王一楠 郝芳

摘 要： 盡管当前对于信息安全策略的研究有很多，但是对于其含义却没有达成共识。本文通过对相关文献的梳理研究，从功能角度对信息安全策略的概念进行了概括阐述和分析，揭示了信息安全策略的丰富内涵，为其进一步研究、发展和完善提供一定的理论依据及导向。

关键词： 信息安全策略;概念定位;组织发展;实施对象;事故应对

当今社会，信息被赋予了越来越多的价值，与此同时，利用信息资源进行恶意操作的行为也是层出不穷、愈演愈烈，因此各个领域、各个行业都在寻求能够有效保护其信息资产的方法，信息安全策略应运而生。尽管很多组织机构认识到其重要性，并意识到现有的标准或结构存在一定的问题，但出于某些原因，他们却无法改善其安全策略。其中一个很重要的因素就是他们对于信息安全策略的概念定位还不准确，因此这种起源性的错误造成组织在面对现实安全问题时，其制定的策略只是空有其表，却行之无效。

一般说来，很少有研究明确探讨信息安全策略的组成以及应起到何种作用，因此造成了一定的模糊性。本文试图从以往相关文献内容中对其含义进行提取并归类总结，同时笔者认为，信息安全策略存在的价值在于能够帮助组织或其管理者实现维护信息资产安全的目的，这是其“服务宗旨”，所以本文着重结合信息安全策略的功能分类阐述其多样的内涵。

一、维护组织发展的功能定位

信息安全策略通常表示组织对期望达到的安全状态的描述，常用安全目标、措施、目的、意图等词来阐释。Klaic（2010）指出，在狭义上讲，信息安全策略代表了有重要地位的管理人员（譬如CEO、执行董事会、部长等）为了达到信息安全方面的理想状态而提出的关于理念、目标、原因和方法的陈述或声明[1]。许多学者认为信息安全策略应该维护并辅助完成组织的整体业务目标。Saleh（2011）指出，信息安全策略存在的目的不仅仅是为了实现安全目标（保证信息的完整性、可用性、保密性），还要确保组织在发生意外事故或信息系统遭到攻击的情况下仍能完成其工作使命或商业目标等[2]。

信息安全策略为组织实施信息安全管理提供安全导向，它是管理者用来表达其管理目的、监督组织中其他部门运行的工具。Cram等人（2017）将具体政策内容描述为：“它们（指信息安全策略）包含员工在处理与信息和技术资源相关的日常工作时必须遵守的指导方针和规范程序。”[3]在组织机构中设立这样的政策架构可以支撑其对信息使用的全面掌控，在这种政策存在的前提下，很多不合安全规定的行为将能得到有效遏制，并且这类政策对于违反安全规定操作将要受到的惩罚也做出说明。将信息安全策略形成白纸黑字的文档，也可以使公司等组织机构在惩罚措施方面免受一些法律纠纷的干扰。

二、明确实施对象的功能定位

Baskerville和Siponen（2002）用“信息安全主体”和“客体”来区分受信息安全策略制约的行为人和受策略保护的信息资源[4]。由于政策主体在不同的研究中是不同的，所以对安全规则制定的需求和遵守安全规定的方法也是不尽相同的，但是信息安全策略的一个作用就是帮助所有政策规范下的个体（即信息安全主体）在处理信息资源（即信息安全客体）时做出正确的行为决策。信息安全策略可以作为一些规定和协议的依据，组织中所有信息使用者甚至接触者都应该切实遵守。信息安全策略通过安全行为控制和安全协议建立来保证信息系统的安全性。信息安全策略中规定了组织成员的权利和责任，以此来引导他们在处理信息资源时做出有利的决定。需要注意的是，信息安全策略针对的是使用信息的合法用户，可能也包括组织之外的合法用户[5]。一些信息安全主体可能还拥有制定安全决策、批准其他用户操作和更改信息安全策略的权力。

信息安全策略的维护目标（即信息安全客体）通常是信息资产、信息系统和数据，它应该详细阐述组织的信息资产、对这些信息资产的威胁因素及管理层为保护这些资产制定的合理、恰当的措施。一些研究者认为信息安全策略是信息技术管理的一部分，但也有人认为该策略不应该仅仅特定于技术领域。不论怎样，在信息安全策略中详尽列出信息资产以及维护信息安全要求达到的水准，对信息安全行为主体严格执行策略来说都是非常有必要的。

三、应对安全事故的功能定位

信息安全策略是探测、预防和应对安全漏洞的重要机制。信息安全策略的创建规划通常可能从组织机构树立安全意识开始，继而引导形成安全稳定的运行环境，使组织对其信息资源可能遭遇的攻击或事故提前做出应对方案。信息安全策略有效与否在很大程度上依赖于政策制定者（如执行管理层）的安全意识是否坚定成熟，并且其自身也需要一个“理想的”运行环境[6]。安全策略规划形成的过程体现了组织成员对安全需求的理解，并设定了组织维护信息安全所要达到的防护层级。信息安全策略可以促进组织信息安全文化的形成，从而使成员之间互相帮助以防止安全事故发生。信息安全策略能够创建一个安全环境，在这个环境中，它的主体和其他利益相关人的隐私信息都会得到良好的保护。

信息安全策略的建立也可能源于管理风险的战略需求，处于战略层面的决策者可利用信息安全策略来降低组织信息资源的风险等级。除了预防风险外，信息安全策略在维护信息安全的持续过程中也可以为遭遇风险后如何尽快恢复运行提供计划方案[7]。信息安全策略可以指导调查安全事件并提供处理程序，例如，将已发生的风险事件记录在档，以防止其再次出现造成损失。

四、结语

综上所述，信息安全策略是组织机构信息安全工作的基础，是组织内成员乃至组织外利益相关者为了维护安全利益应该共同遵守的法则。由于不同组织对资源、风险和管理方式的认知不同，需要实现的安全目标不同，所以对于信息安全策略的定位也有所差别。组织只有理清其信息安全策略更加侧重于实现怎样的功能，才能清晰定位，制定行之有效的策略，最终达到自己的安全目的。

参考文献：

[1]Klaic，A.Overview of the state and trends in the contemporary information security policy and information security management methodologies[J].MIPRO，2010：1203-1208.

[2]Saleh，M.Information security maturity model[J].International Journal of Computer Science and Security，2011，5（3）：316-337.

[3]Cram，W et al.Organizational information security policies：a review and research framework[J].European Journal of Information Systems，2017，26（6）：605-641.

[4]Baskerville，R.& Siponen，M.An information security meta-policy for emergent organizations[J].Logistics Information Management，2002，15（5/6）：337-346.

[5]Sindhuja，P.N.Impact of information security initiatives on supply chain performance an empirical investigation[J].Information Management and Computer Security，2014，22（5）：450-473.

[6]Balozian，P & Leidner，D.Review of IS security policy compliance：toward the building blocks of an IS asecurity theory[J].Data Base for Advances in Information Systems，2017，48（3）：11-43.

[7]Baskerville，R，Spagnoletti，P & Kim，J.Incident-centered information security：managing a strategic balance between prevention and response[J].Information and Management，2014，51（1）：138-151.

*通訊作者： 王一楠。