信息安全治理及其標準介紹

謝宗曉　周常寶（南開大學 商學院）

信息安全治理及其標準介紹

謝宗曉周常寶
（南開大學 商學院）

信息安全治理問題是目前解決諸多實踐問題的瓶頸，從公司治理出發，結合ISO/IEC 27014：2013，本文探討了信息安全治理的基本概念、行動原則以及實施過程。

信息安全治理ISO/IEC 27014：2013

專欄

信息安全管理系列之九

在信息安全情境中長期存在“重技術，輕管理”的現象，實際更嚴重的是“輕治理”。就整個企業環境而言，正如學者李維安所指出：公司治理已遠遠落后于技術變化。ISO/IEC 27014：2013《信息技術 安全技術 信息安全治理》雖然姍姍來遲，但是作為ISO/IEC 27000標準族的系列標準，我們期望該標準的發布能夠促進解決目前實踐中所面臨的瓶頸。本文對信息安全治理及其相關問題進行了初步探討。

謝宗曉（特約編輯）

1　治理與管理

治理（governance）是外來詞匯，起源于拉丁文或希臘語“引航”（steering），這清晰地指明了治理與管理的不同之處，或者說，治理更偏重方向性問題。這種差異導致在越宏觀的領域，治理詞匯出現得越頻繁，例如，社會治理、環境治理、公司治理；在細分領域則恰相反，例如，信息安全治理就較少出現。

但是，信息安全治理和公司治理中對“治理”的定義并不盡相同。信息安全治理是指導和控制組織信息安全活動的體系，公司治理則是用規則和制度來約束和重塑利益相關者之間的關系1）李維安：推進全面深化改革的關鍵 樹立現代治理理念，http://theory.people.com.cn/n/2013/1129/c40531-23692375.html.），其前提是代理理論2）公司治理理念，http://www.cg.org.cn/n/4269.html.），也就是說，經營權和所有權的分離是產生治理問題的基礎。在NIST SP800-37 Rev1和NIST SP800-30 Rev1中解釋得更清楚，而且還加了一個控制層。如圖1所示。

圖1　不同層次的問題

2　ISO/IEC 27014：2013綜述

ISO/IEC 27014：2013全稱為：Information technology—Security techniques—Governance of information security（信息技術 安全技術 信息安全治理），該標準提供了信息安全治理的基本概念和原則，企業可以據此評價、指導、監督和溝通組織內部的信息安全相關活動。ISO/IEC 27014：2013被等同采用為國家標準，目前尚未正式公布，在送審稿階段。

ISO/IEC 27014：2013由ISO/IEC JTC 1/SC 273）關于ISO與IEC的機構設置，請參考：林潤輝等著《信息安全管理理論與實踐》，中國標準出版社，2015。）與ITU -T4）ITU-T (ITU Telecommunication Standardization Sector)是國際電信聯盟專門制定遠程通信標準的國際標準化機構，前身為CCTT (International Telegraph and Telephone Consultative Committee)，ITU-T發布的標準都稱為建議（Recommendations），因此ISO/IEC 27014：2013就是ITU-T Recommendation X.1054。）合作發布，ITU-T發布為X.1054。

ISO/IEC 27014：2013正文共有5章（前3章分別為：范圍、規范性引用文件以及術語和定義），2個資料性附錄。這個標準內容比較簡單，正如其介紹中所述，主要是為了提供概念和原則，正文中第4章為概念，第5章為原則與過程。

此外，需要指出的是ISO/IEC 27014：2013中認為信息安全治理的目的是：（1）使信息安全目的和戰略與業務目的和戰略一致（戰略一致） ；（2）為治理者和利益相關者帶來價值（價值提供）；（3）確保信息風險得到充分解決（責任承擔）。

3 公司治理與信息安全治理的關系

和其他領域的治理一致，例如，信息技術治理、跨國治理等，也可以認為信息安全治理是公司治理的子領域。在ISO/IEC 27014：2013中用的詞匯是“組織治理”。

圖2　組織治理、信息技術治理與信息安全治理的關系

4　信息安全治理的原則

治理最本質的目的是處理“利益相關者之間的關系”，所有的利益相關者各有各的視角，例如，企業所有者追求的是利潤最大化，期望的是最低安全，對CSO（首席安全官）而言，安全則是其工作的全部內容，期望的是絕對安全。因此，如何保障所有的利益相關者盡量獲取期望的價值是信息安全能否成功的關鍵。

ISO/IEC 27014：2013在這個基礎上提出了六條行動原則。

（1）建立組織范圍的信息安全

信息安全很容易被認為是某個部門的責任，必須強調全組織范圍內的信息安全，應該跨越部門建立信息安全的責任制和問責制。這個原則在ISO/IEC 27001中就有所體現，例如，附錄A中信息安全組織要求建立協調機構，目前很多企業都建立了信息安全委員會或者信息安全領導小組，并指定“一把手”為信息安全第一責任人。這樣做的目的是使信息安全的相關決策上升至整個組織的層次，而不僅僅是某個或某些部門的決策。

為建立組織范圍的信息安全，“邊界”不會這么確切，可能常常涉及到外部各方，例如，為了申請政府補助項目，需要提交各種敏感信息，這時實際上還是在組織范圍內。

（2）采用基于風險的方法

風險在某些領域一度是中性詞，甚至是褒義詞，例如“富貴險中求”。但是在信息安全中，風險一般只與負面的事件相聯系。信息安全的本質是為了防止安全事件的發生，因此，控制風險是信息安全實踐的核心問題，這在業界已經得到共識。同時，信息安全治理宜建立在基于風險的決策基礎上。決定多少安全程度是可接受的，宜建立在組織對風險承受的基礎之上，包括競爭優勢的喪失、違規和未盡義務的風險、日常業務中斷、聲譽受損和經濟損失。

NIST SP800-37 Rev1中描述了一個如圖3所示的信息安全風險管理框架。

圖3　NIST風險管理框架

（3）確定投資決策的方向

實現有效益的安全，而不能“為了安全而安全”。信息安全治理宜基于要實現的業務產出建立信息安全投資戰略，使得業務和信息安全需求之間無論短期還是長期都是相稱的，從而滿足利益相關者當前和不斷變化的需要。但是，目前對信息安全投資的規模和去向都沒有良好的實踐。在信息安全處置過程中，成本效益分析是比較可行的方法之一。

（4）確保符合內部和外部的要求

信息安全治理宜確保信息安全策略和實踐符合相關的強制性法律、法規和規章，以及承諾的業務或合同要求和其他的外部或內部要求。在我們“信息安全管理系列”文章稱之為“內外合規”，在ISO/ IEC 27001中稱之為“符合性”。實際上，“符合內部和外部要求”都可以列入廣義合法性的獲取，合法性是一個組織生存的根本，例如，一國政府，一旦失去合法性，就會引致諸多挑戰行為，并由此導致崩潰。

（5）營造安全良好的環境

信息安全治理宜建立在人的行為之上，包括所有利益相關者不斷變化的需要，因為人的行為是支撐信息安全適當級別的基本要素之一。如果沒有充分的協調，目的、角色、責任和資源可能相互沖突，導致未能達到業務目的。設計一整套的制度，使各種利益相關者之間的協調和方向一致正是治理的本質目的。許多利益的沖突，往往在制度設計階段就產生了，例如，設計過度嚴厲的信息安全制度，規定輕微違規事件就要開除，必然導致員工掩蓋輕微的事件，導致嚴重信息安全事件的發生。

（6）關聯業務產出評審績效

在約定的信息安全級別下，信息安全治理宜確保保護信息所采用的方法適合支持組織的意圖。安全績效宜被維持在滿足當前和未來業務需求所需要的級別上。

為從治理角度評審信息安全績效，治理者宜評價信息安全在業務影響方面的績效，而不僅僅是安全控制措施的效率和效果。這可以通過授權執行一個監視、審核和改進的績效測量程序來做到，從而將信息安全績效連接到業務績效。

5　信息安全治理的過程

在公司治理領域，公司治理被描述為一系列問題的集合，并沒有完整的流程，但ISO/IEC 27014：2013給了一個比較簡單的模型，如圖4所示。

圖4　信息安全治理模型

評價是指治理者對執行層的提案進行評價，從而確定是否能夠實現信息安全目的，并充分支持組織的主營業務。指導體現了治理的原意之一，即確定方向，其中很重要的一點就是上文中所描述的確保信息安全戰略與業務戰略的一致。監視的輸入來自執行層，執行管理者應向治理者反饋信息安全績效，站在專業角度對可能的風險進行預警或分析等。溝通是指治理者與利益相關者的溝通。在ISO/IEC 27014：2013中對治理者和執行管理者的任務進行了分類描述。

6　小結

信息安全治理中所涉及的問題，在之前的信息安全相關標準中（如ISO/IEC 27001等）均有涉及，例如，信息安全風險管理，符合性和績效評價等內容。但是毫無疑問，很多問題不是執行管理層能夠協調解決的。將這些方面單獨列出作為信息安全治理層的工作有很重要的意義，這相當于對信息安全實踐中戰略層和執行層問題進行了分離，也正如ISO/IEC 27014：2013所指出：信息安全治理在組織的治理者、執行管理者和那些負責實現與運行信息安全管理體系者之間提供了強有力的紐帶。

[1] ISO/IEC 27014：2013 Information technology—Security techniques—Governance of information security

[2] 《信息技術安全技術信息安全治理》（征求意見稿），http://www.tc260.org.cn.

[3] 林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標準出版社，2015.

[4] NIST SP800-30 Rev1 Guide for Conducting Risk Assessments，2012.

[5] NIST SP800-37 Rev1 Guide for Applying the Risk Management Framework to Federal Information Systems-A Security Life Cycle Approach，2010.

Introduction of Information Security Governance and its Standards

Xie Zongxiao, Zhou Changbao
( Business School, Nankai University )

From corporate governance and ISO/IEC 27014: 2013, this paper discussed concepts, principles and process of information security governance.

information security governance, ISO/IEC 27014: 2013