谢宗晓（南开大学 商学院）

信息安全制度设计原则的初步探讨

谢宗晓（南开大学 商学院）

本文从个体行为和组织行为的角度，探讨了信息安全制度设计的几个基本原则，其中包括制度中处罚确定性、严厉性和及时性的确定。

信息安全 制度 个体行为 组织行为

专栏

信息安全管理系列之八

保障信息安全不外乎两种途径：技术或/和管理，前者主要针对机器，后者主要针对人。毫无疑问，在守规矩的问题上，人是真正的难点。正源于此，在信息安全实践中一直存在“重技术，轻管理”的现象，本质是“避重就轻”。单纯的技术解决不了任何问题，所有的安全问题最终还是要归结到人。下文借鉴了犯罪学研究领域的成熟理论，探讨了如何设计好的信息安全制度。

谢宗晓（特约编辑）

制度文件是沟通的工具，最便捷的沟通方式毫无疑问是口头的沟通，但是口头沟通存在几个缺点：（1）一对一最有效，一对多就成了广播或演讲，多对多就变得比较混乱；（2）传播的级数不能太多，否则会迅速失真。例如，A告诉了B，B告诉了C，C再告诉……这种方式显然不能满足大型组织的沟通要求，例如，政府。如果靠“传皇上口谕”，中央政府的制度传达至基层政府，效率低而且不准确。

因此，几乎所有的大型组织都会选择制度文件作为沟通工具，我们都统称为“制度”。

1 制度与文件

按照ISO/IEC 27001：2013《信息技术 安全技术 信息安全管理体系 要求》的部署经验，正式的制度（或文件）可以分成三类：（1）描述原则的文件，例如，信息安全方针文件； （2）界定对错的文件，例如，信息系统使用管理规定；（3）提供指导的文件，例如，OA系统安全运维指南。

2 制度设计需要适当的假定

所有的理论都是以某些假定为前提的，没有“放之四海而皆准”的理论。安全机制也是如此。例如，我们设计更安全的自行车防盗锁，一个基本的假设是盗贼会推走或骑走自行车，如果盗贼直接把自行车搬到货车上运走，这个安全机制就失效了。再如，设计更好的防盗门，假定盗贼是从门进来偷东西的，如果盗贼偏好从窗户进，或者破墙而入，这个安全机制就失去了意义。

组织层次的信息安全制度设计一般面对企业员工，普遍认为白领犯罪更理性，也就是说，信息安全制度的假设前提应该是“理性人”。当然，这并不是否定了非理性的犯罪行为，员工中可能也存在具备反社会人格的黑客，只是概率比较低，不值得设计专门的制度。

一个完整的制度体系就被赋予了“性格”，描述原则如同每个人描述自己的品格是类似的，不同的是，制度的“品格”是我们人为的设计而已。一个组织如果把信息安全看得很重，那么就会具备“激进”品格，倾向于牺牲信息系统所带来的便利性，追求安全。

3 制度设计的理论支持

由于前提假设的不同，衍生出了大相径庭的制度设计路线，例如，“某些人为什么会违规/犯罪”和“大部分人为什么不会违规/犯罪”实际上是两个问题，或者说，这两个问题蕴含着完全不同的前提假设。前者的逻辑是：如果不干涉，所有的人都不会违规/犯罪。后者的逻辑是：如果不干涉，所有的人都会违规/犯罪。

法律是最常见的制度，因此借鉴犯罪学理论设计信息安全制度是必然的选择。事实上，在目前主流的信息安全管理研究中，犯罪学理论是被应用得最多的。而这其中，最契合信息安全情境、影响最深远的理论就是威慑理论。

4 处罚的确定性、严厉性与及时性

威慑理论最早出现于意大利刑事古典学派创始人贝卡里亚（1738—1794）的《论犯罪与刑罚》中，在后续的研究中，英国人边沁在1789年发表的《道德与立法原理导论》中对惩罚与罪过间的比例等进行了更为详细的论述。基于威慑理论，人类建立了现代司法制度，这个体系运转的基本前提，就是事后的处罚可以减少违规行为。

已有的绝大部分研究都显示，处罚确定性可以有效地降低违规发生率。这与我们平时的认知也保持了一致。但是处罚严厉性与犯罪率之间的关系并没有明确的结论，在严重刑罚领域甚至得到了相反的结论。例如，诸多研究表明，死刑可以促进杀人犯罪率的发生。至少有一点是肯定的，死刑的数量与杀人犯罪率没有显著的关联。这个结论导致了全世界范围内在逐步取消死刑。在信息安全情境的诸多研究结论与犯罪学大同小异，提高处罚的严厉性对降低违规发生率意义不大，甚至有时候会有反作用。

这种现象其实不难理解，因为如果处罚过重，员工一旦触犯，必然琢磨如何尽量不被发现，如果小的安全违规就重罚，最后导致的是安全隐患被不停地隐瞒，这反而是有害的。在生产安全管理领域，这种现象非常普遍。处罚一个很重要的原则就是，“诱导一个人在两项罪过当中，总是选择害处较小的那项，因此对两项罪过彼此竞争的场合，对那项较大的罪过的惩罚，必须足以诱导一个人宁愿去犯那项较小的”。

及时地进行处罚对良好操作习惯的养成有重要的作用，在犯罪学领域对处罚及时性的研究比较匮乏，因为刑事诉讼是个成熟的体系，由于“冤枉一个好人”比“漏掉一个坏人”来得更恶劣，所以程序正义被持续地强调。在信息安全情境中，大多属于轻微违规，因此处罚及时性还是要强调的。

5 制度设计的几点现实考虑

5.1 清晰理解设计制度的目的

在设计制度前，我们首先要确定立法的目的是什么，不是所有的制度都是为了“落地”，很多制度实际仅是为了界定对错，例如，新版的《中华人民共和国老年人权益保障法》规定“与老年人分开居住的家庭成员，应当经常看望或者问候老年人”，这个条款的可实施性几乎为零，但是也界定了这个问题是法律问题，不仅仅是道德问题。

抛开道德和法律的界限问题，形同虚设的“常回家看看”这样的条款并不是一无是处，在信息安全制度设计中，这种情况也存在，例如，“禁止向外部组织出卖单位的信息”，这个条款如果缺乏足够的技术手段也是一纸空文，但是更重要的目的是界定了行为的对错。

5.2 制度的精髓在于“落地”

当然，好的制度，不仅界定对错，还要“可落地”，尤其当一个社会的氛围还没有完全从“身份社会”转为“契约社会”的时候，制度的执行也特别容易沦落为“看人下菜”。

事实上，“有法必依”远比“有法可依”更困难，增加制度的落地从设计阶段就应该考虑，这意味着不仅在设计中增加现实考虑，也应该加强检查等手段，尤其在信息安全情境中，通过技术手段检测违规行为更加重要，更重要的是，只要这样，才能从“事后惩罚”转化为“事前预防”。

5.3 正确认识目的与结果的关系

产生巨大副作用的制度往往具有一个共同的特征，就是听起来更完美，例如，韩国的网络实名制1）完整案例分析，请参考：谢宗晓，《信息安全管理体系实施指南》，北京：中国标准出版社，2012。），一个最初设计是为了防止网络暴力的制度却成了个人隐私的噩梦。许多制度有听起来很崇高的初衷或理由，甚至得到组织大部分人员的一致支持。

一般而言，制度的效果应该是缓慢的，而不应该是立竿见影的。因为制度本身可能是管“事”，但所面对的执行对象是“人”，期望立竿见影的制度往往会进入到“简单粗暴”的误区中。实践证明，大凡简单粗暴的控制措施在开始效果都很好，但是在后续的执行过程中会反弹，甚至还不如未实施前，典型的治标不治本。

[1] 切萨雷·贝卡里亚. 论犯罪与刑罚[M]. 北京：中国法制出版社，2005.

[2] 边沁. 道德与立法原理导论[M]. 北京：商务印书馆，2012.

[3] 林润辉，李大辉，谢宗晓，等. 信息安全管理 理论与实践[M]. 北京：中国标准出版社，2015.

Discuss of Information Security Policies Design Principals

Xie Zongxiao ( Business School, Nankai University )

From individual behavior and organizational behavior perspectives, especially Deterrence Theory (DT), we discussed several principles should been observed in design of information security policies, including sanction certainty, sanction severity and sanction celerity.

information security, institution, individual behavior, organizational behavior