信息安全制度治理問題探討論文

信息安全制度治理問題探討論文

　　摘要：信息安全制度不能落地的原因有很多，其中一部分要歸結(jié)到治理層。本文對影響制度落地的信息安全治理問題，尤其是治理結(jié)構(gòu)，進(jìn)行了初步探討，并根據(jù)實踐的觀察，將其分為3種類型。

　　關(guān)鍵詞：治理；信息安全；信息安全制度；策略

　　一般而言，在底層執(zhí)行中存在的不可調(diào)和的沖突，往往是由于高層設(shè)計中出現(xiàn)了問題。ISO/IEC27014：2013《信息技術(shù)安全技術(shù)信息安全治理》將信息安全治理定義為“指導(dǎo)和控制組織信息安全活動的體系”，并明確地指出“在信息安全方面，治理者的關(guān)鍵聚焦點是確保組織的信息安全方法是有效率的、有效果的、可接受的，與業(yè)務(wù)目的和戰(zhàn)略是一致的，并充分考慮到利益相關(guān)者的期望”[1]。信息安全治理的主要目的有：1）使信息安全目的和戰(zhàn)略與業(yè)務(wù)目的和戰(zhàn)略一致（戰(zhàn)略一致）；2）為治理者和利益相關(guān)者帶來價值（價值提供）；3）確保信息風(fēng)險得到充分解決（責(zé)任承擔(dān)）。李維安等認(rèn)為公司治理的目標(biāo)不但要實現(xiàn)利益相關(guān)者之間相互制衡，而且要實現(xiàn)公司決策的科學(xué)化[2]。對比公司治理的目標(biāo)，可見信息安全治理實際就是公司治理在信息安全情境中的細(xì)化。

　　1關(guān)于信息治理結(jié)構(gòu)

　　治理結(jié)構(gòu)的設(shè)計是信息安全治理的基本問題之一[3]。在公司治理領(lǐng)域，一般認(rèn)為治理結(jié)構(gòu)包括了董事會及高層管理的相關(guān)設(shè)計，處于組織內(nèi)外的交界處。在信息安全實踐中，治理結(jié)構(gòu)更多地體現(xiàn)為信息安全的分管結(jié)構(gòu)。基于實踐觀察，我們按照信息安全與IT之間的關(guān)系，對常見的分管結(jié)構(gòu)進(jìn)行了初步的分析，主要分為3種：治理結(jié)構(gòu)Ⅰ型（分開分管）、治理結(jié)構(gòu)Ⅱ型（統(tǒng)一分管）和治理結(jié)構(gòu)Ⅲ型（統(tǒng)一管理）。必須強(qiáng)調(diào)的是，這3種治理結(jié)構(gòu)沒有絕對的好與壞，重點在于治理結(jié)構(gòu)與組織戰(zhàn)略是否匹配。例如，某企業(yè)中，信息安全與信息化的分管領(lǐng)導(dǎo)不是同一個高管，導(dǎo)致的后果必然是信息安全部門公布的所有制度都“從嚴(yán)”，但是如果該企業(yè)的主營業(yè)務(wù)是典型的乙方性質(zhì)，那么該企業(yè)在分管結(jié)構(gòu)上與公司戰(zhàn)略是否匹配則有待商榷。

　　1.1信息安全治理結(jié)構(gòu)Ⅰ型（分開分管）

　　越來越多的組織試圖將首席信息官（ChiefInformationOfficer，CIO）與首席安全官（ChiefSecurityOfficer，CSO）分離，設(shè)計成與審計類似的架構(gòu)。信息安全治理結(jié)構(gòu)Ⅰ型（分開分管）指的是信息安全與IT分屬不同的高層管理，如圖1所示。圖1信息安全治理結(jié)構(gòu)Ⅰ型（分開分管）這種結(jié)構(gòu)強(qiáng)調(diào)了信息安全的重要性，尤其是對IT部門形成了制約，這是優(yōu)點。但缺點是容易導(dǎo)致?lián)p失便利性考慮。分離之后的信息安全部門往往顯得行動偏激，甚至?xí)�干擾正常業(yè)務(wù)運(yùn)轉(zhuǎn)。一個部門一旦獨立，為了爭取部門權(quán)益或存在合法性，必然最大化利用手中的權(quán)力，這在組織研究領(lǐng)域中已經(jīng)有較為充分的研究。在很多情況下，如果強(qiáng)調(diào)一件事的重要性，建立獨立的組織并招募一批以此為生的員工，為爭取生存，他們自然會最大化地強(qiáng)調(diào)這件事的重要性。更通俗的例子是，城管隊員可能會逐步表現(xiàn)出城市高層管理并不期望的'偏激行為，例如，毆打小商小販，這不是管理技巧的討論范疇，而是一個治理層問題，因為在制度的頂層設(shè)計中，城管隊員與小商小販在生存權(quán)問題上存在根本的沖突。幾乎同樣的邏輯也會發(fā)生在信息安全情境中。此外，根據(jù)認(rèn)知失調(diào)理論（CognitiveDissonance），我們得知在個體認(rèn)知層面討論這種沖突亦無濟(jì)于事，因為沖突中的每一方往往都認(rèn)為自己是正義的，否則就不會發(fā)生公開的沖突。個體認(rèn)知只有在匯聚起來的時候，才能夠形成合法性，并由此改變社會結(jié)構(gòu)。如果缺乏足夠的人群，個體認(rèn)知不會改變整體組織架構(gòu)，而是呈現(xiàn)了相反的影響路徑。通俗地講，在改變不了自身狀態(tài)的情況下，個體一般會選擇改變認(rèn)知，因為改變認(rèn)知結(jié)構(gòu)比改變社會結(jié)構(gòu)要容易得多。

　　1.2信息安全治理結(jié)構(gòu)Ⅱ型（統(tǒng)一分管）

　　信息安全治理結(jié)構(gòu)Ⅱ型（統(tǒng)一分管）指信息安全與IT是不同的獨立部門，但是歸屬同一個高管分管。具體如圖2所示。這種結(jié)構(gòu)的缺點很明顯，由于信息安全和IT部門同屬一個分管領(lǐng)導(dǎo)，信息安全對信息系統(tǒng)管理的監(jiān)督作用有限，當(dāng)然這種做法的優(yōu)點同治理結(jié)構(gòu)Ⅰ型（分開分管）一樣，也會形成一定的制約，這種制約更多地體現(xiàn)為對其他部門。但是在實踐中，信息安全雖然是廣義的，包括了各種形式存在信息，例如，存在信息系統(tǒng)中的信息，打印在紙上的信息，直至員工大腦中的知識，即便如此，信息系統(tǒng)安全毫無疑問是其中最重要的部分。從這個角度講，治理結(jié)構(gòu)Ⅱ型（統(tǒng)一分管）并不適合信息安全非常重要的組織。治理結(jié)構(gòu)Ⅱ型（統(tǒng)一分管）更容易在“便利性”與“安全性”之間達(dá)到平衡，越來越多的組織開始采用這種治理結(jié)構(gòu)。

　　1.3信息安全治理結(jié)構(gòu)Ⅲ型（統(tǒng)一管理）

　　在信息安全治理結(jié)構(gòu)Ⅲ型（統(tǒng)一管理）中，信息安全還是作為IT部門中的一個部門，如圖3所示.治理結(jié)構(gòu)Ⅲ型（統(tǒng)一管理）是目前最常見的形式，由于信息安全只是IT部門的其中一個部門負(fù)責(zé)，也就是說，信息安全對IT運(yùn)維等很難形成制約，更多的作用是對其他部門的管理，很難避免“監(jiān)守自盜”的問題。信息安全在治理結(jié)構(gòu)Ⅲ型（統(tǒng)一管理）中尚未上升到治理層次，僅僅在管理層中討論。

　　2小結(jié)

　　信息安全治理在組織的治理者、執(zhí)行管理者和那些負(fù)責(zé)實現(xiàn)與運(yùn)行信息安全管理體系者之間提供了強(qiáng)有力的紐帶。ISO/IEC27014：2013提出了一個“評價”“指導(dǎo)”“監(jiān)視”和“溝通”過程來治理信息安全。這個過程主要針對信息安全管理體系（InformationSecurityManagementSystem，ISMS）的實施[4]，顯然也可以推廣到通過其他體系的部署信息安全的組織。本文的目的就是提出更一般性的討論。

【信息安全制度治理問題探討論文】相關(guān)文章：

網(wǎng)絡(luò)信息安全概念探討論文07-28

電子檔案的信息安全探討論文12-09

信息安全和網(wǎng)絡(luò)安全工作探討論文07-03

探討移動網(wǎng)絡(luò)信息安全管理問題和應(yīng)對策略論文06-15

計算機(jī)教育過程中信息安全問題探討論文12-10

高校網(wǎng)絡(luò)與信息安全及其治理論文08-22

會計電算化制度設(shè)計問題探討論文07-25

電子信息安全風(fēng)險管理探討論文07-27

通信企業(yè)網(wǎng)絡(luò)信息安全探討論文08-21

供電企業(yè)信息安全管理探討論文08-22