面向組織的信息與信息安全及其風(fēng)險(xiǎn)管理探析

摘要：組織的信息安全管理必須以信息管理為基礎(chǔ)、并為信息管理服務(wù)，脫離信息本身而談?wù)撔畔踩菦](méi)有意義的。GB/T22080—2008標(biāo)準(zhǔn)追求的目標(biāo)只是資產(chǎn)安全、而不是信息安全。現(xiàn)行信息管理學(xué)的研究對(duì)象主要是信息技術(shù)管理，作為組織重要資源的信息本體的管理理論幾乎是一片空白。筆者期望依據(jù)組織結(jié)構(gòu)建立組織的信息結(jié)構(gòu)，在信息整個(gè)生命周期的五個(gè)階段全面規(guī)范組織的信息管理，通過(guò)對(duì)信息、信息資產(chǎn)、信息安全等概念的進(jìn)一步分析，提出了信息域、信息交通圖等概念，并對(duì)信息的保密性、完整性和可用性管理提出了全新的詮釋。最后，依據(jù)GB/T22080—2008標(biāo)準(zhǔn)關(guān)于風(fēng)險(xiǎn)評(píng)估的思想，提出了一種較為適用的風(fēng)險(xiǎn)評(píng)估方法。

關(guān)鍵詞：信息；信息域；信息安全；信息交通圖；風(fēng)險(xiǎn)管理

隨著以互聯(lián)網(wǎng)技術(shù)為代表的現(xiàn)代信息技術(shù)（Information Technology，簡(jiǎn)稱IT）前所未有的高速發(fā)展和巨大成就，從個(gè)人到組織、再到整個(gè)社會(huì)對(duì)于信息技術(shù)的依賴程度已經(jīng)達(dá)到了不可或缺的地步，信息安全也因此引起了人們的高度重視，GB/T22080—2008/ ISO/IEC27001：2005《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》（以下簡(jiǎn)稱GB/T22080—2008）標(biāo)準(zhǔn)的頒布和實(shí)施標(biāo)志著信息安全管理正式成為我國(guó)組織管理的一個(gè)重要組成部分。雖然如此，我們對(duì)于“信息安全”的概念似乎并沒(méi)有正確的認(rèn)識(shí)，一個(gè)非常明顯的現(xiàn)象是：GB/T22080—2008標(biāo)準(zhǔn)以資產(chǎn)安全管理代替信息安全管理，但是，正如筆者在《信息安全及其風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和實(shí)務(wù)再辨析》一文中所認(rèn)證的那樣：資產(chǎn)安全并不能代替信息安全，所以我們需要進(jìn)一步尋求信息安全管理的真正解決之道。

一、有關(guān)信息管理的基本概念

人們對(duì)于信息安全的重視源于對(duì)于信息資源重要性的認(rèn)識(shí)。信息，作為與物質(zhì)、能量同等重要的戰(zhàn)略性資源，今天已經(jīng)占領(lǐng)了我們社會(huì)各行各業(yè)的制高點(diǎn)，成為影響我們社會(huì)個(gè)人、組織以及政府決策和成功的第一位決定性因素。人們關(guān)注信息安全的重要性，正是基于對(duì)信息本身高度重要性考量的結(jié)果。毫無(wú)疑問(wèn)，信息安全管理屬于信息管理的一項(xiàng)重要內(nèi)容，二者相輔相成、不可分離：信息安全管理必須以信息管理為基礎(chǔ)、服務(wù)于信息管理的需要，否則就是無(wú)源之水、無(wú)本之木；信息管理必須以信息安全管理為保障、滿足信息安全要求，否則必定風(fēng)險(xiǎn)重重、危機(jī)四伏。然而，GB/T22080—2008作為組織信息安全管理的專業(yè)性標(biāo)準(zhǔn)，它不但絲毫沒(méi)有關(guān)注組織的信息管理要求，而且以資產(chǎn)安全管理代替信息安全管理，不能不令人感到非常驚詫。

當(dāng)我們將視線進(jìn)一步轉(zhuǎn)向更加寬廣的領(lǐng)域去尋求有關(guān)信息管理的理論與實(shí)踐知識(shí)的時(shí)候，我們更加驚訝地發(fā)現(xiàn)：我們現(xiàn)有的信息管理和信息安全管理基本上都是針對(duì)信息技術(shù)系統(tǒng)的管理，大量的專業(yè)書(shū)籍中只有少量的針對(duì)社會(huì)的信息管理知識(shí)，如科技情報(bào)管理等，針對(duì)組織的信息管理理論與實(shí)踐知識(shí)基本上為空白。

如果沒(méi)有適用于組織的信息管理，如何能夠建立起適用于組織的信息安全管理？

長(zhǎng)期以來(lái)，人們以信息技術(shù)管理代替信息管理，這種情況固然有其歷史的原因，但是今天是我們改變這種觀念的時(shí)候了。在以計(jì)算機(jī)和互聯(lián)網(wǎng)為代表的信息技術(shù)發(fā)展的早期，由于社會(huì)的專業(yè)分工尚不夠充分和完善，那時(shí)候比較重視信息技術(shù)的使用，將信息管理包含在組織信息技術(shù)的管理和使用之中，這是技術(shù)發(fā)展的一個(gè)過(guò)程，是可以理解的。然而，今天的計(jì)算機(jī)和互聯(lián)網(wǎng)等信息技術(shù)已經(jīng)非常專業(yè)和普及，而信息資源本身的重要性也已經(jīng)非常突出，如果我們依然將信息技術(shù)管理和信息管理混淆在一起，就難以滿足現(xiàn)實(shí)大型、復(fù)雜組織的管理要求了。計(jì)算機(jī)和互聯(lián)網(wǎng)等信息技術(shù)之于其中的信息，就如同傳統(tǒng)行業(yè)中的生產(chǎn)設(shè)備與其產(chǎn)品一樣，如果在傳統(tǒng)行業(yè)中不能將生產(chǎn)設(shè)備等基礎(chǔ)設(shè)施的管理與生產(chǎn)管理混為一談，我們今天又怎么能將信息技術(shù)管理和信息管理混淆在一起呢？一位從事個(gè)體運(yùn)輸?shù)能囕v駕駛員可能同時(shí)也是該車輛的日常維護(hù)人員，但是我們無(wú)法要求一架戰(zhàn)斗機(jī)的駕駛員同時(shí)也負(fù)責(zé)該飛機(jī)的運(yùn)行維護(hù)，同樣道理：一個(gè)分工明確的現(xiàn)代企業(yè)也應(yīng)該將其信息管理與其信息技術(shù)管理進(jìn)行明確的專業(yè)分離，組織的信息技術(shù)管理必須服從于信息管理和信息安全管理的要求，否則我們不但不可能建立起現(xiàn)代的信息產(chǎn)業(yè)與信息技術(shù)產(chǎn)業(yè)，也不可能建立起現(xiàn)代的信息組織與信息技術(shù)組織。

什么是信息？人們對(duì)于“信息”這個(gè)概念有不同的理解，目前還沒(méi)有公認(rèn)準(zhǔn)確的定義。筆者認(rèn)為：所有的事物中均包含有各種信息，事物是信息的載體、是信息的表現(xiàn)形式，信息是對(duì)事物的自然屬性與社會(huì)屬性及其相互關(guān)系的反映，事物的自然屬性與社會(huì)屬性及其相互關(guān)系的總和就構(gòu)成了該事物所含有的信息量。事物的自然屬性提供給人們關(guān)于事物的自然信息，事物的社會(huì)屬性提供給人們關(guān)于事物的社會(huì)信息，但是事物的自然屬性可以轉(zhuǎn)化為社會(huì)屬性，從而提供給人們所需要的社會(huì)信息。例如：人的表情、動(dòng)作本來(lái)屬于自然屬性，但是當(dāng)人們用表情來(lái)表達(dá)其內(nèi)心思想、情緒的時(shí)候，就賦予了其社會(huì)意義，因而就具有了社會(huì)屬性。GB/T19000—208標(biāo)準(zhǔn)關(guān)于質(zhì)量的定義“一組固有特性滿足要求的程度”就是對(duì)物體自然屬性和社會(huì)屬性相互關(guān)系的描述，“固有特性”是物體先天固有的自然屬性，“滿足要求”就是物體被后天賦予的社會(huì)屬性。

筆者認(rèn)為：信息的唯一價(jià)值在于其目的性。在日常的生活和工作過(guò)程中，我們只需要關(guān)心與其目的相關(guān)的信息，對(duì)于那些與其目的無(wú)關(guān)、或者關(guān)聯(lián)微小的信息，我們往往是忽略的，例如：一般人使用移動(dòng)硬盤(pán)存儲(chǔ)數(shù)據(jù)，主要關(guān)注硬盤(pán)的容量、轉(zhuǎn)速、緩存、接口等信息，至于該硬盤(pán)的制造信息、一般人是不會(huì)關(guān)注的，雖然該硬盤(pán)從理論上包含有其全部的制造信息；對(duì)于硬盤(pán)的重量、尺寸、美觀等屬性信息，也會(huì)成為我們考慮的因素之一。因?yàn)殡x開(kāi)信息的目的性談?wù)撔畔⒌膬r(jià)值是沒(méi)有意義的，所以，信息的目的性才是我們從事信息管理和信息安全管理的唯一依據(jù)。

從是否存在信息的角度考察，組織中只有二類資產(chǎn)：信息資產(chǎn)和非信息資產(chǎn)，前者是包含信息的資產(chǎn)，后者是不包含信息的資產(chǎn)。在信息管理中，我們所說(shuō)的“信息”指的是與組織業(yè)務(wù)相關(guān)的有效信息，這是由信息的目的性決定的。一塊移動(dòng)硬盤(pán)，如果其中存儲(chǔ)有與組織業(yè)務(wù)相關(guān)的信息數(shù)據(jù)，它就屬于信息資產(chǎn)；否則，如果它只是一塊備用的空白硬盤(pán)、或者其中存儲(chǔ)的信息數(shù)據(jù)與組織的業(yè)務(wù)無(wú)關(guān)，它就屬于非信息資產(chǎn)。GB/T22081—2008/ ISO/IEC27001：2005《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》（以下簡(jiǎn)稱GB/T22081—2008）標(biāo)準(zhǔn)“7.1.1資產(chǎn)清單”條款沒(méi)有給出“信息資產(chǎn)”的定義，它通過(guò)舉例的方式主要將“文件”列舉為信息資產(chǎn)，本人認(rèn)為這種分類并不準(zhǔn)確，因?yàn)樗刮覀儫o(wú)法區(qū)分以上二種硬盤(pán)的價(jià)值。

根據(jù)信息在組織中的存在方式，可以將信息分為二類：規(guī)范性信息和非規(guī)范性信息，前者是指文件等經(jīng)過(guò)加工的正式信息，后者指消息、知識(shí)、經(jīng)驗(yàn)等沒(méi)有經(jīng)過(guò)加工的非正式信息。由于消息、知識(shí)、經(jīng)驗(yàn)等非規(guī)范性信息主要存在于人的意識(shí)中，所以，對(duì)于那些掌握有組織業(yè)務(wù)相關(guān)信息的員工屬于組織的信息資產(chǎn)，那些不掌握組織業(yè)務(wù)相關(guān)信息的員工則屬于組織的非信息資產(chǎn)。GB/T19000—2008/ISO9000：2005標(biāo)準(zhǔn)3.7.2條款將“文件”定義為“信息及其承載媒介”并不準(zhǔn)確，因?yàn)樵诮M織員工的大腦中也存在有業(yè)務(wù)信息，員工同樣是信息的載體，但是我們不會(huì)將員工看作文件；同樣道理，在計(jì)算機(jī)中存在有大量的信息，計(jì)算機(jī)也是信息的載體，但是我們并不會(huì)認(rèn)為計(jì)算機(jī)是文件（個(gè)人認(rèn)為可以將“文件”定義為“適用信息的表現(xiàn)形式”）。

根據(jù)信息對(duì)于組織業(yè)務(wù)的影響，可以將信息分為積極信息和消極信息。積極信息對(duì)于組織的目的和業(yè)務(wù)具有促進(jìn)與幫助作用，是有益信息，也可以稱之為正信息；反之則為消極信息、無(wú)益或有害信息、垃圾信息、負(fù)信息，正信息屬于組織的正資產(chǎn)，負(fù)信息屬于組織的負(fù)資產(chǎn)，這二類信息都是組織信息管理的內(nèi)容，不可忽略。

從信息的目的性考察GB/T22080—2008標(biāo)準(zhǔn)關(guān)于“信息安全”的定義似乎并不準(zhǔn)確。該標(biāo)準(zhǔn)“3.4信息安全”條款給出的定義是：“保持信息的保密性、完整性、可用性；另外也可包括例如真實(shí)性、可核查性、不可否認(rèn)性和可靠性等”，這個(gè)術(shù)語(yǔ)令人不知所云。一方面，它似乎沒(méi)有表述清楚，什么叫做“也可包括”？究竟“包括”還是“不包括”？另一方面，其中的很多意義非常模糊，例如：關(guān)于“完整性”，信息的“完整性”如何定義？信源（提供方信息）的完整性與信宿（接收方信息）的完整性是同樣定義的嗎？信息的完整性是否就是指文件的完整性？電子類信息與紙質(zhì)類信息的完整性定義有什么區(qū)別？等等；信息的“真實(shí)性”是必須的嗎？《孫子兵法》說(shuō)“兵不厭詐”怎么解釋？（虛假信息所涉及的道德與法律問(wèn)題屬于其它領(lǐng)域所研究的課題）筆者認(rèn)為：信息安全指的是信息可能產(chǎn)生的實(shí)際效用與其主觀目的之間的關(guān)系，“可能”表示的是一種可能性，只要存在某種損害信息安全的可能性、即使這種損害目前尚未發(fā)生，我們也認(rèn)為它是不安全的。目的性才是信息安全的根本出發(fā)點(diǎn)，目的性決定了對(duì)于信息的保密性、真實(shí)性等屬性的需求，如果信息發(fā)生的實(shí)際效用與其目的一致，我們就認(rèn)為實(shí)現(xiàn)了信息安全；否則，就意味著失去了信息安全。

從信息的目的性考察，信息的可用性受到二方面因素的影響：一是信息內(nèi)容的可用性，包括真實(shí)性、全面性等，我們稱之為第一類可用性，需要在信息使用前加以確認(rèn)；二是信息的使用條件如保密性、完整性等是否滿足要求，我們稱之為第二類可用性，不僅在信息使用前需要加以確認(rèn)，在信息的使用過(guò)程中也需要加以保持，以防止發(fā)生可能的丟失。全面性指信息的內(nèi)容是否片面、是否包含了有關(guān)各方面的全部事實(shí)或觀點(diǎn)，完整性指信息在傳遞過(guò)程中是否存在缺失或失真的現(xiàn)象，二者不同。根據(jù)信息對(duì)于其目的的影響可以確定二種類型的信息安全：保持己方信息的保密性、可用性等，使得己方的目的不受傷害，這是知己、是消極的防守型信息安全管理；能夠及時(shí)獲取所需要的信息，以幫助己方目的的實(shí)現(xiàn)，這是知彼、是積極的進(jìn)攻型信息安全管理。我們應(yīng)該保障最低限度的消極的信息安全管理目標(biāo)的實(shí)現(xiàn)，并努力追求積極的信息安全管理目標(biāo)。組織從外部環(huán)境中獲取信息與使用信息的能力代表了組織的信息安全管理水平，軍事理論認(rèn)為：進(jìn)攻是最好的防守，在信息安全領(lǐng)域這一理論同樣適用、不能例外。

以美國(guó)針對(duì)前伊拉克薩達(dá)姆政權(quán)發(fā)動(dòng)的二次海灣戰(zhàn)爭(zhēng)為例，美國(guó)政府以前伊拉克薩達(dá)姆政權(quán)擁有“大規(guī)模殺傷性武器”這一理由成功地摧毀了薩達(dá)姆政權(quán)、實(shí)現(xiàn)了其戰(zhàn)略目的，這是一個(gè)典型的積極進(jìn)攻型信息安全管理的成功實(shí)例，雖然從今天看來(lái)其“理由”也許并不符合道義；與此形成鮮明對(duì)比的是：前伊拉克薩達(dá)姆政權(quán)面對(duì)是否存在“大規(guī)模殺傷性武器”這一信息安全問(wèn)題始終不能取信于國(guó)際社會(huì)，完全采取消極防守型信息安全管理策略，最終導(dǎo)致了其徹底滅亡的命運(yùn)。這一現(xiàn)實(shí)而殘酷的事例告訴我們：完全的消極防守型信息安全管理策略也許并不能保障組織的安全！

采用消極防守型信息安全管理策略導(dǎo)致組織失敗的事例在經(jīng)濟(jì)與商業(yè)領(lǐng)域也屢見(jiàn)不鮮。以當(dāng)前競(jìng)爭(zhēng)最激烈的手機(jī)市場(chǎng)為例，在蘋(píng)果的iPhone手機(jī)誕生之前，諾基亞（Nokia）、摩托羅拉（Motorola）等品牌的手機(jī)壟斷國(guó)際市場(chǎng)多年而不變，蘋(píng)果iPhone的成功在于其采用積極進(jìn)攻型的信息安全管理策略，諾基亞（Nokia）、摩托羅拉（Motorola）的失敗則緣于他們采用的是消極防守型信息安全管理策略，與這一市場(chǎng)競(jìng)爭(zhēng)相應(yīng)的是韓國(guó)的三星公司及時(shí)改變其管理策略、緊盯iPhone積極應(yīng)變，成功地保持了其市場(chǎng)地位。

近年來(lái)，日本的家電行業(yè)在全球市場(chǎng)上均遇到了前所未有的嚴(yán)重挑戰(zhàn)，這也可以看作是他們固守成規(guī)、實(shí)施消極防守型信息安全管理策略的必然結(jié)果。

實(shí)施積極進(jìn)攻型的信息安全管理策略要求組織不斷提高其獲取信息與使用信息的能力，組織實(shí)施積極進(jìn)攻型的信息安全管理策略必須與其積極主動(dòng)型的管理體系建設(shè)策略保持一致，關(guān)于積極主動(dòng)型管理體系建設(shè)的有關(guān)設(shè)想詳見(jiàn)拙作《積極主動(dòng)型配置管理體系建設(shè)探析》。

依據(jù)GB/T22080—2008標(biāo)準(zhǔn)即使實(shí)現(xiàn)了組織的資產(chǎn)安全，最多也只能使我們實(shí)現(xiàn)消極防守型的信息安全目標(biāo)，這能夠使我們滿意嗎？

從信息的目的性出發(fā)，我們有必要進(jìn)一步確立組織信息安全管理的二項(xiàng)原則：信源（即己方信息）的極小性原則（沉默原則）和信宿（即彼方信息）的極大性原則（雄辯原則）。為了實(shí)現(xiàn)信息的目的性、保障信息的可用性需求，作為信源的己方信息只應(yīng)該在極小范圍內(nèi)、以極小量提供給需要的對(duì)象，這是作為信源、即關(guān)于己方信息的極小性原則，也可以形象地稱之為沉默原則；作為信宿時(shí)，我們應(yīng)該在極大范圍內(nèi)、以極大量收集彼方的相關(guān)信息，這是作為信宿、即關(guān)于彼方信息的極大性原則，與信源的沉默原則對(duì)應(yīng)、這一原則可以形象地稱之為雄辯原則。前者基于消極的防守型信息安全管理目標(biāo)的需要，后者致力于追求積極的進(jìn)攻型信息安全管理目標(biāo)的實(shí)現(xiàn)。

GB/T22080—2008標(biāo)準(zhǔn)關(guān)于“信息安全事態(tài)”和“信息安全事件”概念的定義是基本恰當(dāng)?shù)模瑓^(qū)別在于我們已經(jīng)將組織的信息技術(shù)系統(tǒng)與信息管理系統(tǒng)進(jìn)行了分離，信息技術(shù)系統(tǒng)的軟硬件故障、供電中斷等屬于基礎(chǔ)設(shè)施的管理范疇，不再納入信息管理系統(tǒng)的信息安全管理范圍。組織應(yīng)該對(duì)于其內(nèi)部的“信息安全事態(tài)”和“信息安全事件”建立起有效的監(jiān)控與改進(jìn)機(jī)制，以不斷提高其信息安全管理水平，預(yù)防信息安全事件的發(fā)生。

二、組織內(nèi)部的信息及其安全性管理

GB/T22080—2008標(biāo)準(zhǔn)3.4條款主要從信息的保密性、完整性和可用性三個(gè)方面定義“信息安全”的概念，下面就讓我們以此為出發(fā)點(diǎn)、探討組織信息安全管理的實(shí)用方法。

（一）信息的保密性管理：建立信息交通圖

GB/T20984—2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》標(biāo)準(zhǔn)（以下簡(jiǎn)稱GB/T20984—2007）將資產(chǎn)的保密性分為五個(gè)不同的等級(jí)、以此作為保密性管理的依據(jù)。就本人從事信息安全管理體系（ISMS）審核的經(jīng)驗(yàn)而言，目前國(guó)內(nèi)各組織在建立其ISMS時(shí)幾乎無(wú)一例外都是這樣實(shí)施的。我們暫且不論對(duì)于一般組織的軟硬件等基礎(chǔ)設(shè)施是否存在保密性的管理要求，即使對(duì)于組織的信息資產(chǎn)，是否僅僅進(jìn)行簡(jiǎn)單的保密性分級(jí)就能夠滿足組織的信息安全管理要求了呢？讓我們通過(guò)實(shí)例來(lái)進(jìn)行一下簡(jiǎn)單的分析。

對(duì)于一般的企業(yè)而言，其財(cái)務(wù)數(shù)據(jù)與營(yíng)銷信息均是保密性要求較高的重要信息資產(chǎn)，而且二者有較高的關(guān)聯(lián)性，如合同價(jià)格與營(yíng)銷利潤(rùn)的關(guān)系等等。假設(shè)某企業(yè)的財(cái)務(wù)報(bào)表與營(yíng)銷合同均屬于保密性要求最高的5級(jí)信息資產(chǎn)，財(cái)務(wù)部經(jīng)理可以查看保密性5級(jí)的財(cái)務(wù)報(bào)表，營(yíng)銷部經(jīng)理可以查看保密性5級(jí)的營(yíng)銷合同，他們均具有查看保密性級(jí)別為5級(jí)的信息資產(chǎn)的權(quán)力，這是否說(shuō)明財(cái)務(wù)部經(jīng)理就可以查看營(yíng)銷合同、營(yíng)銷部經(jīng)理就可以查看財(cái)務(wù)報(bào)表呢？一般單位對(duì)于這一問(wèn)題的答案一定是否定的，雖然這二類資產(chǎn)的保密性級(jí)別相同，但是它們屬于不同的類別，并不等同。這一事例告訴我們：僅僅依據(jù)保密性級(jí)別這一方法并不能滿足我們對(duì)于信息資產(chǎn)的保密性管理要求，我們還必須進(jìn)一步關(guān)注信息資產(chǎn)的類別。

那么，我們應(yīng)該怎樣管理組織中信息資產(chǎn)的類別呢？現(xiàn)行標(biāo)準(zhǔn)中并沒(méi)有給出這一問(wèn)題的答案，我們只能向?qū)嵺`中去尋求答案。

假設(shè)某小型公司C存在綜合部G（承擔(dān)行政Ad、人力資源Hr、財(cái)務(wù)Fi管理的職能）、營(yíng)銷部M（承擔(dān)采購(gòu)Pu、銷售Se管理的職能）和生產(chǎn)部P（承擔(dān)生產(chǎn)Ma、質(zhì)量Qu、安全Sa、環(huán)保Ep、設(shè)備Eq管理的職能）三個(gè)業(yè)務(wù)部門，讓我們一起來(lái)分析一下這樣一個(gè)組織中的信息分布情況。考慮到組織中不同部門之間信息的交叉與共享性，例如：財(cái)務(wù)部門掌握著營(yíng)銷部和生產(chǎn)部的財(cái)務(wù)信息等等，從組織中信息結(jié)構(gòu)的組成情況觀察，組織的信息構(gòu)成可能存在如下二種不同的信息模式：

模式一：G∩M∩P=Φ 模式二：G∩M∩P=GMP≠Φ

我們假設(shè)公司全部信息的集合為C，綜合部的信息集合為G，營(yíng)銷部的信息集合為M，生產(chǎn)部的信息集合為P，我們將C、G、M、P均稱作信息域，即C域信息的集合為C，G、M、P依此類推，則集合G、M、P均為集合C的子集，由于公司的高層領(lǐng)導(dǎo)還掌握部分信息、這些信息往往不屬于G、M、P域，所以集合G∪M∪P為C的子集；集合G又有子集Ad、Hr和Fi，且G=Ad∪Hr∪Fi；集合M有子集Pu和Se，且M=Pu∪Se；集合P有子集Ma、Qu、Sa、Ep和Eq，且P=Ma∪Qu∪Sa∪Ep∪Eq。我們將信息域G和M的交集表示為G∩M=GM，信息域M和G的交集表示為M∩G=MG，顯然GM=MG；信息域G和P的交集表示為G∩P=GP，GP=PG；信息域P和M的交集表示為P∩M=PM，PM=MP。在模式一中，信息域G、M、P沒(méi)有共同的交集，G∩M∩P=Φ；在模式二中，信息域G、M、P有共同的交集，G∩M∩P=GMP≠Φ。

為了便于組織的信息管理，需要根據(jù)組織機(jī)構(gòu)的特點(diǎn)及其信息的類別確定組織的信息結(jié)構(gòu)。由于組織中的信息總是從屬于某一個(gè)域，上層的信息域又可以分解為若干個(gè)下層的子信息域，我們將不再具有子域的最小信息域稱為基礎(chǔ)域，例如：信息域G含有三個(gè)二級(jí)子域Ad、Hr和Fi，其中財(cái)務(wù)域Fi又可以根據(jù)其中信息的類別分為二個(gè)三級(jí)子域會(huì)計(jì)域Acc和出納域Cas，如果組織對(duì)其會(huì)計(jì)域Acc和出納域Cas不再細(xì)分，則會(huì)計(jì)域Acc和出納域Cas就稱為基礎(chǔ)域。

同一個(gè)信息域中的信息可以根據(jù)其重要性的不同分解為高、中、低等不同的等級(jí)。組織應(yīng)對(duì)其內(nèi)部信息的重要性分類方式加以規(guī)范，考慮到組織中始終存在一些無(wú)用的、或者是錯(cuò)誤的、甚至是有害的負(fù)信息，這些負(fù)信息不但可能存在于組織的IT系統(tǒng)中，如木馬、病毒等，也同樣可能存在于現(xiàn)實(shí)環(huán)境中，如惡意的破壞信息、因人為失誤導(dǎo)致的錯(cuò)誤信息、組織廢棄的文件等等，所有這些負(fù)信息的重要性同樣應(yīng)該引起我們的重視，可以被授予負(fù)價(jià)值。

由此可見(jiàn)：表征某信息I的特征是由其所屬的基礎(chǔ)信息域r（更準(zhǔn)確的表述是“本域”，詳見(jiàn)后述）及其重要性等級(jí)i二方面因素共同決定的，那種只考慮重要性等級(jí)而不考慮信息域的做法是片面的。考慮到信息的重要性往往是隨時(shí)間t而變化的，所以我們可以用函數(shù)表征信息I=I（r，i，t）。

與信息的表征相應(yīng)，崗位人員對(duì)于信息的訪問(wèn)權(quán)限R也是由其可以訪問(wèn)的信息域r及其能夠訪問(wèn)的信息重要性等級(jí)i二方面因素決定的，即R=R（r，i）。

為了滿足信息的保密性要求，理想的狀況是所有的信息域相互之間均采用物理的、或邏輯的方式加以隔離，這在組織的IT系統(tǒng)中可以通過(guò)技術(shù)手段實(shí)現(xiàn)。

信息在組織內(nèi)部的傳遞過(guò)程就是信息從一個(gè)域傳向另一個(gè)域，組織應(yīng)根據(jù)信息的屬性特點(diǎn)確定信息傳遞的允許范圍，在組織的IT系統(tǒng)中同樣可以技術(shù)手段阻止超范圍的、不被允許的信息傳遞活動(dòng)。例如：如果財(cái)務(wù)部在其信息域中將營(yíng)銷部和生產(chǎn)部的財(cái)務(wù)信息分別設(shè)置為不同的信息子域，他們可以將營(yíng)銷部的財(cái)務(wù)信息傳遞給營(yíng)銷部、將生產(chǎn)部的財(cái)務(wù)信息傳遞給生產(chǎn)部，但是不可以將營(yíng)銷部的財(cái)務(wù)信息傳遞給生產(chǎn)部、也不可以將生產(chǎn)部的財(cái)務(wù)信息傳遞給營(yíng)銷部，如果發(fā)生人為誤操作的情況將被系統(tǒng)自動(dòng)禁止。

在組織的信息系統(tǒng)中，我們將信息I產(chǎn)生的基礎(chǔ)域稱為信息I的本域，如果信息I從域R1傳遞到域R2，域R1稱為源域，R2稱為宿域。根據(jù)工作需要，信息I允許從域R1傳遞到域R2、R3…Rk，R1、R2…Rk統(tǒng)稱為信息I的工作域，工作域之外的區(qū)域統(tǒng)稱為非工作域。正常情況下，信息只可以出現(xiàn)在其工作域中，不可以出現(xiàn)在非工作域中，所以信息從工作域向非工作域的傳遞必須被禁止。如果信息偏離其工作域、出現(xiàn)在非工作域中，這種情況我們稱之為僭域。

信息系統(tǒng)是組織信息存在的范圍，包括組織的IT系統(tǒng)和現(xiàn)實(shí)環(huán)境二個(gè)方面，IT系統(tǒng)是組織的邏輯信息系統(tǒng)，現(xiàn)實(shí)環(huán)境是組織的物理信息系統(tǒng)，它們彼此對(duì)應(yīng)、共同構(gòu)成組織的應(yīng)用信息系統(tǒng)。

信息在其本域產(chǎn)生以后，可能會(huì)以文件的形式被發(fā)送到宿域進(jìn)行審批，文件將會(huì)在宿域中被審閱、甚至被提出修改意見(jiàn)。從信息的安全性考慮，個(gè)人認(rèn)為文件的修改只應(yīng)該在其本域中進(jìn)行，文件離開(kāi)其本域以后只能被審閱、不可以被修改，這需要我們開(kāi)發(fā)適用的應(yīng)用軟件加以實(shí)施。

如果二個(gè)信息域中的信息可以被共享，我們稱這二個(gè)信息域?yàn)楣灿颍粗畡t為不共域。共域之間的信息可以自由傳遞，不共域之間的信息傳遞則被禁止。反映到組織的人員使用與職務(wù)任命上，共域之間的人員可以兼職，不共域之間的職務(wù)則不可以兼任，例如：組織的會(huì)計(jì)與出納屬于不共域，所以他們相互之間不可以兼職。雖然共域中的信息內(nèi)容相同，但是它們畢竟屬于二個(gè)不同的信息域，例如：前面所介紹的信息域GM與MG互為共域，它們分別屬于G域和M域的子域。

信息的保密性要求確定的是信息的保密范圍及其保密方式，保密性越高，信息的保密范圍就越小，在組織中的工作域級(jí)別越高，而保密方式越復(fù)雜、保密成本及其安全性要求越高。

GB/T22081—2008標(biāo)準(zhǔn)附錄A.7.1.2條款提出了“資產(chǎn)責(zé)任人”的要求，這是一個(gè)非常好的概念。個(gè)人認(rèn)為在可能的條件下，資產(chǎn)責(zé)任人相當(dāng)于資產(chǎn)的保安：他們僅負(fù)責(zé)資產(chǎn)的安全、但是不可以接觸資產(chǎn)本身。在組織的IT系統(tǒng)中，可以按照信息域確定其信息責(zé)任人，監(jiān)控對(duì)信息域的訪問(wèn)，負(fù)責(zé)信息域及其信息資產(chǎn)的安全管理。通過(guò)建立恰當(dāng)?shù)膽?yīng)用軟件，IT系統(tǒng)可以自動(dòng)生成一份關(guān)于信息域及其信息的訪問(wèn)日志。

通過(guò)信息本域確定信息在組織中的誕生空間，通過(guò)賦予重要性等級(jí)確定信息的保密性等控制措施，通過(guò)以上二種方法的結(jié)合、再補(bǔ)充一個(gè)序列號(hào)就可以標(biāo)識(shí)信息的唯一性身份，從而為每個(gè)信息建立一個(gè)信息身份證。外來(lái)信息則按照同樣的方式依據(jù)信息的接收部門、信息類別確定其信息域及其重要性等級(jí)并進(jìn)行標(biāo)識(shí)。根據(jù)組織機(jī)構(gòu)和信息類別，通過(guò)對(duì)組織中的信息域進(jìn)行系統(tǒng)規(guī)劃，這樣就可以確定每個(gè)信息的工作域及其允許的傳遞路徑。如此，從信息的角度觀察，組織就相當(dāng)于一個(gè)信息城市，信息就是這個(gè)城市的市民，信息流就是這個(gè)城市的人流，在組織的IT系統(tǒng)中，我們就可以根據(jù)組織機(jī)構(gòu)在組織的高、中、低各個(gè)管理層級(jí)中建立起一個(gè)立體的信息交通圖，信息責(zé)任人同時(shí)承擔(dān)著信息交警的職能，從而保證組織的信息管理秩序和信息安全。

（二）信息的完整性管理

GB/T22080—2008標(biāo)準(zhǔn)3.8條款關(guān)于完整性的定義是“保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性”，這是以資產(chǎn)的完整性代替信息的完整性，對(duì)于信息資產(chǎn)而言，它也許有一定的合理性，但是信息資產(chǎn)并不代表信息，信息資產(chǎn)的完整性也不能代替信息的完整性。

筆者認(rèn)為在組織的信息安全管理過(guò)程中主要存在如下三個(gè)方面的完整性要求：

一、以文件、記錄等為代表的信息資產(chǎn)的完整性，這是GB/T22080—2008標(biāo)準(zhǔn)所包含的內(nèi)容，但是我們認(rèn)為應(yīng)該賦予其更加深刻的含義。文件的完整性主要體現(xiàn)在二個(gè)方面：其一是文件的制定應(yīng)該加以規(guī)范，幾乎所有的管理體系標(biāo)準(zhǔn)均要求文件在發(fā)布前應(yīng)該進(jìn)行評(píng)審和批準(zhǔn)，以確保文件對(duì)于其使用目的的完整和有效；其二是要保證文件在使用與執(zhí)行過(guò)程中的完整性，獲得文件等信息資產(chǎn)并不代表就完全獲得了其中所表示的信息，它還與我們使用文件的能力有關(guān)；如果文件是加密的、我們還需要獲得密碼。記錄的完整性主要體現(xiàn)在記錄內(nèi)容的完整性。組織可以通過(guò)定期的評(píng)審對(duì)其文件與記錄的完整性進(jìn)行確認(rèn)與完善。

二、在信息傳遞過(guò)程中，信宿接收到的信息與信源提供的信息的一致性，關(guān)注的是信息傳遞過(guò)程中的損失與失真，這可以通過(guò)建立信息反饋等技術(shù)手段加以解決。

三、為了滿足決策的需要，組織所收集到的、用于支持決策過(guò)程的信息的完整性。由于客觀事物的復(fù)雜性，我們?cè)跊Q策過(guò)程中往往難以獲得關(guān)于事物的全面、準(zhǔn)確的信息，因此需要對(duì)相關(guān)信息的完整性進(jìn)行風(fēng)險(xiǎn)控制，包括信息的準(zhǔn)確性、真實(shí)性、全面性等方面的內(nèi)容。

（三）信息的可用性管理

GB/T22080—2008標(biāo)準(zhǔn)3.2條款關(guān)于可用性的定義是“根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性”，“可訪問(wèn)”意味著信息可以被獲取，這是比較容易理解的；可“利用”則比較復(fù)雜，它包含了信息第一類可用性和第二類可用性的全部要求。GB/T22080—2008標(biāo)準(zhǔn)4.3.2g條款要求對(duì)外來(lái)文件進(jìn)行識(shí)別，文件是信息的表現(xiàn)形式，這就是要確定這樣的信息是否可利用、有怎樣的使用價(jià)值，由于某些信息真?zhèn)位祀s、泥沙俱下，所以對(duì)于信息的可用性風(fēng)險(xiǎn)需要加以有效控制。

信息的可用性與保密性、完整性是緊密關(guān)聯(lián)的，信息的內(nèi)容決定其是否具有可用性價(jià)值，保密性和完整性是保證信息可用性的必要條件，可用性則是信息管理的最終目的，可用性決定信息的價(jià)值。組織應(yīng)根據(jù)信息的可用性要求確定其保密性、完整性的控制措施；根據(jù)信息的保密性、完整性控制水平確定信息的可用性價(jià)值，它們相輔相成，缺一不可。

三、信息安全的風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)管理是信息安全管理的一項(xiàng)重要內(nèi)容。在《信息安全及其風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和實(shí)務(wù)再辨析》這篇文章中我曾經(jīng)指出：GB/T20984—2007標(biāo)準(zhǔn)關(guān)于風(fēng)險(xiǎn)評(píng)估的方法并不符合GB/T22080—2008標(biāo)準(zhǔn)的思想，雖然GB/T22080—2008標(biāo)準(zhǔn)采用的是針對(duì)資產(chǎn)、包括信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估，它要求首先識(shí)別資產(chǎn)及其脆弱性、再識(shí)別可能的威脅及其對(duì)資產(chǎn)的影響、進(jìn)一步識(shí)別其對(duì)組織可能的影響，這一思想無(wú)疑是正確的，但是這種風(fēng)險(xiǎn)評(píng)估方法的實(shí)用性如何呢？

由于本人始終認(rèn)為資產(chǎn)安全并不等于信息安全、資產(chǎn)安全也不能保障信息安全，詳見(jiàn)拙作《信息安全及其風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和實(shí)務(wù)再辨析》，因此，在本文后面的討論中，我們只關(guān)注信息安全、包括信息資產(chǎn)的安全，暫不考慮其它類型資產(chǎn)的安全性問(wèn)題。

GB/T22080—2008標(biāo)準(zhǔn)4.2.1d）條款告訴我們：風(fēng)險(xiǎn)評(píng)估的第一步是識(shí)別資產(chǎn)，GB/T20984—2007標(biāo)準(zhǔn)5.2.2條款進(jìn)一步告訴我們?cè)鯓幼R(shí)別資產(chǎn)：通過(guò)對(duì)資產(chǎn)的保密性、完整性、可用性賦值并加權(quán)計(jì)算以確定資產(chǎn)的重要性，這種做法是否正確呢？

對(duì)于文件等信息資產(chǎn)的保密性和重要性而言，是因?yàn)槲募谋Ｃ苄砸蟾摺⑺栽撐募匾€是因?yàn)檫@個(gè)文件重要、所以應(yīng)給予較高的保密性控制措施呢？文件的重要性與保密性孰因孰果？很顯然：我們是根據(jù)文件的重要性來(lái)確定其保密性要求的，在這個(gè)過(guò)程中，重要性為因、保密性為果。對(duì)于信息資產(chǎn)而言，保密性如此，完整性、可用性也同樣如此，我們是根據(jù)信息資產(chǎn)的重要性來(lái)確定其完整性和可用性要求的，在這個(gè)過(guò)程中，重要性為因、完整性和可用性為果。這就如同我們對(duì)個(gè)人隱私進(jìn)行保密的道理一樣：因?yàn)閭€(gè)人隱私對(duì)于我們很重要，所以需要保密，并不是保密以后個(gè)人隱私才變得重要的。所以，GB/T20984—2007標(biāo)準(zhǔn)5.2.2條款所介紹的信息資產(chǎn)重要性評(píng)價(jià)方法是一種顛倒因果的行為，令人無(wú)法理解的不僅是標(biāo)準(zhǔn)的失誤，更令人無(wú)法理解的是為什么這樣的失誤長(zhǎng)時(shí)間不能得到糾正？

重要性并非是決定信息保密性的唯一要素，例如：法律法規(guī)很重要，然而法律法規(guī)不但不需要保密，而且希望被大家盡可能地了解與接受，這是因?yàn)闆Q定信息的要素除了重要性i以外，還受信息所屬的本域r影響，從前面我們討論的表征信息的函數(shù)I=I（r，i，t）可以很容易地明白這點(diǎn)。一般而言，法律法規(guī)等屬于組織信息的公共域管理范疇。

另一方面，無(wú)論是GB/T20984—2007標(biāo)準(zhǔn)、還是GB/T22080—2008標(biāo)準(zhǔn)，它們尋求的均是針對(duì)信息資產(chǎn)的安全管理，但是在信息形成信息資產(chǎn)之前我們應(yīng)該怎么辦？標(biāo)準(zhǔn)似乎并不關(guān)心。以信息的保密性管理為例，假設(shè)公司總經(jīng)理有一個(gè)重要設(shè)想，與有關(guān)主管進(jìn)行溝通交流、征求意見(jiàn)，然而召開(kāi)會(huì)議，形成會(huì)議報(bào)告，做出決策，這是一個(gè)比較常見(jiàn)的決策過(guò)程，最終形成的會(huì)議報(bào)告是信息資產(chǎn)，如果按照前面二個(gè)標(biāo)準(zhǔn)的管理思想，我們只能在會(huì)議報(bào)告形成之后對(duì)其進(jìn)行保密性管理，但是在會(huì)議報(bào)告形成之前的相當(dāng)長(zhǎng)的一段時(shí)間中，如果該信息已經(jīng)泄密了，這個(gè)報(bào)告還有怎樣的使用價(jià)值呢？這一事例也告訴我們：在組織中從信息形成信息資產(chǎn)是有一個(gè)過(guò)程的，僅僅關(guān)注信息資產(chǎn)的安全是不夠的，我們應(yīng)該關(guān)注的是信息安全、而不僅僅是信息資產(chǎn)的安全。

那么，信息的重要性應(yīng)該如何確定呢？根據(jù)本文前面關(guān)于信息域的分析可知：信息的重要性是由其所誕生的本域的重要性及其在域中的重要性等級(jí)二方面因素共同決定的，組織應(yīng)對(duì)其信息域及其信息的重要性等級(jí)進(jìn)行規(guī)劃。信息資產(chǎn)的重要性等同于其中信息的重要性。一般情況下，信息在傳遞過(guò)程中其重要性等級(jí)不發(fā)生變化；特殊情況下，如果需要提升信息的重要性等級(jí)，則應(yīng)該對(duì)信息以前的狀況進(jìn)行風(fēng)險(xiǎn)評(píng)估，必要時(shí)采取補(bǔ)救措施。

GB/T20984—2007標(biāo)準(zhǔn)5.2.2.4條款介紹說(shuō)“主要圍繞重要資產(chǎn)”進(jìn)行風(fēng)險(xiǎn)評(píng)估，但是在GB/T22080—2008標(biāo)準(zhǔn)中并沒(méi)有相應(yīng)的內(nèi)容。一片廢紙就有可能引發(fā)一場(chǎng)嚴(yán)重的火災(zāi)事故，然而誰(shuí)也不會(huì)認(rèn)為一片廢紙是重要資產(chǎn)。

GB/T22080—2008標(biāo)準(zhǔn)所介紹的風(fēng)險(xiǎn)評(píng)估方法本質(zhì)上是一種因果判斷的過(guò)程。它以資產(chǎn)的脆弱性為因、外部的威脅為緣、可能產(chǎn)生的不良影響為果，這是一種從原因推論結(jié)果的因果分析方法。它從可能的事件原因入手，要求窮盡原因以分析結(jié)果，理論上雖然正確、事實(shí)上卻是無(wú)法實(shí)現(xiàn)的，因?yàn)槭录脑蚯ё內(nèi)f化，不可能被窮盡、我們也完全沒(méi)有必要窮盡所有的事件原因。經(jīng)驗(yàn)告訴我們：能夠?qū)е聡?yán)重后果的事件畢竟是少數(shù)，在日常生活中的絕大多數(shù)事件往往危害并不大、是可以接受的。長(zhǎng)期的工作實(shí)踐也告訴我們：沒(méi)有哪個(gè)單位能夠識(shí)別所有資產(chǎn)的脆弱性及其所面臨的威脅，GB/T22080—2008標(biāo)準(zhǔn)所介紹的風(fēng)險(xiǎn)評(píng)估方法只會(huì)讓我們將大量的時(shí)間和精力浪費(fèi)在不必要的微小方面、甚至有可能導(dǎo)致對(duì)重大風(fēng)險(xiǎn)的忽略。雖說(shuō)千里長(zhǎng)堤、潰于蟻穴，但是我們不可能要求千里長(zhǎng)堤上沒(méi)有一個(gè)蟻穴，也不可能對(duì)千里長(zhǎng)堤上的每一個(gè)蟻穴都加以同等的關(guān)注，因?yàn)榍Ю镩L(zhǎng)堤上可能還有更加嚴(yán)重的老鼠的洞穴、野兔的洞穴等等，絕大多數(shù)蟻穴并不會(huì)導(dǎo)致長(zhǎng)堤的崩潰，所以，我們只需要關(guān)注那些有可能造成長(zhǎng)堤崩潰的重大洞穴就可以了。這一思想告訴我們：我們應(yīng)該關(guān)注那些重大的、有可能導(dǎo)致不可接受風(fēng)險(xiǎn)的事件，消除或降低此類事件發(fā)生的原因，也就是從可能的嚴(yán)重結(jié)果反溯其原因、并進(jìn)行有針對(duì)性的有效處置。

信息安全的風(fēng)險(xiǎn)管理應(yīng)該貫穿于信息的整個(gè)生命周期，它包括信息的獲取和生產(chǎn)、信息的保持與使用、信息的變更、異常情況處理及作廢信息的處置五個(gè)階段，各個(gè)階段所面臨的信息安全風(fēng)險(xiǎn)及其控制措施是不同的。GB/T22080—2008標(biāo)準(zhǔn)所介紹的首先識(shí)別資產(chǎn)的威脅和脆弱性的風(fēng)險(xiǎn)評(píng)估方法僅適用于信息作為信息資產(chǎn)的正常使用過(guò)程，所以并不完善。

在信息的獲取階段，我們需要根據(jù)工作內(nèi)容對(duì)信息源的第一類和第二類可用性進(jìn)行全面評(píng)審，由于我們所獲得的原始信息往往存在碎片化的傾向，所以此時(shí)的信息源存在較大的不確定性，有時(shí)還需要進(jìn)行進(jìn)一步的取證以去偽存真，必要時(shí)應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，以最終確定信息源的可用程度。

在信息的生產(chǎn)階段，我們需要依據(jù)獲取的有效信息、根據(jù)目的需要對(duì)信息進(jìn)行加工，以生產(chǎn)出適合組織目標(biāo)要求的有用信息和信息資產(chǎn)如文件等。組織需要對(duì)生產(chǎn)的信息進(jìn)行評(píng)審、必要時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確保其有效性。

在信息的保持和使用階段，主要是保持信息的第二類可用性。信息的第二類可用性是由其保密性和完整性決定的，組織應(yīng)通過(guò)有效的技術(shù)手段和管理措施保證信息的保密性和完整性。那些因?yàn)榫W(wǎng)絡(luò)中斷等IT系統(tǒng)故障導(dǎo)致的信息不可用，屬于信息技術(shù)安全問(wèn)題，責(zé)任不在信息本身。

信息使用過(guò)程的保密性、完整性風(fēng)險(xiǎn)與其工作域及其所采用的信息技術(shù)有關(guān)。組織應(yīng)識(shí)別信息在其工作域中正常工作過(guò)程的風(fēng)險(xiǎn)，并監(jiān)視信息是否存在僭域、或完整性破壞的異常現(xiàn)象；如果發(fā)現(xiàn)信息僭域、或完整性破壞的現(xiàn)象，應(yīng)及時(shí)查找原因、通過(guò)風(fēng)險(xiǎn)評(píng)估確認(rèn)信息的可用性，并采取必要的補(bǔ)救措施。信息僭域以后并非一定失去其可用性，僭域的信息固然在一定程度上失去了保密性，只要風(fēng)險(xiǎn)沒(méi)有超出允許的范圍，信息的可用性就不會(huì)完全喪失，但是這說(shuō)明了組織的信息安全存在隱患，需要治理。

信息變更等同于信息的再生產(chǎn)，其風(fēng)險(xiǎn)管理與信息生產(chǎn)階段相同。

作廢信息的處置也不能被忽略，在信息沒(méi)有徹底解密之前，其保密性就必須被保持。

考慮到風(fēng)險(xiǎn)評(píng)估對(duì)于信息安全的重要性及其適用性需求，依據(jù)GB/T22080—2008標(biāo)準(zhǔn)的風(fēng)險(xiǎn)管理思想，我們介紹一種適合于信息保持階段、針對(duì)第二類可用性的風(fēng)險(xiǎn)評(píng)估方法：

1、假設(shè)信息受到破壞失去保密性或完整性等第二類可用性因素，評(píng)估其對(duì)組織的影響A及其發(fā)生的概率P。需要注意的是：這種影響一般并不是固定的，往往是一個(gè)范圍，所以需要分別考慮最大影響、最小影響、最可能發(fā)生的影響及其概率；

我們將保密性、完整性等影響信息第二類可用性的因素稱為信息的可用性因子D，一般情況下，可用性因子D的破壞程度與其對(duì)組織的影響A正相關(guān)，假設(shè)發(fā)生某種影響的概率為P1，那么可以建立函數(shù)F=F（D，A，P1）

2、計(jì)算以上影響對(duì)組織的風(fēng)險(xiǎn)；風(fēng)險(xiǎn)值R可以表示為對(duì)組織的影響A及其發(fā)生概率P1的函數(shù)，即R=R（A，P1）；

3、根據(jù)預(yù)設(shè)的風(fēng)險(xiǎn)接受準(zhǔn)則評(píng)估以上風(fēng)險(xiǎn)是否可接受。風(fēng)險(xiǎn)接受準(zhǔn)則要求可接受的風(fēng)險(xiǎn)值R不能大于設(shè)定值R0，因此可以據(jù)此確定什么程度的信息可用性因子破壞是不可接受的，即確定可接受的可用性因子破壞閥值D0；

只要不對(duì)組織的目的性產(chǎn)生影響的信息可用性因子破壞基本上都是可以接受的，因此從安全的角度考慮，我們不妨將風(fēng)險(xiǎn)接受準(zhǔn)則確定為：在任何情況下，不論P(yáng)1如何取值，信息可用性因子的破壞對(duì)組織的影響A恒為零，即A=0，此時(shí)的風(fēng)險(xiǎn)值R=0。

以保密性管理為例：某公司供應(yīng)部制定的物資招標(biāo)采購(gòu)計(jì)劃雖然在公司內(nèi)部有所泄漏，只要沒(méi)有被公司外部的投標(biāo)方所獲取，就不會(huì)對(duì)公司的招標(biāo)活動(dòng)產(chǎn)生影響，這樣的招標(biāo)信息就不會(huì)喪失其可用性，這樣的風(fēng)險(xiǎn)就屬于可接受風(fēng)險(xiǎn)；但是，公司內(nèi)部的人事變更方案如果在正式確定前就已經(jīng)被公司有關(guān)員工所了解，這個(gè)方案的可用性就有可能會(huì)受到嚴(yán)重影響，這樣的風(fēng)險(xiǎn)就屬于不可接受風(fēng)險(xiǎn)。

雖然供應(yīng)部的物資招標(biāo)采購(gòu)計(jì)劃在公司內(nèi)部有所泄漏屬于可接受風(fēng)險(xiǎn)，但是這并不表示這樣的風(fēng)險(xiǎn)就不需要加以治理，這事件恰恰說(shuō)明供應(yīng)部的信息安全管理存在漏洞，因此供應(yīng)部應(yīng)該將其作為重大的信息安全風(fēng)險(xiǎn)并制定有效的控制措施。

4、針對(duì)以上分析的不可接受風(fēng)險(xiǎn)，利用因果圖等分析工具尋求可能產(chǎn)生以上信息可用性因子破壞的原因（信息的脆弱性V及其外部的威脅T）及其產(chǎn)生的概率P2，可用性因子D可能的破壞程度可以表述為以上三者的函數(shù)D=D（V，T，P2）；

5、由于信息可用性因子D的破壞程度與其對(duì)組織的影響A正相關(guān)，所以，針對(duì)D>D0的脆弱性和威脅制定控制措施。消除脆弱性或消除威脅都可以實(shí)現(xiàn)這一目標(biāo)。

針對(duì)以上招標(biāo)信息的保密性泄密現(xiàn)象而言，雖然泄密范圍僅僅是公司內(nèi)部的少數(shù)人群，然而，如果其中有人與投標(biāo)方存在利益關(guān)系，這就存在使泄密范圍進(jìn)一步廣大到投標(biāo)方的威脅，從而產(chǎn)生對(duì)公司的利益造成影響的可能，這樣的風(fēng)險(xiǎn)就是不可接受的，必須加以消除。

二年前，筆者剛從事信息安全管理體系審核員工作不久，曾有幸參加一次關(guān)于信息安全管理標(biāo)準(zhǔn)的培訓(xùn)，與會(huì)者基本上都是國(guó)內(nèi)從事信息安全管理的專業(yè)人員。會(huì)議過(guò)程中大家對(duì)于信息安全管理體系需要識(shí)別哪些“信息資產(chǎn)”進(jìn)行了熱烈的討論，然而，一直到今天為止，國(guó)內(nèi)各單位在建立其信息安全管理體系時(shí)依然將硬件、軟件等組織的各類資產(chǎn)統(tǒng)稱為信息資產(chǎn)，這種概念的混亂令人驚訝。

毫無(wú)疑問(wèn)：信息安全的核心理應(yīng)是、也只能是信息本身的安全，包括作為信息表現(xiàn)形式的信息資產(chǎn)的安全；組織的信息安全管理必須以信息管理為基礎(chǔ)，并為組織的信息管理服務(wù)，這是組織信息安全管理的唯一目的。信息技術(shù)安全對(duì)于信息安全具有重要的支持與保護(hù)作用，屬于廣義的信息安全范疇，也應(yīng)該受到應(yīng)有的重視，不可缺失，但是不可以信息技術(shù)安全代替信息安全，那是本末倒置的。

信息安全對(duì)于組織安全的重要性毋需筆者贅言，三年多來(lái)，筆者從學(xué)習(xí)標(biāo)準(zhǔn)、思考標(biāo)準(zhǔn)起步，到今天懷疑標(biāo)準(zhǔn)、并試圖建立實(shí)用的信息安全管理理論，我始終孑然獨(dú)行在信息安全管理這條孤寂的小道上，只為了一名職業(yè)工作者良心的安寧。我不敢奢望已經(jīng)掌握了真理，甚至不敢幻想能獲得多少共鳴，只希望能起到拋磚引玉的作用，讓更多的人來(lái)思考組織的信息安全管理這個(gè)重要課題，以便為組織真正建立起實(shí)用而有效的信息安全長(zhǎng)城！