從功能角度談信息安全策略的概念定位

王一楠 郝芳

摘 要： 盡管當前對于信息安全策略的研究有很多，但是對于其含義卻沒有達成共識。本文通過對相關文獻的梳理研究，從功能角度對信息安全策略的概念進行了概括闡述和分析，揭示了信息安全策略的豐富內涵，為其進一步研究、發展和完善提供一定的理論依據及導向。

關鍵詞： 信息安全策略;概念定位;組織發展;實施對象;事故應對

當今社會，信息被賦予了越來越多的價值，與此同時，利用信息資源進行惡意操作的行為也是層出不窮、愈演愈烈，因此各個領域、各個行業都在尋求能夠有效保護其信息資產的方法，信息安全策略應運而生。盡管很多組織機構認識到其重要性，并意識到現有的標準或結構存在一定的問題，但出于某些原因，他們卻無法改善其安全策略。其中一個很重要的因素就是他們對于信息安全策略的概念定位還不準確，因此這種起源性的錯誤造成組織在面對現實安全問題時，其制定的策略只是空有其表，卻行之無效。

一般說來，很少有研究明確探討信息安全策略的組成以及應起到何種作用，因此造成了一定的模糊性。本文試圖從以往相關文獻內容中對其含義進行提取并歸類總結，同時筆者認為，信息安全策略存在的價值在于能夠幫助組織或其管理者實現維護信息資產安全的目的，這是其“服務宗旨”，所以本文著重結合信息安全策略的功能分類闡述其多樣的內涵。

一、維護組織發展的功能定位

信息安全策略通常表示組織對期望達到的安全狀態的描述，常用安全目標、措施、目的、意圖等詞來闡釋。Klaic（2010）指出，在狹義上講，信息安全策略代表了有重要地位的管理人員（譬如CEO、執行董事會、部長等）為了達到信息安全方面的理想狀態而提出的關于理念、目標、原因和方法的陳述或聲明[1]。許多學者認為信息安全策略應該維護并輔助完成組織的整體業務目標。Saleh（2011）指出，信息安全策略存在的目的不僅僅是為了實現安全目標（保證信息的完整性、可用性、保密性），還要確保組織在發生意外事故或信息系統遭到攻擊的情況下仍能完成其工作使命或商業目標等[2]。

信息安全策略為組織實施信息安全管理提供安全導向，它是管理者用來表達其管理目的、監督組織中其他部門運行的工具。Cram等人（2017）將具體政策內容描述為：“它們（指信息安全策略）包含員工在處理與信息和技術資源相關的日常工作時必須遵守的指導方針和規范程序?！盵3]在組織機構中設立這樣的政策架構可以支撐其對信息使用的全面掌控，在這種政策存在的前提下，很多不合安全規定的行為將能得到有效遏制，并且這類政策對于違反安全規定操作將要受到的懲罰也做出說明。將信息安全策略形成白紙黑字的文檔，也可以使公司等組織機構在懲罰措施方面免受一些法律糾紛的干擾。

二、明確實施對象的功能定位

Baskerville和Siponen（2002）用“信息安全主體”和“客體”來區分受信息安全策略制約的行為人和受策略保護的信息資源[4]。由于政策主體在不同的研究中是不同的，所以對安全規則制定的需求和遵守安全規定的方法也是不盡相同的，但是信息安全策略的一個作用就是幫助所有政策規范下的個體（即信息安全主體）在處理信息資源（即信息安全客體）時做出正確的行為決策。信息安全策略可以作為一些規定和協議的依據，組織中所有信息使用者甚至接觸者都應該切實遵守。信息安全策略通過安全行為控制和安全協議建立來保證信息系統的安全性。信息安全策略中規定了組織成員的權利和責任，以此來引導他們在處理信息資源時做出有利的決定。需要注意的是，信息安全策略針對的是使用信息的合法用戶，可能也包括組織之外的合法用戶[5]。一些信息安全主體可能還擁有制定安全決策、批準其他用戶操作和更改信息安全策略的權力。

信息安全策略的維護目標（即信息安全客體）通常是信息資產、信息系統和數據，它應該詳細闡述組織的信息資產、對這些信息資產的威脅因素及管理層為保護這些資產制定的合理、恰當的措施。一些研究者認為信息安全策略是信息技術管理的一部分，但也有人認為該策略不應該僅僅特定于技術領域。不論怎樣，在信息安全策略中詳盡列出信息資產以及維護信息安全要求達到的水準，對信息安全行為主體嚴格執行策略來說都是非常有必要的。

三、應對安全事故的功能定位

信息安全策略是探測、預防和應對安全漏洞的重要機制。信息安全策略的創建規劃通常可能從組織機構樹立安全意識開始，繼而引導形成安全穩定的運行環境，使組織對其信息資源可能遭遇的攻擊或事故提前做出應對方案。信息安全策略有效與否在很大程度上依賴于政策制定者（如執行管理層）的安全意識是否堅定成熟，并且其自身也需要一個“理想的”運行環境[6]。安全策略規劃形成的過程體現了組織成員對安全需求的理解，并設定了組織維護信息安全所要達到的防護層級。信息安全策略可以促進組織信息安全文化的形成，從而使成員之間互相幫助以防止安全事故發生。信息安全策略能夠創建一個安全環境，在這個環境中，它的主體和其他利益相關人的隱私信息都會得到良好的保護。

信息安全策略的建立也可能源于管理風險的戰略需求，處于戰略層面的決策者可利用信息安全策略來降低組織信息資源的風險等級。除了預防風險外，信息安全策略在維護信息安全的持續過程中也可以為遭遇風險后如何盡快恢復運行提供計劃方案[7]。信息安全策略可以指導調查安全事件并提供處理程序，例如，將已發生的風險事件記錄在檔，以防止其再次出現造成損失。

四、結語

綜上所述，信息安全策略是組織機構信息安全工作的基礎，是組織內成員乃至組織外利益相關者為了維護安全利益應該共同遵守的法則。由于不同組織對資源、風險和管理方式的認知不同，需要實現的安全目標不同，所以對于信息安全策略的定位也有所差別。組織只有理清其信息安全策略更加側重于實現怎樣的功能，才能清晰定位，制定行之有效的策略，最終達到自己的安全目的。

參考文獻：

[1]Klaic，A.Overview of the state and trends in the contemporary information security policy and information security management methodologies[J].MIPRO，2010：1203-1208.

[2]Saleh，M.Information security maturity model[J].International Journal of Computer Science and Security，2011，5（3）：316-337.

[3]Cram，W et al.Organizational information security policies：a review and research framework[J].European Journal of Information Systems，2017，26（6）：605-641.

[4]Baskerville，R.& Siponen，M.An information security meta-policy for emergent organizations[J].Logistics Information Management，2002，15（5/6）：337-346.

[5]Sindhuja，P.N.Impact of information security initiatives on supply chain performance an empirical investigation[J].Information Management and Computer Security，2014，22（5）：450-473.

[6]Balozian，P & Leidner，D.Review of IS security policy compliance：toward the building blocks of an IS asecurity theory[J].Data Base for Advances in Information Systems，2017，48（3）：11-43.

[7]Baskerville，R，Spagnoletti，P & Kim，J.Incident-centered information security：managing a strategic balance between prevention and response[J].Information and Management，2014，51（1）：138-151.

*通訊作者： 王一楠。