李心阳(神华天津煤炭码头有限责任公司信息中心) 谢宗晓(南开大学商学院)
基于ISO/IEC 27001:2013的集团企业信息安全管控设计
李心阳(神华天津煤炭码头有限责任公司信息中心)谢宗晓(南开大学商学院)
本文设计了一个大型集团企业的信息安全管控模式,该模式以ISO/IEC 27001:2013为基础,建立了一个四级文件架构的信息安全管理体系(ISMS)。本文可以为大型集团企业部署信息安全管理体系(ISMS)提供指导。
信息安全集团管控治理ISO/IEC 27001: 2013
ISO/IEC 27001:2013是全球应用最广泛的信息安全管理标准之一,其2005年版本被等同采用为GB/T 22080—2008。该标准适用于所有的组织,致力于帮助组织建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(Information Security Management System, ISMS)。以该标准为基础的ISO/IEC 27000标准族共包括了从ISO/IEC 27000到ISO/IEC 27059的60个标准,几乎囊括了信息安全的方方面面。
但是,ISO/IEC 27001:2013主要关注单个组织的信息安全,对于大型集团企业并没有单独的版本或提出额外的实施指南。对于集团企业而言,最首要的问题恰恰是治理层的问题,而不是管理层问题。本文基于ISO/IEC 27001:2013以及实践中所积累的经验,对大型集团公司信息安全的管控模式进行了初步的探讨。
文件化是有效沟通方式的一种,尤其是在一对多的模式中。在中小企业,文件沟通不见得是最好的方式,当面沟通可能更有效。但是在大型集团企业中,甚至一国政府,当面沟通不但低效,而且存在诸多弊端,例如,信息传递过程中的失真。几乎所有的大型组织最终都会选择文件作为主要的沟通载体之一,由此便导致了“文山会海”的弊端。因此,对于文件化的信息安全管理体系设计应该遵循以下两个原则:
(一)按照组织的最小需求设计文件,降低文件数目
制度是一个广泛的概念,其中包括了明确的或隐含的规则,实际上对于制度而言,表现形式是最次要的一部分。在实践中,更表现出了这样的特点,许多法律法规文件可能效力远不如某些潜规则。
组织追求庞大的文件体系,原因可能有很多。例如,主管部门为了追求“尽职,免责”。由于立法、执法和监督部门往往都是分离的1毫无疑问,职责分离是利大于弊的。关于这一点在ISO/IEC 27001:2013附录A中也有类似的要求。我们在此讨论的目的不是否定职责分离,而是更大化的发挥其作用。,组织内部不免会陷入相互推诿。信息安全事件发生后,负责执行的部门往往会归结为由于缺乏相应的立法,导致“无法可依”。在这种情况下,立法部门往往会尽量设计更全面的制度。但立法部门最关注的不是制度的可实施性,换句话说,他们最关心的是“有法可依”,而不是“有法必依”。
国家的法律虽然繁杂,但是有专业的律师提供服务,普通人不需要了解其中的细节。但是一个组织的制度则不同,组织内部不可能提供类似律师一样的专业服务。每一个制度,原则上员工都需要了解。显然,员工不可能花太多的精力去学习更多的文件。所以,过多庞大的制度体系不但不会提升组织的正规化,反而使组织落入“制度在墙”的尴尬境界。
(二)可以由上级统一文件化的,下面不再文件化
许多制度的关键点不在于好或坏,而在于能够被统一的执行,例如,左侧行驶或者右侧行驶,没有本质的区别,重要的是,在特定的范围内能够被统一的,无差别的执行。组织内部的制度也遵循同样的道理。
在大型集团企业内,如果某个制度能够被统一,应该尽量由上级统一文件化,下级机构可以据此执行,或者适当修改后执行。这样做的目的是形成统一的规则,降低不确定性带来的成本。
综上所述,以上两个原则应该贯穿信息安全管理制度文件架构的始终,即(1)只在必要的时候才单独成文;(2)尽量在全集团内设计推行统一的制度文件。
大型集团企业的整体管控模式,按照母子公司的集权分权程度,可以划分为财务管控、战略管控和运营管控三种。信息安全管控模式首先要适应整体的集团管控模式,如上所述,ISO/IEC 27001:2013默认部署的范围是一个组织或者组织的一部分,并没有考虑集团企业的情况。集团企业往往是由诸多独立运营的公司所组成,这就关系到管控问题,信息安全管控模式的本质是信息安全管理制度的顶层设计。
我们以大都控股集团2关于虚拟案例大都集团的详细介绍,请参考《信息安全管理体系实施案例》,见参考文献。的组织结构为例设计管控模式,大都控股集团的组织机构如图1所示。
图1 大都控股集团组织结构
根据《信息安全管理体系实施指南》的文件架构设计,我们将大都控股集团的文件分为四级,其介绍如表1所示。
表1 大都集团文件体系
按照这个管控模式对应之后的文件体系,示例如图2所示。
图2 大都控股集团文件体系
虽然ISO/IEC 27001:2013强调了适用于所有的组织,但是并没有专门对大型集团企业或小型组织3国际标准化组织的官方网站(www.iso.org)在2010年提供了小型组织裁剪使用ISO/IEC 27001的指南,标题为:ISO/IEC 27001 for Small Businesses - Practical advice,购买该手册的地址为:http://www.iso.org/iso/home/store/publication_item.htm?pid=PUB100255.做相应的指导,本文针对这种不足,设计了一种适合大型集团企业的信息安全管控模式,保留了实践中较为通用的ISO/IEC 27001:2013的四级文件架构,但是按照集团企业的母子公司进行了重新划分,使得一级文件与二级文件“对事不对人”,三级文件“对事也对人”,但尽量保证“一个角色,一件事,只对应一个文件”,从而降低了员工阅读文件的负担,最大限度的避免了文件与实际执行存在的“两层皮”现象,提高了文件的可实施性。
[1] ISO/IEC 27001:2013 Information Security Management System Requirement.
[2] 谢宗晓,巩庆志. ISO/IEC 27001:2013标准解读及改版分析[M]. 北京:中国标准出版社,2014.
[3] 谢宗晓,《政府部门信息安全管理基本要求》理解与实施[M]. 北京:中国标准出版社,2014.
[4] 谢宗晓,信息安全管理体系实施案例[M]. 北京:中国标准出版社,2012.
[5] 谢宗晓,信息安全管理体系实施指南[M]. 北京:中国标准出版社,2012.
Design of Information Security Management and Control for Group Enterprises Based on ISO/IEC 27001:2013
Li Xin-yang ( Information Center ShenHua TianJin Coal Terminal. LTD ) Xie Zong-xiao ( Business School, Nankai University )
Design an information security management and control model for group enterprises, which based on ISO/ IEC 27001:2013 and constructed information security management system (ISMS) with 4 document levels. It can provide guidance for developing ISMS in group enterprises.
information security, group enterprises management and control, governance, ISO/IEC 27001: 2013