趙秀堃 謝宗曉（南開大學(xué)商學(xué)院）

信息安全與組織業(yè)務(wù)流程結(jié)合探討

趙秀堃 謝宗曉（南開大學(xué)商學(xué)院）

謝宗曉 博士

“十二五”國家重點(diǎn)圖書出版規(guī)劃項(xiàng)目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險(xiǎn)評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文42篇，出版專著12本。

信息安全管理系列之十八

部署有效益的信息安全，防止為了安全而安全，是信息安全實(shí)踐中的重要原則之一。因此，在部署信息安全的過程中，應(yīng)該將信息安全控制點(diǎn)/流程與組織主營業(yè)務(wù)結(jié)合在一起。此外，從制度落地的角度講，與業(yè)務(wù)流程的結(jié)合可以減輕實(shí)施過程中的負(fù)擔(dān)。下文就如何實(shí)現(xiàn)信息安全與業(yè)務(wù)流程的結(jié)合進(jìn)行了初步的探討。

謝宗曉（特約編輯）

在信息安全實(shí)踐中，通過信息安全與業(yè)務(wù)流程結(jié)合是實(shí)現(xiàn)“有效益的信息安全”的途徑，更是促進(jìn)信息安全制度落地的良好途徑，本文總結(jié)出校準(zhǔn)、整合以及嵌入三種可行的途徑，并結(jié)合GB/T 22080—2016/ISO/IEC 27001：2013部署進(jìn)行了探討。

信息安全 業(yè)務(wù)流程

1 “便利性”與“安全性”的平衡

在實(shí)踐中部署信息安全所面臨的最大困難之一是“便利性”與“安全性”的平衡[1]，或者說，信息系統(tǒng)使用的本質(zhì)是為了最大化地追求便利，而信息安全問題的出現(xiàn)在一定程度上降低了信息化的效能。

不僅如此，還有很多主營業(yè)務(wù)相關(guān)人員持有更極端的觀點(diǎn)，有些是屬于個(gè)體偏見，例如，對信息安全風(fēng)險(xiǎn)感知不足，認(rèn)為“不可能”，也有一些是因?yàn)閷芾韺硬粷M所導(dǎo)致的不自覺的抱怨或抵制。在實(shí)踐中確實(shí)存在不考慮業(yè)務(wù)實(shí)際發(fā)布的信息安全制度，在實(shí)施過程中導(dǎo)致了“惡法非法”式的大面積違規(guī)。

基于組織業(yè)務(wù)風(fēng)險(xiǎn)幾乎是所有的信息安全標(biāo)準(zhǔn)持續(xù)強(qiáng)調(diào)的原則之一，例如，GB/T 31722—2015 / ISO/IEC 27005：2008和GB/T 22080—2016 / ISO/IEC 27001：2013等無一例外。這個(gè)原則的設(shè)定本質(zhì)是追求“有效益的安全”，防止“為了安全而安全”，但是在實(shí)際工作中，不同部門的訴求是不同的，由于分管領(lǐng)導(dǎo)不同，或者更復(fù)雜的政治關(guān)系，這個(gè)原則很難被恰當(dāng)?shù)貓?zhí)行。例如，對于信息安全部門而言，由于對信息安全負(fù)主要責(zé)任，必然傾向于“過度安全”，甚至?xí)l(fā)布不切實(shí)際的制度，從而把責(zé)任推卸給其他違規(guī)部門。

發(fā)布聽起來合理、卻難以執(zhí)行的制度，不但在信息安全領(lǐng)域存在，在其他領(lǐng)域更是常見問題。在實(shí)踐中稱之為“追求免責(zé)”的制度。為了防止這種“看起來是盡職盡責(zé)，實(shí)際是消極怠工”的局勢，頂層的解決方案是改變信息安全治理（governance）結(jié)構(gòu)，具體的解決方案則是促進(jìn)與業(yè)務(wù)流程的結(jié)合。本文中關(guān)注的是后者，項(xiàng)目組與第三方信息安全服務(wù)機(jī)構(gòu)通過持續(xù)的討論，最后總結(jié)出三種信息安全控制措施與業(yè)務(wù)流程的結(jié)合途徑，分別為：校準(zhǔn)（align）、整合（integrate）以及嵌入（embed）。

2 校準(zhǔn)（align）

校準(zhǔn)是指信息安全控制也以流程的形式呈現(xiàn)，且無法通過其他途徑精簡，需要與其最相關(guān)的業(yè)務(wù)流程進(jìn)行校準(zhǔn)，以確保該流程盡量少影響或不會影響業(yè)務(wù)流程的運(yùn)轉(zhuǎn)。此外，新產(chǎn)生的信息安全流程也列入該類，因?yàn)橹孕庐a(chǎn)生，意味著不可被精簡。

流程校準(zhǔn)示意如圖1所示。

圖1 流程校準(zhǔn)示意圖

例如，在GB/T 22080—2016 / ISO/IEC 27001：2013的附錄A的A.8中，信息資產(chǎn)生命周期管理一般要單獨(dú)成文件并附流程[1]，雖然大部分組織都已經(jīng)存在資產(chǎn)管理的相關(guān)文件，但是資產(chǎn)管理更偏重于財(cái)務(wù)方面，而對于“信息”而言，卻沒有確定的價(jià)值，更重要的是從保管角度講，也存在巨大不同，傳統(tǒng)的固定資產(chǎn)面臨的威脅主要來自物理方面的，而信息面臨的威脅則主要來自邏輯方面的。因此，單獨(dú)成文的信息資產(chǎn)管理流程要與已有的資產(chǎn)管理流程實(shí)現(xiàn)校準(zhǔn)。例如，資產(chǎn)估值應(yīng)該遵守現(xiàn)有的會計(jì)制度，整個(gè)生命周期在考慮獨(dú)特性的前提下，盡量與已有的資產(chǎn)管理周期保持統(tǒng)一。

3 整合（integrate）

整合也是指信息安全控制以流程的形式呈現(xiàn)，這個(gè)流程與已有的業(yè)務(wù)流程各有重點(diǎn)，但是存在程序上或邏輯上的共同之處，可以考慮將兩者或者更多整合成一個(gè)流程，從而減少了流程的總體數(shù)量，同時(shí)降低了執(zhí)行者的負(fù)擔(dān)。

流程整合示意如圖2所示。

圖2 流程整合示意圖

整合在信息安全實(shí)踐中是常用詞匯，但是一般不是用來討論流程層次的問題，而更多地用于標(biāo)準(zhǔn)架構(gòu)層次。例如，在GB/T 22080—2008 / ISO/IEC 27001：2005引言中就被提到，其中指出“本標(biāo)準(zhǔn)與GB/T 19001—2000 及GB/T 24001—2004 相結(jié)合，以支持與相關(guān)管理標(biāo)準(zhǔn)一致的、整合的實(shí)施和運(yùn)行”①注意，該段描述在最新版的GB/T 22080—2016/ ISO/IEC 27001：2013中被刪除了，但意思基本一致，還是強(qiáng)調(diào)了與其他管理體系的兼容性。。

整體而言，標(biāo)準(zhǔn)整合已經(jīng)是大勢所趨，例如，參考文獻(xiàn)[2]介紹了質(zhì)量管理體系/環(huán)境管理體系/職業(yè)健康安全管理體系/信息安全管理體系（QMS/ EMS/OHSAS/ISMS）四個(gè)標(biāo)準(zhǔn)整合的管理體系設(shè)計(jì)，并給出了諸多電力企業(yè)的案例。再如，參考文獻(xiàn)[3]主要關(guān)注ISO/IEC 15504②ISO/IEC 15504是ISO/IEC JCT1 SC7所公布的標(biāo)準(zhǔn)，主要基于“軟件過程改進(jìn)和能力測定（Software Process Improvement and Capability Determination，SPICE）”項(xiàng)目，這個(gè)標(biāo)準(zhǔn)類似于應(yīng)用廣泛的CMM（Capability Maturity Model for Software）。ISO/IEC 15504 也是一個(gè)體系龐大的標(biāo)準(zhǔn)，目前包括了10部分。其中，ISO/IEC JCT1 SC7 是軟件和系統(tǒng)工程委員會（Software and Systems Engineering），SC27 是信息安全分技術(shù)委員會。與ISO/IEC 27000標(biāo)準(zhǔn)族的整合應(yīng)用，其中包括了ISO/IEC 15504-5與ISO/IEC 27002控制措施之間的映射。在后續(xù)的介紹中，我們將專門探討體系整合問題。

4 嵌入（embed）

實(shí)際上，更多的信息安全控制是以控制點(diǎn)的形式呈現(xiàn)，并不能作為單獨(dú)的流程。嵌入主要針對信息安全控制點(diǎn)，是將這些控制點(diǎn)嵌入到現(xiàn)有的業(yè)務(wù)流程上。具體如圖3所示。

圖3 流程嵌入示意圖

例如，GB/T 22080—2016 / ISO/IEC 27001：2013中“A.14 信息系統(tǒng)開發(fā)、獲取和維護(hù)”，尤其是信息系統(tǒng)開發(fā)過程，不可能脫離軟件開發(fā)的一般過程，而是在這個(gè)過程中嵌入一系列的安全控制點(diǎn)。

在GB/T 22080—2016 / ISO/IEC 27001：2013的附錄A中，共有14個(gè)控制域、35個(gè)控制目標(biāo)和114項(xiàng)控制措施。這14個(gè)安全控制域中，除了“A.16信息安全事件管理”和“A.17 業(yè)務(wù)連續(xù)性管理的信息安全方面”存在明確的流程要求，其他安全域則更多是以控制點(diǎn)的形式呈現(xiàn)，例如，“A.7人力資源安全”，在實(shí)踐中一般是在人力資源的相關(guān)規(guī)程中嵌入信息安全審核點(diǎn)。

5 小結(jié)

無論是流程的校準(zhǔn)、整合還是嵌入，最主要的目的之一是要降低對主營業(yè)務(wù)流程的干擾，以更節(jié)約的方式促進(jìn)信息安全制度的落地。這與是否重視信息安全并不矛盾。孤立地看待信息安全，很容易陷入到“為了安全而安全”的誤區(qū)，更嚴(yán)重的是可能導(dǎo)致“盡職免責(zé)”的模式，由于專業(yè)技術(shù)人員和其他部門之間存在信息不對稱，出于各種考慮，導(dǎo)致最后發(fā)布的信息安全制度充滿陷阱。從這個(gè)角度講，在管理層很難解決這個(gè)問題，信息安全是一個(gè)治理問題。在下期的文章中，我們將對信息安全治理問題進(jìn)行初步探討。

[1]謝宗曉. 信息安全管理體系實(shí)施指南[M]. 北京：中國標(biāo)準(zhǔn)出版社，2012.

[2]光耀華，謝宗曉. 質(zhì)量/環(huán)境/職業(yè)健康安全/信息安全四標(biāo)整合管理體系教程[M]. 北京：中國標(biāo)準(zhǔn)出版社，2009.

[3]Mesquida A. Mas A. Implementing information security best practices on software lifecycle processes: The ISO/IEC 15504 security extension [J]. Computers & Security，2015(48):19–34.

[4]權(quán)貞惠，謝宗曉. 信息安全管理制度編寫的要點(diǎn)[J]. 中國標(biāo)準(zhǔn)導(dǎo)報(bào)，2015（08）：28–31.

Discuss of Combining Information Security and Organizational Business Process

Zhao Xiukun, Xie Zongxiao ( Business School, Nankai University )

Combining information security and organizational business process is an essential method in information security practice, which can realize “economic information security” and improve information security policies come into effect. This paper proposed three methods including alignment, integration and embeddedness, and discussed its application.

information security, business process