信息安全與組織業務流程結合探討

趙秀堃 謝宗曉（南開大學商學院）

信息安全與組織業務流程結合探討

趙秀堃 謝宗曉（南開大學商學院）

謝宗曉 博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文42篇，出版專著12本。

信息安全管理系列之十八

部署有效益的信息安全，防止為了安全而安全，是信息安全實踐中的重要原則之一。因此，在部署信息安全的過程中，應該將信息安全控制點/流程與組織主營業務結合在一起。此外，從制度落地的角度講，與業務流程的結合可以減輕實施過程中的負擔。下文就如何實現信息安全與業務流程的結合進行了初步的探討。

謝宗曉（特約編輯）

在信息安全實踐中，通過信息安全與業務流程結合是實現“有效益的信息安全”的途徑，更是促進信息安全制度落地的良好途徑，本文總結出校準、整合以及嵌入三種可行的途徑，并結合GB/T 22080—2016/ISO/IEC 27001：2013部署進行了探討。

信息安全 業務流程

1 “便利性”與“安全性”的平衡

在實踐中部署信息安全所面臨的最大困難之一是“便利性”與“安全性”的平衡[1]，或者說，信息系統使用的本質是為了最大化地追求便利，而信息安全問題的出現在一定程度上降低了信息化的效能。

不僅如此，還有很多主營業務相關人員持有更極端的觀點，有些是屬于個體偏見，例如，對信息安全風險感知不足，認為“不可能”，也有一些是因為對管理層不滿所導致的不自覺的抱怨或抵制。在實踐中確實存在不考慮業務實際發布的信息安全制度，在實施過程中導致了“惡法非法”式的大面積違規。

基于組織業務風險幾乎是所有的信息安全標準持續強調的原則之一，例如，GB/T 31722—2015 / ISO/IEC 27005：2008和GB/T 22080—2016 / ISO/IEC 27001：2013等無一例外。這個原則的設定本質是追求“有效益的安全”，防止“為了安全而安全”，但是在實際工作中，不同部門的訴求是不同的，由于分管領導不同，或者更復雜的政治關系，這個原則很難被恰當地執行。例如，對于信息安全部門而言，由于對信息安全負主要責任，必然傾向于“過度安全”，甚至會發布不切實際的制度，從而把責任推卸給其他違規部門。

發布聽起來合理、卻難以執行的制度，不但在信息安全領域存在，在其他領域更是常見問題。在實踐中稱之為“追求免責”的制度。為了防止這種“看起來是盡職盡責，實際是消極怠工”的局勢，頂層的解決方案是改變信息安全治理（governance）結構，具體的解決方案則是促進與業務流程的結合。本文中關注的是后者，項目組與第三方信息安全服務機構通過持續的討論，最后總結出三種信息安全控制措施與業務流程的結合途徑，分別為：校準（align）、整合（integrate）以及嵌入（embed）。

2 校準（align）

校準是指信息安全控制也以流程的形式呈現，且無法通過其他途徑精簡，需要與其最相關的業務流程進行校準，以確保該流程盡量少影響或不會影響業務流程的運轉。此外，新產生的信息安全流程也列入該類，因為之所以新產生，意味著不可被精簡。

流程校準示意如圖1所示。

圖1 流程校準示意圖

例如，在GB/T 22080—2016 / ISO/IEC 27001：2013的附錄A的A.8中，信息資產生命周期管理一般要單獨成文件并附流程[1]，雖然大部分組織都已經存在資產管理的相關文件，但是資產管理更偏重于財務方面，而對于“信息”而言，卻沒有確定的價值，更重要的是從保管角度講，也存在巨大不同，傳統的固定資產面臨的威脅主要來自物理方面的，而信息面臨的威脅則主要來自邏輯方面的。因此，單獨成文的信息資產管理流程要與已有的資產管理流程實現校準。例如，資產估值應該遵守現有的會計制度，整個生命周期在考慮獨特性的前提下，盡量與已有的資產管理周期保持統一。

3 整合（integrate）

整合也是指信息安全控制以流程的形式呈現，這個流程與已有的業務流程各有重點，但是存在程序上或邏輯上的共同之處，可以考慮將兩者或者更多整合成一個流程，從而減少了流程的總體數量，同時降低了執行者的負擔。

流程整合示意如圖2所示。

圖2 流程整合示意圖

整合在信息安全實踐中是常用詞匯，但是一般不是用來討論流程層次的問題，而更多地用于標準架構層次。例如，在GB/T 22080—2008 / ISO/IEC 27001：2005引言中就被提到，其中指出“本標準與GB/T 19001—2000 及GB/T 24001—2004 相結合，以支持與相關管理標準一致的、整合的實施和運行”①注意，該段描述在最新版的GB/T 22080—2016/ ISO/IEC 27001：2013中被刪除了，但意思基本一致，還是強調了與其他管理體系的兼容性。。

整體而言，標準整合已經是大勢所趨，例如，參考文獻[2]介紹了質量管理體系/環境管理體系/職業健康安全管理體系/信息安全管理體系（QMS/ EMS/OHSAS/ISMS）四個標準整合的管理體系設計，并給出了諸多電力企業的案例。再如，參考文獻[3]主要關注ISO/IEC 15504②ISO/IEC 15504是ISO/IEC JCT1 SC7所公布的標準，主要基于“軟件過程改進和能力測定（Software Process Improvement and Capability Determination，SPICE）”項目，這個標準類似于應用廣泛的CMM（Capability Maturity Model for Software）。ISO/IEC 15504 也是一個體系龐大的標準，目前包括了10部分。其中，ISO/IEC JCT1 SC7 是軟件和系統工程委員會（Software and Systems Engineering），SC27 是信息安全分技術委員會。與ISO/IEC 27000標準族的整合應用，其中包括了ISO/IEC 15504-5與ISO/IEC 27002控制措施之間的映射。在后續的介紹中，我們將專門探討體系整合問題。

4 嵌入（embed）

實際上，更多的信息安全控制是以控制點的形式呈現，并不能作為單獨的流程。嵌入主要針對信息安全控制點，是將這些控制點嵌入到現有的業務流程上。具體如圖3所示。

圖3 流程嵌入示意圖

例如，GB/T 22080—2016 / ISO/IEC 27001：2013中“A.14 信息系統開發、獲取和維護”，尤其是信息系統開發過程，不可能脫離軟件開發的一般過程，而是在這個過程中嵌入一系列的安全控制點。

在GB/T 22080—2016 / ISO/IEC 27001：2013的附錄A中，共有14個控制域、35個控制目標和114項控制措施。這14個安全控制域中，除了“A.16信息安全事件管理”和“A.17 業務連續性管理的信息安全方面”存在明確的流程要求，其他安全域則更多是以控制點的形式呈現，例如，“A.7人力資源安全”，在實踐中一般是在人力資源的相關規程中嵌入信息安全審核點。

5 小結

無論是流程的校準、整合還是嵌入，最主要的目的之一是要降低對主營業務流程的干擾，以更節約的方式促進信息安全制度的落地。這與是否重視信息安全并不矛盾。孤立地看待信息安全，很容易陷入到“為了安全而安全”的誤區，更嚴重的是可能導致“盡職免責”的模式，由于專業技術人員和其他部門之間存在信息不對稱，出于各種考慮，導致最后發布的信息安全制度充滿陷阱。從這個角度講，在管理層很難解決這個問題，信息安全是一個治理問題。在下期的文章中，我們將對信息安全治理問題進行初步探討。

[1]謝宗曉. 信息安全管理體系實施指南[M]. 北京：中國標準出版社，2012.

[2]光耀華，謝宗曉. 質量/環境/職業健康安全/信息安全四標整合管理體系教程[M]. 北京：中國標準出版社，2009.

[3]Mesquida A. Mas A. Implementing information security best practices on software lifecycle processes: The ISO/IEC 15504 security extension [J]. Computers & Security，2015(48):19–34.

[4]權貞惠，謝宗曉. 信息安全管理制度編寫的要點[J]. 中國標準導報，2015（08）：28–31.

Discuss of Combining Information Security and Organizational Business Process

Zhao Xiukun, Xie Zongxiao ( Business School, Nankai University )

Combining information security and organizational business process is an essential method in information security practice, which can realize “economic information security” and improve information security policies come into effect. This paper proposed three methods including alignment, integration and embeddedness, and discussed its application.

information security, business process