谢宗晓（南开大学商学院）

甄杰（重庆工商大学商务策划学院）

信息安全制度落地中的治理问题探讨

谢宗晓（南开大学商学院）

甄杰（重庆工商大学商务策划学院）

信息安全制度不能落地的原因有很多，其中一部分要归结到治理层。本文对影响制度落地的信息安全治理问题，尤其是治理结构，进行了初步探讨，并根据实践的观察，将其分为3种类型。

治理 信息安全 信息安全制度/策略

谢宗晓 博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文55篇，出版专著12本。

信息安全管理系列之二十

在信息安全制度的落地过程中，存在一些管理上难于解决的问题，这往往是由于未能理顺治理结构。一般而言，在一个组织中，高层存在的顽疾，试图通过底层的“倒逼”去解决比较困难，即使成功也“事倍功半”。本文在信息安全管理系列之十八的基础上，从治理的角度讨论如何促进信息安全制度的落地。

谢宗晓（特约编辑）

一般而言，在底层执行中存在的不可调和的冲突，往往是由于高层设计中出现了问题。ISO/IEC 27014：2013《信息技术 安全技术 信息安全治理》将信息安全治理定义为“指导和控制组织信息安全活动的体系”，并明确地指出“在信息安全方面，治理者的关键聚焦点是确保组织的信息安全方法是有效率的、有效果的、可接受的，与业务目的和战略是一致的，并充分考虑到利益相关者的期望”[1]。

信息安全治理的主要目的有：1）使信息安全目的和战略与业务目的和战略一致（战略一致）；2）为治理者和利益相关者带来价值（价值提供）；3）确保信息风险得到充分解决（责任承担）。

李维安等认为公司治理的目标不但要实现利益相关者之间相互制衡，而且要实现公司决策的科学化[2]。对比公司治理的目标，可见信息安全治理实际就是公司治理在信息安全情境中的细化。

1 关于信息治理结构

治理结构的设计是信息安全治理的基本问题之一[3]。在公司治理领域，一般认为治理结构包括了董事会及高层管理的相关设计，处于组织内外的交界处。在信息安全实践中，治理结构更多地体现为信息安全的分管结构。

基于实践观察，我们按照信息安全与IT之间的关系，对常见的分管结构进行了初步的分析，主要分为3种：治理结构Ⅰ型（分开分管）、治理结构Ⅱ型（统一分管）和治理结构Ⅲ型（统一管理）。

必须强调的是，这3种治理结构没有绝对的好与坏，重点在于治理结构与组织战略是否匹配。例如，某企业中，信息安全与信息化的分管领导不是同一个高管，导致的后果必然是信息安全部门公布的所有制度都“从严”，但是如果该企业的主营业务是典型的乙方性质，那么该企业在分管结构上与公司战略是否匹配则有待商榷。

1.1 信息安全治理结构Ⅰ型（分开分管）

越来越多的组织试图将首席信息官（Chief Information Officer，CIO）与首席安全官（Chief Security Officer，CSO）分离，设计成与审计类似的架构。信息安全治理结构Ⅰ型（分开分管）指的是信息安全与IT分属不同的高层管理，如图1所示。

图1 信息安全治理结构Ⅰ型（分开分管）

这种结构强调了信息安全的重要性，尤其是对IT部门形成了制约，这是优点。但缺点是容易导致损失便利性考虑。分离之后的信息安全部门往往显得行动偏激，甚至会干扰正常业务运转。一个部门一旦独立，为了争取部门权益或存在合法性，必然最大化利用手中的权力，这在组织研究领域中已经有较为充分的研究。

在很多情况下，如果强调一件事的重要性，建立独立的组织并招募一批以此为生的员工，为争取生存，他们自然会最大化地强调这件事的重要性。更通俗的例子是，城管队员可能会逐步表现出城市高层管理并不期望的偏激行为，例如，殴打小商小贩，这不是管理技巧的讨论范畴，而是一个治理层问题，因为在制度的顶层设计中，城管队员与小商小贩在生存权问题上存在根本的冲突。几乎同样的逻辑也会发生在信息安全情境中。

此外，根据认知失调理论（Cognitive Dissonance），我们得知在个体认知层面讨论这种冲突亦无济于事，因为冲突中的每一方往往都认为自己是正义的，否则就不会发生公开的冲突。个体认知只有在汇聚起来的时候，才能够形成合法性，并由此改变社会结构。如果缺乏足够的人群，个体认知不会改变整体组织架构，而是呈现了相反的影响路径。通俗地讲，在改变不了自身状态的情况下，个体一般会选择改变认知，因为改变认知结构比改变社会结构要容易得多。

1.2 信息安全治理结构Ⅱ型（统一分管）

信息安全治理结构Ⅱ型（统一分管）指信息安全与IT是不同的独立部门，但是归属同一个高管分管。具体如图2所示。

图2 信息安全治理结构Ⅱ型（统一分管）

这种结构的缺点很明显，由于信息安全和IT部门同属一个分管领导，信息安全对信息系统管理的监督作用有限，当然这种做法的优点同治理结构Ⅰ型（分开分管）一样，也会形成一定的制约，这种制约更多地体现为对其他部门。但是在实践中，信息安全虽然是广义的，包括了各种形式存在信息，例如，存在信息系统中的信息，打印在纸上的信息，直至员工大脑中的知识，即便如此，信息系统安全毫无疑问是其中最重要的部分。从这个角度讲，治理结构Ⅱ型（统一分管）并不适合信息安全非常重要的组织。

治理结构Ⅱ型（统一分管）更容易在“便利性”与“安全性”之间达到平衡，越来越多的组织开始采用这种治理结构。

1.3 信息安全治理结构Ⅲ型（统一管理）

在信息安全治理结构Ⅲ型（统一管理）中，信息安全还是作为IT部门中的一个部门，如图3所示。

图3 信息安全治理结构Ⅲ型（统一管理）

治理结构Ⅲ型（统一管理）是目前最常见的形式，由于信息安全只是IT部门的其中一个部门负责，也就是说，信息安全对IT运维等很难形成制约，更多的作用是对其他部门的管理，很难避免“监守自盗”的问题。信息安全在治理结构Ⅲ型（统一管理）中尚未上升到治理层次，仅仅在管理层中讨论。

2 小结

信息安全治理在组织的治理者、执行管理者和那些负责实现与运行信息安全管理体系者之间提供了强有力的纽带。ISO/IEC 27014：2013提出了一个“评价”“指导”“监视”和“沟通”过程来治理信息安全。这个过程主要针对信息安全管理体系（Information Security Management System，ISMS）的实施[4]，显然也可以推广到通过其他体系的部署信息安全的组织。本文的目的就是提出更一般性的讨论。

[1]ISO/IEC 27014：2013 Information technology—Security techniques—Governance of information security

[2]李维安，林润辉，范建红，等. 网络治理研究前沿与述评[J]. 南开管理评论，2014（05）：42-53.

[3]谢宗晓，周常宝. 信息安全治理及其标准介绍[J]. 中国标准导报，2015（10）：38-40，45.

[4]林润辉，李大辉，谢宗晓，等. 信息安全管理理论与实践[M]. 北京：中国标准出版社，2015.

Discuss of Governance Aspects in Information Security Policies Implementation

Xie Zongxiao ( Business School, Nankai University )
Zhen Jie ( School of Business Planning, Chongqing Technology and Business University )

Information security policy can not implement for many reasons, some of which comes down to governance. The paper discussed information security governance, particularly governance structure, which affect information security policies compliance. In addition, based on practical observations, we divided it into 3 types.

governance, information security, information security policies