基于ISO/IEC 27001:2013的集團企業信息安全管控設計

李心陽（神華天津煤炭碼頭有限責任公司信息中心）　謝宗曉（南開大學商學院）

基于ISO/IEC 27001:2013的集團企業信息安全管控設計

李心陽（神華天津煤炭碼頭有限責任公司信息中心）謝宗曉（南開大學商學院）

本文設計了一個大型集團企業的信息安全管控模式，該模式以ISO/IEC 27001:2013為基礎，建立了一個四級文件架構的信息安全管理體系（ISMS）。本文可以為大型集團企業部署信息安全管理體系（ISMS）提供指導。

信息安全集團管控治理ISO/IEC 27001: 2013

ISO/IEC 27001:2013是全球應用最廣泛的信息安全管理標準之一，其2005年版本被等同采用為GB/T 22080—2008。該標準適用于所有的組織，致力于幫助組織建立、實施、運行、監視、評審、保持和改進文件化的信息安全管理體系（Information Security Management System, ISMS）。以該標準為基礎的ISO/IEC 27000標準族共包括了從ISO/IEC 27000到ISO/IEC 27059的60個標準，幾乎囊括了信息安全的方方面面。

但是，ISO/IEC 27001:2013主要關注單個組織的信息安全，對于大型集團企業并沒有單獨的版本或提出額外的實施指南。對于集團企業而言，最首要的問題恰恰是治理層的問題，而不是管理層問題。本文基于ISO/IEC 27001:2013以及實踐中所積累的經驗，對大型集團公司信息安全的管控模式進行了初步的探討。

一、文件化的信息安全管理體系的原則

文件化是有效溝通方式的一種，尤其是在一對多的模式中。在中小企業，文件溝通不見得是最好的方式，當面溝通可能更有效。但是在大型集團企業中，甚至一國政府，當面溝通不但低效，而且存在諸多弊端，例如，信息傳遞過程中的失真。幾乎所有的大型組織最終都會選擇文件作為主要的溝通載體之一，由此便導致了“文山會海”的弊端。因此，對于文件化的信息安全管理體系設計應該遵循以下兩個原則：

（一）按照組織的最小需求設計文件，降低文件數目

制度是一個廣泛的概念，其中包括了明確的或隱含的規則，實際上對于制度而言，表現形式是最次要的一部分。在實踐中，更表現出了這樣的特點，許多法律法規文件可能效力遠不如某些潛規則。

組織追求龐大的文件體系，原因可能有很多。例如，主管部門為了追求“盡職，免責”。由于立法、執法和監督部門往往都是分離的1毫無疑問，職責分離是利大于弊的。關于這一點在ISO/IEC 27001:2013附錄A中也有類似的要求。我們在此討論的目的不是否定職責分離，而是更大化的發揮其作用。，組織內部不免會陷入相互推諉。信息安全事件發生后，負責執行的部門往往會歸結為由于缺乏相應的立法，導致“無法可依”。在這種情況下，立法部門往往會盡量設計更全面的制度。但立法部門最關注的不是制度的可實施性，換句話說，他們最關心的是“有法可依”，而不是“有法必依”。

國家的法律雖然繁雜，但是有專業的律師提供服務，普通人不需要了解其中的細節。但是一個組織的制度則不同，組織內部不可能提供類似律師一樣的專業服務。每一個制度，原則上員工都需要了解。顯然，員工不可能花太多的精力去學習更多的文件。所以，過多龐大的制度體系不但不會提升組織的正規化，反而使組織落入“制度在墻”的尷尬境界。

（二）可以由上級統一文件化的，下面不再文件化

許多制度的關鍵點不在于好或壞，而在于能夠被統一的執行，例如，左側行駛或者右側行駛，沒有本質的區別，重要的是，在特定的范圍內能夠被統一的，無差別的執行。組織內部的制度也遵循同樣的道理。

在大型集團企業內，如果某個制度能夠被統一，應該盡量由上級統一文件化，下級機構可以據此執行，或者適當修改后執行。這樣做的目的是形成統一的規則，降低不確定性帶來的成本。

綜上所述，以上兩個原則應該貫穿信息安全管理制度文件架構的始終，即（1）只在必要的時候才單獨成文；（2）盡量在全集團內設計推行統一的制度文件。

二、集團企業信息安全管控模式設計

大型集團企業的整體管控模式，按照母子公司的集權分權程度，可以劃分為財務管控、戰略管控和運營管控三種。信息安全管控模式首先要適應整體的集團管控模式，如上所述，ISO/IEC 27001:2013默認部署的范圍是一個組織或者組織的一部分，并沒有考慮集團企業的情況。集團企業往往是由諸多獨立運營的公司所組成，這就關系到管控問題，信息安全管控模式的本質是信息安全管理制度的頂層設計。

我們以大都控股集團2關于虛擬案例大都集團的詳細介紹，請參考《信息安全管理體系實施案例》，見參考文獻。的組織結構為例設計管控模式，大都控股集團的組織機構如圖1所示。

圖1　大都控股集團組織結構

根據《信息安全管理體系實施指南》的文件架構設計，我們將大都控股集團的文件分為四級，其介紹如表1所示。

表1　大都集團文件體系

按照這個管控模式對應之后的文件體系，示例如圖2所示。

圖2　大都控股集團文件體系

三、結語

雖然ISO/IEC 27001:2013強調了適用于所有的組織，但是并沒有專門對大型集團企業或小型組織3國際標準化組織的官方網站（www.iso.org）在2010年提供了小型組織裁剪使用ISO/IEC 27001的指南，標題為：ISO/IEC 27001 for Small Businesses - Practical advice，購買該手冊的地址為：http://www.iso.org/iso/home/store/publication_item.htm?pid=PUB100255.做相應的指導，本文針對這種不足，設計了一種適合大型集團企業的信息安全管控模式，保留了實踐中較為通用的ISO/IEC 27001:2013的四級文件架構，但是按照集團企業的母子公司進行了重新劃分，使得一級文件與二級文件“對事不對人”，三級文件“對事也對人”，但盡量保證“一個角色，一件事，只對應一個文件”，從而降低了員工閱讀文件的負擔，最大限度的避免了文件與實際執行存在的“兩層皮”現象，提高了文件的可實施性。

[1] ISO/IEC 27001:2013 Information Security Management System Requirement.

[2] 謝宗曉，鞏慶志. ISO/IEC 27001:2013標準解讀及改版分析[M]. 北京：中國標準出版社，2014.

[3] 謝宗曉，《政府部門信息安全管理基本要求》理解與實施[M]. 北京：中國標準出版社，2014.

[4] 謝宗曉，信息安全管理體系實施案例[M]. 北京：中國標準出版社，2012.

[5] 謝宗曉，信息安全管理體系實施指南[M]. 北京：中國標準出版社，2012.

Design of Information Security Management and Control for Group Enterprises Based on ISO/IEC 27001:2013

Li Xin-yang ( Information Center ShenHua TianJin Coal Terminal. LTD ) Xie Zong-xiao ( Business School, Nankai University )

Design an information security management and control model for group enterprises, which based on ISO/ IEC 27001:2013 and constructed information security management system (ISMS) with 4 document levels. It can provide guidance for developing ISMS in group enterprises.

information security, group enterprises management and control, governance, ISO/IEC 27001: 2013