謝宗曉　周常寶（南開大學(xué) 商學(xué)院）

信息安全治理及其標(biāo)準(zhǔn)介紹

謝宗曉周常寶
（南開大學(xué) 商學(xué)院）

信息安全治理問題是目前解決諸多實(shí)踐問題的瓶頸，從公司治理出發(fā)，結(jié)合ISO/IEC 27014：2013，本文探討了信息安全治理的基本概念、行動(dòng)原則以及實(shí)施過程。

信息安全治理ISO/IEC 27014：2013

專欄

信息安全管理系列之九

在信息安全情境中長(zhǎng)期存在“重技術(shù)，輕管理”的現(xiàn)象，實(shí)際更嚴(yán)重的是“輕治理”。就整個(gè)企業(yè)環(huán)境而言，正如學(xué)者李維安所指出：公司治理已遠(yuǎn)遠(yuǎn)落后于技術(shù)變化。ISO/IEC 27014：2013《信息技術(shù) 安全技術(shù) 信息安全治理》雖然姍姍來遲，但是作為ISO/IEC 27000標(biāo)準(zhǔn)族的系列標(biāo)準(zhǔn)，我們期望該標(biāo)準(zhǔn)的發(fā)布能夠促進(jìn)解決目前實(shí)踐中所面臨的瓶頸。本文對(duì)信息安全治理及其相關(guān)問題進(jìn)行了初步探討。

謝宗曉（特約編輯）

1　治理與管理

治理（governance）是外來詞匯，起源于拉丁文或希臘語“引航”（steering），這清晰地指明了治理與管理的不同之處，或者說，治理更偏重方向性問題。這種差異導(dǎo)致在越宏觀的領(lǐng)域，治理詞匯出現(xiàn)得越頻繁，例如，社會(huì)治理、環(huán)境治理、公司治理；在細(xì)分領(lǐng)域則恰相反，例如，信息安全治理就較少出現(xiàn)。

但是，信息安全治理和公司治理中對(duì)“治理”的定義并不盡相同。信息安全治理是指導(dǎo)和控制組織信息安全活動(dòng)的體系，公司治理則是用規(guī)則和制度來約束和重塑利益相關(guān)者之間的關(guān)系1）李維安：推進(jìn)全面深化改革的關(guān)鍵 樹立現(xiàn)代治理理念，http://theory.people.com.cn/n/2013/1129/c40531-23692375.html.），其前提是代理理論2）公司治理理念，http://www.cg.org.cn/n/4269.html.），也就是說，經(jīng)營(yíng)權(quán)和所有權(quán)的分離是產(chǎn)生治理問題的基礎(chǔ)。在NIST SP800-37 Rev1和NIST SP800-30 Rev1中解釋得更清楚，而且還加了一個(gè)控制層。如圖1所示。

圖1　不同層次的問題

2　ISO/IEC 27014：2013綜述

ISO/IEC 27014：2013全稱為：Information technology—Security techniques—Governance of information security（信息技術(shù) 安全技術(shù) 信息安全治理），該標(biāo)準(zhǔn)提供了信息安全治理的基本概念和原則，企業(yè)可以據(jù)此評(píng)價(jià)、指導(dǎo)、監(jiān)督和溝通組織內(nèi)部的信息安全相關(guān)活動(dòng)。ISO/IEC 27014：2013被等同采用為國(guó)家標(biāo)準(zhǔn)，目前尚未正式公布，在送審稿階段。

ISO/IEC 27014：2013由ISO/IEC JTC 1/SC 273）關(guān)于ISO與IEC的機(jī)構(gòu)設(shè)置，請(qǐng)參考：林潤(rùn)輝等著《信息安全管理理論與實(shí)踐》，中國(guó)標(biāo)準(zhǔn)出版社，2015。）與ITU -T4）ITU-T (ITU Telecommunication Standardization Sector)是國(guó)際電信聯(lián)盟專門制定遠(yuǎn)程通信標(biāo)準(zhǔn)的國(guó)際標(biāo)準(zhǔn)化機(jī)構(gòu)，前身為CCTT (International Telegraph and Telephone Consultative Committee)，ITU-T發(fā)布的標(biāo)準(zhǔn)都稱為建議（Recommendations），因此ISO/IEC 27014：2013就是ITU-T Recommendation X.1054。）合作發(fā)布，ITU-T發(fā)布為X.1054。

ISO/IEC 27014：2013正文共有5章（前3章分別為：范圍、規(guī)范性引用文件以及術(shù)語和定義），2個(gè)資料性附錄。這個(gè)標(biāo)準(zhǔn)內(nèi)容比較簡(jiǎn)單，正如其介紹中所述，主要是為了提供概念和原則，正文中第4章為概念，第5章為原則與過程。

此外，需要指出的是ISO/IEC 27014：2013中認(rèn)為信息安全治理的目的是：（1）使信息安全目的和戰(zhàn)略與業(yè)務(wù)目的和戰(zhàn)略一致（戰(zhàn)略一致） ；（2）為治理者和利益相關(guān)者帶來價(jià)值（價(jià)值提供）；（3）確保信息風(fēng)險(xiǎn)得到充分解決（責(zé)任承擔(dān)）。

3 公司治理與信息安全治理的關(guān)系

和其他領(lǐng)域的治理一致，例如，信息技術(shù)治理、跨國(guó)治理等，也可以認(rèn)為信息安全治理是公司治理的子領(lǐng)域。在ISO/IEC 27014：2013中用的詞匯是“組織治理”。

圖2　組織治理、信息技術(shù)治理與信息安全治理的關(guān)系

4　信息安全治理的原則

治理最本質(zhì)的目的是處理“利益相關(guān)者之間的關(guān)系”，所有的利益相關(guān)者各有各的視角，例如，企業(yè)所有者追求的是利潤(rùn)最大化，期望的是最低安全，對(duì)CSO（首席安全官）而言，安全則是其工作的全部?jī)?nèi)容，期望的是絕對(duì)安全。因此，如何保障所有的利益相關(guān)者盡量獲取期望的價(jià)值是信息安全能否成功的關(guān)鍵。

ISO/IEC 27014：2013在這個(gè)基礎(chǔ)上提出了六條行動(dòng)原則。

（1）建立組織范圍的信息安全

信息安全很容易被認(rèn)為是某個(gè)部門的責(zé)任，必須強(qiáng)調(diào)全組織范圍內(nèi)的信息安全，應(yīng)該跨越部門建立信息安全的責(zé)任制和問責(zé)制。這個(gè)原則在ISO/IEC 27001中就有所體現(xiàn)，例如，附錄A中信息安全組織要求建立協(xié)調(diào)機(jī)構(gòu)，目前很多企業(yè)都建立了信息安全委員會(huì)或者信息安全領(lǐng)導(dǎo)小組，并指定“一把手”為信息安全第一責(zé)任人。這樣做的目的是使信息安全的相關(guān)決策上升至整個(gè)組織的層次，而不僅僅是某個(gè)或某些部門的決策。

為建立組織范圍的信息安全，“邊界”不會(huì)這么確切，可能常常涉及到外部各方，例如，為了申請(qǐng)政府補(bǔ)助項(xiàng)目，需要提交各種敏感信息，這時(shí)實(shí)際上還是在組織范圍內(nèi)。

（2）采用基于風(fēng)險(xiǎn)的方法

風(fēng)險(xiǎn)在某些領(lǐng)域一度是中性詞，甚至是褒義詞，例如“富貴險(xiǎn)中求”。但是在信息安全中，風(fēng)險(xiǎn)一般只與負(fù)面的事件相聯(lián)系。信息安全的本質(zhì)是為了防止安全事件的發(fā)生，因此，控制風(fēng)險(xiǎn)是信息安全實(shí)踐的核心問題，這在業(yè)界已經(jīng)得到共識(shí)。同時(shí)，信息安全治理宜建立在基于風(fēng)險(xiǎn)的決策基礎(chǔ)上。決定多少安全程度是可接受的，宜建立在組織對(duì)風(fēng)險(xiǎn)承受的基礎(chǔ)之上，包括競(jìng)爭(zhēng)優(yōu)勢(shì)的喪失、違規(guī)和未盡義務(wù)的風(fēng)險(xiǎn)、日常業(yè)務(wù)中斷、聲譽(yù)受損和經(jīng)濟(jì)損失。

NIST SP800-37 Rev1中描述了一個(gè)如圖3所示的信息安全風(fēng)險(xiǎn)管理框架。

圖3　NIST風(fēng)險(xiǎn)管理框架

（3）確定投資決策的方向

實(shí)現(xiàn)有效益的安全，而不能“為了安全而安全”。信息安全治理宜基于要實(shí)現(xiàn)的業(yè)務(wù)產(chǎn)出建立信息安全投資戰(zhàn)略，使得業(yè)務(wù)和信息安全需求之間無論短期還是長(zhǎng)期都是相稱的，從而滿足利益相關(guān)者當(dāng)前和不斷變化的需要。但是，目前對(duì)信息安全投資的規(guī)模和去向都沒有良好的實(shí)踐。在信息安全處置過程中，成本效益分析是比較可行的方法之一。

（4）確保符合內(nèi)部和外部的要求

信息安全治理宜確保信息安全策略和實(shí)踐符合相關(guān)的強(qiáng)制性法律、法規(guī)和規(guī)章，以及承諾的業(yè)務(wù)或合同要求和其他的外部或內(nèi)部要求。在我們“信息安全管理系列”文章稱之為“內(nèi)外合規(guī)”，在ISO/ IEC 27001中稱之為“符合性”。實(shí)際上，“符合內(nèi)部和外部要求”都可以列入廣義合法性的獲取，合法性是一個(gè)組織生存的根本，例如，一國(guó)政府，一旦失去合法性，就會(huì)引致諸多挑戰(zhàn)行為，并由此導(dǎo)致崩潰。

（5）營(yíng)造安全良好的環(huán)境

信息安全治理宜建立在人的行為之上，包括所有利益相關(guān)者不斷變化的需要，因?yàn)槿说男袨槭侵涡畔踩m當(dāng)級(jí)別的基本要素之一。如果沒有充分的協(xié)調(diào)，目的、角色、責(zé)任和資源可能相互沖突，導(dǎo)致未能達(dá)到業(yè)務(wù)目的。設(shè)計(jì)一整套的制度，使各種利益相關(guān)者之間的協(xié)調(diào)和方向一致正是治理的本質(zhì)目的。許多利益的沖突，往往在制度設(shè)計(jì)階段就產(chǎn)生了，例如，設(shè)計(jì)過度嚴(yán)厲的信息安全制度，規(guī)定輕微違規(guī)事件就要開除，必然導(dǎo)致員工掩蓋輕微的事件，導(dǎo)致嚴(yán)重信息安全事件的發(fā)生。

（6）關(guān)聯(lián)業(yè)務(wù)產(chǎn)出評(píng)審績(jī)效

在約定的信息安全級(jí)別下，信息安全治理宜確保保護(hù)信息所采用的方法適合支持組織的意圖。安全績(jī)效宜被維持在滿足當(dāng)前和未來業(yè)務(wù)需求所需要的級(jí)別上。

為從治理角度評(píng)審信息安全績(jī)效，治理者宜評(píng)價(jià)信息安全在業(yè)務(wù)影響方面的績(jī)效，而不僅僅是安全控制措施的效率和效果。這可以通過授權(quán)執(zhí)行一個(gè)監(jiān)視、審核和改進(jìn)的績(jī)效測(cè)量程序來做到，從而將信息安全績(jī)效連接到業(yè)務(wù)績(jī)效。

5　信息安全治理的過程

在公司治理領(lǐng)域，公司治理被描述為一系列問題的集合，并沒有完整的流程，但I(xiàn)SO/IEC 27014：2013給了一個(gè)比較簡(jiǎn)單的模型，如圖4所示。

圖4　信息安全治理模型

評(píng)價(jià)是指治理者對(duì)執(zhí)行層的提案進(jìn)行評(píng)價(jià)，從而確定是否能夠?qū)崿F(xiàn)信息安全目的，并充分支持組織的主營(yíng)業(yè)務(wù)。指導(dǎo)體現(xiàn)了治理的原意之一，即確定方向，其中很重要的一點(diǎn)就是上文中所描述的確保信息安全戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致。監(jiān)視的輸入來自執(zhí)行層，執(zhí)行管理者應(yīng)向治理者反饋信息安全績(jī)效，站在專業(yè)角度對(duì)可能的風(fēng)險(xiǎn)進(jìn)行預(yù)警或分析等。溝通是指治理者與利益相關(guān)者的溝通。在ISO/IEC 27014：2013中對(duì)治理者和執(zhí)行管理者的任務(wù)進(jìn)行了分類描述。

6　小結(jié)

信息安全治理中所涉及的問題，在之前的信息安全相關(guān)標(biāo)準(zhǔn)中（如ISO/IEC 27001等）均有涉及，例如，信息安全風(fēng)險(xiǎn)管理，符合性和績(jī)效評(píng)價(jià)等內(nèi)容。但是毫無疑問，很多問題不是執(zhí)行管理層能夠協(xié)調(diào)解決的。將這些方面單獨(dú)列出作為信息安全治理層的工作有很重要的意義，這相當(dāng)于對(duì)信息安全實(shí)踐中戰(zhàn)略層和執(zhí)行層問題進(jìn)行了分離，也正如ISO/IEC 27014：2013所指出：信息安全治理在組織的治理者、執(zhí)行管理者和那些負(fù)責(zé)實(shí)現(xiàn)與運(yùn)行信息安全管理體系者之間提供了強(qiáng)有力的紐帶。

[1] ISO/IEC 27014：2013 Information technology—Security techniques—Governance of information security

[2] 《信息技術(shù)安全技術(shù)信息安全治理》（征求意見稿），http://www.tc260.org.cn.

[3] 林潤(rùn)輝，李大輝，謝宗曉，等. 信息安全管理理論與實(shí)踐[M]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2015.

[4] NIST SP800-30 Rev1 Guide for Conducting Risk Assessments，2012.

[5] NIST SP800-37 Rev1 Guide for Applying the Risk Management Framework to Federal Information Systems-A Security Life Cycle Approach，2010.

Introduction of Information Security Governance and its Standards

Xie Zongxiao, Zhou Changbao
( Business School, Nankai University )

From corporate governance and ISO/IEC 27014: 2013, this paper discussed concepts, principles and process of information security governance.

information security governance, ISO/IEC 27014: 2013