信息安全制度治理問題探討論文
摘要:信息安全制度不能落地的原因有很多,其中一部分要?dú)w結(jié)到治理層。本文對影響制度落地的信息安全治理問題,尤其是治理結(jié)構(gòu),進(jìn)行了初步探討,并根據(jù)實(shí)踐的觀察,將其分為3種類型。
關(guān)鍵詞:治理;信息安全;信息安全制度;策略
一般而言,在底層執(zhí)行中存在的不可調(diào)和的沖突,往往是由于高層設(shè)計中出現(xiàn)了問題。ISO/IEC27014:2013《信息技術(shù)安全技術(shù)信息安全治理》將信息安全治理定義為“指導(dǎo)和控制組織信息安全活動的體系”,并明確地指出“在信息安全方面,治理者的關(guān)鍵聚焦點(diǎn)是確保組織的信息安全方法是有效率的、有效果的、可接受的,與業(yè)務(wù)目的和戰(zhàn)略是一致的,并充分考慮到利益相關(guān)者的期望”[1]。信息安全治理的主要目的有:1)使信息安全目的和戰(zhàn)略與業(yè)務(wù)目的和戰(zhàn)略一致(戰(zhàn)略一致);2)為治理者和利益相關(guān)者帶來價值(價值提供);3)確保信息風(fēng)險得到充分解決(責(zé)任承擔(dān))。李維安等認(rèn)為公司治理的目標(biāo)不但要實(shí)現(xiàn)利益相關(guān)者之間相互制衡,而且要實(shí)現(xiàn)公司決策的科學(xué)化[2]。對比公司治理的目標(biāo),可見信息安全治理實(shí)際就是公司治理在信息安全情境中的細(xì)化。
1關(guān)于信息治理結(jié)構(gòu)
治理結(jié)構(gòu)的設(shè)計是信息安全治理的基本問題之一[3]。在公司治理領(lǐng)域,一般認(rèn)為治理結(jié)構(gòu)包括了董事會及高層管理的相關(guān)設(shè)計,處于組織內(nèi)外的交界處。在信息安全實(shí)踐中,治理結(jié)構(gòu)更多地體現(xiàn)為信息安全的分管結(jié)構(gòu)。基于實(shí)踐觀察,我們按照信息安全與IT之間的關(guān)系,對常見的分管結(jié)構(gòu)進(jìn)行了初步的分析,主要分為3種:治理結(jié)構(gòu)Ⅰ型(分開分管)、治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)和治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)。必須強(qiáng)調(diào)的是,這3種治理結(jié)構(gòu)沒有絕對的好與壞,重點(diǎn)在于治理結(jié)構(gòu)與組織戰(zhàn)略是否匹配。例如,某企業(yè)中,信息安全與信息化的分管領(lǐng)導(dǎo)不是同一個高管,導(dǎo)致的后果必然是信息安全部門公布的所有制度都“從嚴(yán)”,但是如果該企業(yè)的主營業(yè)務(wù)是典型的乙方性質(zhì),那么該企業(yè)在分管結(jié)構(gòu)上與公司戰(zhàn)略是否匹配則有待商榷。
1.1信息安全治理結(jié)構(gòu)Ⅰ型(分開分管)
越來越多的組織試圖將首席信息官(ChiefInformationOfficer,CIO)與首席安全官(ChiefSecurityOfficer,CSO)分離,設(shè)計成與審計類似的架構(gòu)。信息安全治理結(jié)構(gòu)Ⅰ型(分開分管)指的是信息安全與IT分屬不同的高層管理,如圖1所示。圖1信息安全治理結(jié)構(gòu)Ⅰ型(分開分管)這種結(jié)構(gòu)強(qiáng)調(diào)了信息安全的重要性,尤其是對IT部門形成了制約,這是優(yōu)點(diǎn)。但缺點(diǎn)是容易導(dǎo)致?lián)p失便利性考慮。分離之后的信息安全部門往往顯得行動偏激,甚至?xí)蓴_正常業(yè)務(wù)運(yùn)轉(zhuǎn)。一個部門一旦獨(dú)立,為了爭取部門權(quán)益或存在合法性,必然最大化利用手中的權(quán)力,這在組織研究領(lǐng)域中已經(jīng)有較為充分的研究。在很多情況下,如果強(qiáng)調(diào)一件事的重要性,建立獨(dú)立的組織并招募一批以此為生的員工,為爭取生存,他們自然會最大化地強(qiáng)調(diào)這件事的重要性。更通俗的例子是,城管隊員可能會逐步表現(xiàn)出城市高層管理并不期望的'偏激行為,例如,毆打小商小販,這不是管理技巧的討論范疇,而是一個治理層問題,因?yàn)樵谥贫鹊捻攲釉O(shè)計中,城管隊員與小商小販在生存權(quán)問題上存在根本的沖突。幾乎同樣的邏輯也會發(fā)生在信息安全情境中。此外,根據(jù)認(rèn)知失調(diào)理論(CognitiveDissonance),我們得知在個體認(rèn)知層面討論這種沖突亦無濟(jì)于事,因?yàn)闆_突中的每一方往往都認(rèn)為自己是正義的,否則就不會發(fā)生公開的沖突。個體認(rèn)知只有在匯聚起來的時候,才能夠形成合法性,并由此改變社會結(jié)構(gòu)。如果缺乏足夠的人群,個體認(rèn)知不會改變整體組織架構(gòu),而是呈現(xiàn)了相反的影響路徑。通俗地講,在改變不了自身狀態(tài)的情況下,個體一般會選擇改變認(rèn)知,因?yàn)楦淖冋J(rèn)知結(jié)構(gòu)比改變社會結(jié)構(gòu)要容易得多。
1.2信息安全治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)
信息安全治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)指信息安全與IT是不同的獨(dú)立部門,但是歸屬同一個高管分管。具體如圖2所示。這種結(jié)構(gòu)的缺點(diǎn)很明顯,由于信息安全和IT部門同屬一個分管領(lǐng)導(dǎo),信息安全對信息系統(tǒng)管理的監(jiān)督作用有限,當(dāng)然這種做法的優(yōu)點(diǎn)同治理結(jié)構(gòu)Ⅰ型(分開分管)一樣,也會形成一定的制約,這種制約更多地體現(xiàn)為對其他部門。但是在實(shí)踐中,信息安全雖然是廣義的,包括了各種形式存在信息,例如,存在信息系統(tǒng)中的信息,打印在紙上的信息,直至員工大腦中的知識,即便如此,信息系統(tǒng)安全毫無疑問是其中最重要的部分。從這個角度講,治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)并不適合信息安全非常重要的組織。治理結(jié)構(gòu)Ⅱ型(統(tǒng)一分管)更容易在“便利性”與“安全性”之間達(dá)到平衡,越來越多的組織開始采用這種治理結(jié)構(gòu)。
1.3信息安全治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)
在信息安全治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)中,信息安全還是作為IT部門中的一個部門,如圖3所示.治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)是目前最常見的形式,由于信息安全只是IT部門的其中一個部門負(fù)責(zé),也就是說,信息安全對IT運(yùn)維等很難形成制約,更多的作用是對其他部門的管理,很難避免“監(jiān)守自盜”的問題。信息安全在治理結(jié)構(gòu)Ⅲ型(統(tǒng)一管理)中尚未上升到治理層次,僅僅在管理層中討論。
2小結(jié)
信息安全治理在組織的治理者、執(zhí)行管理者和那些負(fù)責(zé)實(shí)現(xiàn)與運(yùn)行信息安全管理體系者之間提供了強(qiáng)有力的紐帶。ISO/IEC27014:2013提出了一個“評價”“指導(dǎo)”“監(jiān)視”和“溝通”過程來治理信息安全。這個過程主要針對信息安全管理體系(InformationSecurityManagementSystem,ISMS)的實(shí)施[4],顯然也可以推廣到通過其他體系的部署信息安全的組織。本文的目的就是提出更一般性的討論。
【信息安全制度治理問題探討論文】相關(guān)文章:
電子檔案的信息安全探討論文12-09
信息安全和網(wǎng)絡(luò)安全工作探討論文07-03
探討移動網(wǎng)絡(luò)信息安全管理問題和應(yīng)對策略論文06-15
高校網(wǎng)絡(luò)與信息安全及其治理論文08-22
會計電算化制度設(shè)計問題探討論文07-25
電子信息安全風(fēng)險管理探討論文07-27
通信企業(yè)網(wǎng)絡(luò)信息安全探討論文08-21
供電企業(yè)信息安全管理探討論文08-22