信息安全制度落地中的治理問題探討

謝宗曉（南開大學商學院）

甄杰（重慶工商大學商務策劃學院）

信息安全制度落地中的治理問題探討

謝宗曉（南開大學商學院）

甄杰（重慶工商大學商務策劃學院）

信息安全制度不能落地的原因有很多，其中一部分要歸結到治理層。本文對影響制度落地的信息安全治理問題，尤其是治理結構，進行了初步探討，并根據實踐的觀察，將其分為3種類型。

治理 信息安全 信息安全制度/策略

謝宗曉 博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文55篇，出版專著12本。

信息安全管理系列之二十

在信息安全制度的落地過程中，存在一些管理上難于解決的問題，這往往是由于未能理順治理結構。一般而言，在一個組織中，高層存在的頑疾，試圖通過底層的“倒逼”去解決比較困難，即使成功也“事倍功半”。本文在信息安全管理系列之十八的基礎上，從治理的角度討論如何促進信息安全制度的落地。

謝宗曉（特約編輯）

一般而言，在底層執行中存在的不可調和的沖突，往往是由于高層設計中出現了問題。ISO/IEC 27014：2013《信息技術 安全技術 信息安全治理》將信息安全治理定義為“指導和控制組織信息安全活動的體系”，并明確地指出“在信息安全方面，治理者的關鍵聚焦點是確保組織的信息安全方法是有效率的、有效果的、可接受的，與業務目的和戰略是一致的，并充分考慮到利益相關者的期望”[1]。

信息安全治理的主要目的有：1）使信息安全目的和戰略與業務目的和戰略一致（戰略一致）；2）為治理者和利益相關者帶來價值（價值提供）；3）確保信息風險得到充分解決（責任承擔）。

李維安等認為公司治理的目標不但要實現利益相關者之間相互制衡，而且要實現公司決策的科學化[2]。對比公司治理的目標，可見信息安全治理實際就是公司治理在信息安全情境中的細化。

1 關于信息治理結構

治理結構的設計是信息安全治理的基本問題之一[3]。在公司治理領域，一般認為治理結構包括了董事會及高層管理的相關設計，處于組織內外的交界處。在信息安全實踐中，治理結構更多地體現為信息安全的分管結構。

基于實踐觀察，我們按照信息安全與IT之間的關系，對常見的分管結構進行了初步的分析，主要分為3種：治理結構Ⅰ型（分開分管）、治理結構Ⅱ型（統一分管）和治理結構Ⅲ型（統一管理）。

必須強調的是，這3種治理結構沒有絕對的好與壞，重點在于治理結構與組織戰略是否匹配。例如，某企業中，信息安全與信息化的分管領導不是同一個高管，導致的后果必然是信息安全部門公布的所有制度都“從嚴”，但是如果該企業的主營業務是典型的乙方性質，那么該企業在分管結構上與公司戰略是否匹配則有待商榷。

1.1 信息安全治理結構Ⅰ型（分開分管）

越來越多的組織試圖將首席信息官（Chief Information Officer，CIO）與首席安全官（Chief Security Officer，CSO）分離，設計成與審計類似的架構。信息安全治理結構Ⅰ型（分開分管）指的是信息安全與IT分屬不同的高層管理，如圖1所示。

圖1 信息安全治理結構Ⅰ型（分開分管）

這種結構強調了信息安全的重要性，尤其是對IT部門形成了制約，這是優點。但缺點是容易導致損失便利性考慮。分離之后的信息安全部門往往顯得行動偏激，甚至會干擾正常業務運轉。一個部門一旦獨立，為了爭取部門權益或存在合法性，必然最大化利用手中的權力，這在組織研究領域中已經有較為充分的研究。

在很多情況下，如果強調一件事的重要性，建立獨立的組織并招募一批以此為生的員工，為爭取生存，他們自然會最大化地強調這件事的重要性。更通俗的例子是，城管隊員可能會逐步表現出城市高層管理并不期望的偏激行為，例如，毆打小商小販，這不是管理技巧的討論范疇，而是一個治理層問題，因為在制度的頂層設計中，城管隊員與小商小販在生存權問題上存在根本的沖突。幾乎同樣的邏輯也會發生在信息安全情境中。

此外，根據認知失調理論（Cognitive Dissonance），我們得知在個體認知層面討論這種沖突亦無濟于事，因為沖突中的每一方往往都認為自己是正義的，否則就不會發生公開的沖突。個體認知只有在匯聚起來的時候，才能夠形成合法性，并由此改變社會結構。如果缺乏足夠的人群，個體認知不會改變整體組織架構，而是呈現了相反的影響路徑。通俗地講，在改變不了自身狀態的情況下，個體一般會選擇改變認知，因為改變認知結構比改變社會結構要容易得多。

1.2 信息安全治理結構Ⅱ型（統一分管）

信息安全治理結構Ⅱ型（統一分管）指信息安全與IT是不同的獨立部門，但是歸屬同一個高管分管。具體如圖2所示。

圖2 信息安全治理結構Ⅱ型（統一分管）

這種結構的缺點很明顯，由于信息安全和IT部門同屬一個分管領導，信息安全對信息系統管理的監督作用有限，當然這種做法的優點同治理結構Ⅰ型（分開分管）一樣，也會形成一定的制約，這種制約更多地體現為對其他部門。但是在實踐中，信息安全雖然是廣義的，包括了各種形式存在信息，例如，存在信息系統中的信息，打印在紙上的信息，直至員工大腦中的知識，即便如此，信息系統安全毫無疑問是其中最重要的部分。從這個角度講，治理結構Ⅱ型（統一分管）并不適合信息安全非常重要的組織。

治理結構Ⅱ型（統一分管）更容易在“便利性”與“安全性”之間達到平衡，越來越多的組織開始采用這種治理結構。

1.3 信息安全治理結構Ⅲ型（統一管理）

在信息安全治理結構Ⅲ型（統一管理）中，信息安全還是作為IT部門中的一個部門，如圖3所示。

圖3 信息安全治理結構Ⅲ型（統一管理）

治理結構Ⅲ型（統一管理）是目前最常見的形式，由于信息安全只是IT部門的其中一個部門負責，也就是說，信息安全對IT運維等很難形成制約，更多的作用是對其他部門的管理，很難避免“監守自盜”的問題。信息安全在治理結構Ⅲ型（統一管理）中尚未上升到治理層次，僅僅在管理層中討論。

2 小結

信息安全治理在組織的治理者、執行管理者和那些負責實現與運行信息安全管理體系者之間提供了強有力的紐帶。ISO/IEC 27014：2013提出了一個“評價”“指導”“監視”和“溝通”過程來治理信息安全。這個過程主要針對信息安全管理體系（Information Security Management System，ISMS）的實施[4]，顯然也可以推廣到通過其他體系的部署信息安全的組織。本文的目的就是提出更一般性的討論。

[1]ISO/IEC 27014：2013 Information technology—Security techniques—Governance of information security

[2]李維安，林潤輝，范建紅，等. 網絡治理研究前沿與述評[J]. 南開管理評論，2014（05）：42-53.

[3]謝宗曉，周常寶. 信息安全治理及其標準介紹[J]. 中國標準導報，2015（10）：38-40，45.

[4]林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標準出版社，2015.

Discuss of Governance Aspects in Information Security Policies Implementation

Xie Zongxiao ( Business School, Nankai University )
Zhen Jie ( School of Business Planning, Chongqing Technology and Business University )

Information security policy can not implement for many reasons, some of which comes down to governance. The paper discussed information security governance, particularly governance structure, which affect information security policies compliance. In addition, based on practical observations, we divided it into 3 types.

governance, information security, information security policies