖3所示。

圖3 信息安全治理結(jié)構(gòu)Ⅲ型（統(tǒng)一管理）

治理結(jié)構(gòu)Ⅲ型（統(tǒng)一管理）是目前最常見的形式，由于信息安全只是IT部門的其中一個部門負責(zé)，也就是說，信息安全對IT運維等很難形成制約，更多的作用是對其他部門的管理，很難避免“監(jiān)守自盜”的問題。信息安全在治理結(jié)構(gòu)Ⅲ型（統(tǒng)一管理）中尚未上升到治理層次，僅僅在管理層中討論。

2 小結(jié)

信息安全治理在組織的治理者、執(zhí)行管理者和那些負責(zé)實現(xiàn)與運行信息安全管理體系者之間提供了強有力的紐帶。ISO/IEC 27014：2013提出了一個“評價”“指導(dǎo)”“監(jiān)視”和“溝通”過程來治理信息安全。這個過程主要針對信息安全管理體系（Information Security Management System，ISMS）的實施[4]，顯然也可以推廣到通過其他體系的部署信息安全的組織。本文的目的就是提出更一般性的討論。

[1]ISO/IEC 27014：2013 Information technology—Security techniques—Governance of information security

[2]李維安，林潤輝，范建紅，等. 網(wǎng)絡(luò)治理研究前沿與述評[J]. 南開管理評論，2014（05）：42-53.

[3]謝宗曉，周常寶. 信息安全治理及其標(biāo)準介紹[J]. 中國標(biāo)準導(dǎo)報，2015（10）：38-40，45.

[4]林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標(biāo)準出版社，2015.

Discuss of Governance Aspects in Information Security Policies Implementation

Xie Zongxiao ( Business School, Nankai University )
Zhen Jie ( School of Business Planning, Chongqing Technology and Business University )

Information security policy can not implement for many reasons, some of which comes down to governance. The paper discussed information security governance, particularly governance structure, which affect information security policies compliance. In addition, based on practical observations, we divided it into 3 types.

governance, information security, information security policies