小刺猬和黃鼠狼童話(huà)故事

　　摘要：信息安全制度不能落地的原因有很多，其中一部分要歸結到治理層。本文對影響制度落地的信息安全治理問(wèn)題，尤其是治理結構，進(jìn)行了初步探討，并根據實(shí)踐的觀(guān)察，將其分為3種類(lèi)型。

　　關(guān)鍵詞：治理；信息安全；信息安全制度；策略

　　一般而言，在底層執行中存在的不可調和的沖突，往往是由于高層設計中出現了問(wèn)題。ISO/IEC27014：2013《信息技術(shù)安全技術(shù)信息安全治理》將信息安全治理定義為“指導和控制組織信息安全活動(dòng)的體系”，并明確地指出“在信息安全方面，治理者的關(guān)鍵聚焦點(diǎn)是確保組織的信息安全方法是有效率的、有效果的、可接受的，與業(yè)務(wù)目的和戰略是一致的，并充分考慮到利益相關(guān)者的期望”[1]。信息安全治理的主要目的有：1）使信息安全目的和戰略與業(yè)務(wù)目的和戰略一致（戰略一致）；2）為治理者和利益相關(guān)者帶來(lái)價(jià)值（價(jià)值提供）；3）確保信息風(fēng)險得到充分解決（責任承擔）。李維安等認為公司治理的目標不但要實(shí)現利益相關(guān)者之間相互制衡，而且要實(shí)現公司決策的科學(xué)化[2]。對比公司治理的目標，可見(jiàn)信息安全治理實(shí)際就是公司治理在信息安全情境中的細化。

　　1關(guān)于信息治理結構

　　治理結構的設計是信息安全治理的基本問(wèn)題之一[3]。在公司治理領(lǐng)域，一般認為治理結構包括了董事會(huì )及高層管理的相關(guān)設計，處于組織內外的交界處。在信息安全實(shí)踐中，治理結構更多地體現為信息安全的分管結構�；�于實(shí)踐觀(guān)察，我們按照信息安全與IT之間的關(guān)系，對常見(jiàn)的分管結構進(jìn)行了初步的分析，主要分為3種：治理結構Ⅰ型（分開(kāi)分管）、治理結構Ⅱ型（統一分管）和治理結構Ⅲ型（統一管理）。必須強調的是，這3種治理結構沒(méi)有絕對的好與壞，重點(diǎn)在于治理結構與組織戰略是否匹配。例如，某企業(yè)中，信息安全與信息化的分管領(lǐng)導不是同一個(gè)高管，導致的后果必然是信息安全部門(mén)公布的所有制度都“從嚴”，但是如果該企業(yè)的主營(yíng)業(yè)務(wù)是典型的乙方性質(zhì)，那么該企業(yè)在分管結構上與公司戰略是否匹配則有待商榷。

　　1.1信息安全治理結構Ⅰ型（分開(kāi)分管）

　　越來(lái)越多的組織試圖將首席信息官（ChiefInformationOfficer，CIO）與首席安全官（ChiefSecurityOfficer，CSO）分離，設計成與審計類(lèi)似的架構。信息安全治理結構Ⅰ型（分開(kāi)分管）指的是信息安全與IT分屬不同的高層管理，如圖1所示。圖1信息安全治理結構Ⅰ型（分開(kāi)分管）這種結構強調了信息安全的重要性，尤其是對IT部門(mén)形成了制約，這是優(yōu)點(diǎn)。但缺點(diǎn)是容易導致?lián)p失便利性考慮。分離之后的信息安全部門(mén)往往顯得行動(dòng)偏激，甚至會(huì )干擾正常業(yè)務(wù)運轉。一個(gè)部門(mén)一旦獨立，為了爭取部門(mén)權益或存在合法性，必然最大化利用手中的權力，這在組織研究領(lǐng)域中已經(jīng)有較為充分的研究。在很多情況下，如果強調一件事的重要性，建立獨立的組織并招募一批以此為生的員工，為爭取生存，他們自然會(huì )最大化地強調這件事的重要性。更通俗的例子是，城管隊員可能會(huì )逐步表現出城市高層管理并不期望的偏激行為，例如，毆打小商小販，這不是管理技巧的討論范疇，而是一個(gè)治理層問(wèn)題，因為在制度的頂層設計中，城管隊員與小商小販在生存權問(wèn)題上存在根本的沖突。幾乎同樣的邏輯也會(huì )發(fā)生在信息安全情境中。此外，根據認知失調理論（CognitiveDissonance），我們得知在個(gè)體認知層面討論這種沖突亦無(wú)濟于事，因為沖突中的每一方往往都認為自己是正義的，否則就不會(huì )發(fā)生公開(kāi)的沖突。個(gè)體認知只有在匯聚起來(lái)的時(shí)候，才能夠形成合法性，并由此改變社會(huì )結構。如果缺乏足夠的人群，個(gè)體認知不會(huì )改變整體組織架構，而是呈現了相反的影響路徑。通俗地講，在改變不了自身狀態(tài)的情況下，個(gè)體一般會(huì )選擇改變認知，因為改變認知結構比改變社會(huì )結構要容易得多。

　　1.2信息安全治理結構Ⅱ型（統一分管）

　　信息安全治理結構Ⅱ型（統一分管）指信息安全與IT是不同的獨立部門(mén)，但是歸屬同一個(gè)高管分管。具體如圖2所示。這種結構的缺點(diǎn)很明顯，由于信息安全和IT部門(mén)同屬一個(gè)分管領(lǐng)導，信息安全對信息系統管理的監督作用有限，當然這種做法的優(yōu)點(diǎn)同治理結構Ⅰ型（分開(kāi)分管）一樣，也會(huì )形成一定的制約，這種制約更多地體現為對其他部門(mén)。但是在實(shí)踐中，信息安全雖然是廣義的，包括了各種形式存在信息，例如，存在信息系統中的信息，打印在紙上的信息，直至員工大腦中的知識，即便如此，信息系統安全毫無(wú)疑問(wèn)是其中最重要的部分。從這個(gè)角度講，治理結構Ⅱ型（統一分管）并不適合信息安全非常重要的組織。治理結構Ⅱ型（統一分管）更容易在“便利性”與“安全性”之間達到平衡，越來(lái)越多的組織開(kāi)始采用這種治理結構。

　　1.3信息安全治理結構Ⅲ型（統一管理）

　　在信息安全治理結構Ⅲ型（統一管理）中，信息安全還是作為IT部門(mén)中的一個(gè)部門(mén)，如圖3所示.治理結構Ⅲ型（統一管理）是目前最常見(jiàn)的形式，由于信息安全只是IT部門(mén)的其中一個(gè)部門(mén)負責，也就是說(shuō)，信息安全對IT運維等很難形成制約，更多的作用是對其他部門(mén)的管理，很難避免“監守自盜”的問(wèn)題。信息安全在治理結構Ⅲ型（統一管理）中尚未上升到治理層次，僅僅在管理層中討論。

　　2小結

　　信息安全治理在組織的治理者、執行管理者和那些負責實(shí)現與運行信息安全管理體系者之間提供了強有力的紐帶。ISO/IEC27014：2013提出了一個(gè)“評價(jià)”“指導”“監視”和“溝通”過(guò)程來(lái)治理信息安全。這個(gè)過(guò)程主要針對信息安全管理體系（InformationSecurityManagementSystem，ISMS）的實(shí)施[4]，顯然也可以推廣到通過(guò)其他體系的部署信息安全的組織。本文的目的就是提出更一般性的討論。

【小刺猬和黃鼠狼童話(huà)故事】相關(guān)文章：

小兔和小刺猬作文01-13

小刺猬和狐貍作文04-08

小刺猬丟蘋(píng)果03-20

描寫(xiě)小刺猬的作文05-11

小刺猬的石娃娃03-21

刺猬和狐貍作文02-22

狐貍和刺猬作文02-29

狐貍和刺猬的作文05-22

山羊和刺猬作文04-27

黃鼠狼和青蛙作文01-02