摘要:信息安全制度不能落地的原因有很多,其中一部分要歸結到治理層。本文對影響制度落地的信息安全治理問題,尤其是治理結構,進行了初步探討,並根據實踐的觀察,將其分為3種類型。
關鍵詞:治理;信息安全;信息安全制度;策略
一般而言,在底層執行中存在的不可調和的衝突,往往是由於高層設計中出現了問題。ISO/IEC27014:2013《信息技術安全技術信息安全治理》將信息安全治理定義為“指導和控制組織信息安全活動的體系”,並明確地指出“在信息安全方面,治理者的關鍵聚焦點是確保組織的信息安全方法是有效率的、有效果的、可接受的,與業務目的和戰略是一致的,並充分考慮到利益相關者的期望”[1]。信息安全治理的主要目的有:1)使信息安全目的和戰略與業務目的和戰略一致(戰略一致);2)為治理者和利益相關者帶來價值(價值提供);3)確保信息風險得到充分解決(責任承擔)。李維安等認為公司治理的目標不但要實現利益相關者之間相互制衡,而且要實現公司決策的科學化[2]。對比公司治理的目標,可見信息安全治理實際就是公司治理在信息安全情境中的細化。
1關於信息治理結構
治理結構的設計是信息安全治理的基本問題之一[3]。在公司治理領域,一般認為治理結構包括了董事會及高層管理的相關設計,處於組織內外的交界處。在信息安全實踐中,治理結構更多地體現為信息安全的分管結構。基於實踐觀察,我們按照信息安全與IT之間的關係,對常見的分管結構進行了初步的分析,主要分為3種:治理結構Ⅰ型(分開分管)、治理結構Ⅱ型(統一分管)和治理結構Ⅲ型(統一管理)。必須強調的是,這3種治理結構沒有絕對的好與壞,重點在於治理結構與組織戰略是否匹配。例如,某企業中,信息安全與信息化的分管領導不是同一個高管,導致的後果必然是信息安全部門公佈的所有制度都“從嚴”,但是如果該企業的主營業務是典型的乙方性質,那麼該企業在分管結構上與公司戰略是否匹配則有待商榷。
1.1信息安全治理結構Ⅰ型(分開分管)
越來越多的組織試圖將首席信息官(ChiefInformationOfficer,CIO)與首席安全官(ChiefSecurityOfficer,CSO)分離,設計成與審計類似的架構。信息安全治理結構Ⅰ型(分開分管)指的是信息安全與IT分屬不同的高層管理,如圖1所示。圖1信息安全治理結構Ⅰ型(分開分管)這種結構強調了信息安全的重要性,尤其是對IT部門形成了制約,這是優點。但缺點是容易導致損失便利性考慮。分離之後的信息安全部門往往顯得行動偏激,甚至會干擾正常業務運轉。一個部門一旦獨立,為了爭取部門權益或存在合法性,必然最大化利用手中的權力,這在組織研究領域中已經有較為充分的研究。在很多情況下,如果強調一件事的重要性,建立獨立的組織並招募一批以此為生的員工,為爭取生存,他們自然會最大化地強調這件事的重要性。更通俗的例子是,城管隊員可能會逐步表現出城市高層管理並不期望的'偏激行為,例如,毆打小商小販,這不是管理技巧的討論範疇,而是一個治理層問題,因為在制度的頂層設計中,城管隊員與小商小販在生存權問題上存在根本的衝突。幾乎同樣的邏輯也會發生在信息安全情境中。此外,根據認知失調理論(CognitiveDissonance),我們得知在個體認知層面討論這種衝突亦無濟於事,因為衝突中的每一方往往都認為自己是正義的,否則就不會發生公開的衝突。個體認知只有在匯聚起來的時候,才能夠形成合法性,並由此改變社會結構。如果缺乏足夠的人羣,個體認知不會改變整體組織架構,而是呈現了相反的影響路徑。通俗地講,在改變不了自身狀態的情況下,個體一般會選擇改變認知,因為改變認知結構比改變社會結構要容易得多。
1.2信息安全治理結構Ⅱ型(統一分管)
信息安全治理結構Ⅱ型(統一分管)指信息安全與IT是不同的獨立部門,但是歸屬同一個高管分管。具體如圖2所示。這種結構的缺點很明顯,由於信息安全和IT部門同屬一個分管領導,信息安全對信息系統管理的監督作用有限,當然這種做法的優點同治理結構Ⅰ型(分開分管)一樣,也會形成一定的制約,這種制約更多地體現為對其他部門。但是在實踐中,信息安全雖然是廣義的,包括了各種形式存在信息,例如,存在信息系統中的信息,打印在紙上的信息,直至員工大腦中的知識,即便如此,信息系統安全毫無疑問是其中最重要的部分。從這個角度講,治理結構Ⅱ型(統一分管)並不適合信息安全非常重要的組織。治理結構Ⅱ型(統一分管)更容易在“便利性”與“安全性”之間達到平衡,越來越多的組織開始採用這種治理結構。
1.3信息安全治理結構Ⅲ型(統一管理)
在信息安全治理結構Ⅲ型(統一管理)中,信息安全還是作為IT部門中的一個部門,如圖3所示.治理結構Ⅲ型(統一管理)是目前最常見的形式,由於信息安全只是IT部門的其中一個部門負責,也就是説,信息安全對IT運維等很難形成制約,更多的作用是對其他部門的管理,很難避免“監守自盜”的問題。信息安全在治理結構Ⅲ型(統一管理)中尚未上升到治理層次,僅僅在管理層中討論。
2小結
信息安全治理在組織的治理者、執行管理者和那些負責實現與運行信息安全管理體系者之間提供了強有力的紐帶。ISO/IEC27014:2013提出了一個“評價”“指導”“監視”和“溝通”過程來治理信息安全。這個過程主要針對信息安全管理體系(InformationSecurityManagementSystem,ISMS)的實施[4],顯然也可以推廣到通過其他體系的部署信息安全的組織。本文的目的就是提出更一般性的討論。