基于ISO/IEC 27001:2013的集团企业信息安全管控设计

2015-09-16 02:00李心阳神华天津煤炭码头有限责任公司信息中心谢宗晓南开大学商学院
中国质量与标准导报 2015年1期
关键词:管理体系信息安全管控

李心阳(神华天津煤炭码头有限责任公司信息中心) 谢宗晓(南开大学商学院)

基于ISO/IEC 27001:2013的集团企业信息安全管控设计

李心阳(神华天津煤炭码头有限责任公司信息中心)谢宗晓(南开大学商学院)

本文设计了一个大型集团企业的信息安全管控模式,该模式以ISO/IEC 27001:2013为基础,建立了一个四级文件架构的信息安全管理体系(ISMS)。本文可以为大型集团企业部署信息安全管理体系(ISMS)提供指导。

信息安全集团管控治理ISO/IEC 27001: 2013

ISO/IEC 27001:2013是全球应用最广泛的信息安全管理标准之一,其2005年版本被等同采用为GB/T 22080—2008。该标准适用于所有的组织,致力于帮助组织建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(Information Security Management System, ISMS)。以该标准为基础的ISO/IEC 27000标准族共包括了从ISO/IEC 27000到ISO/IEC 27059的60个标准,几乎囊括了信息安全的方方面面。

但是,ISO/IEC 27001:2013主要关注单个组织的信息安全,对于大型集团企业并没有单独的版本或提出额外的实施指南。对于集团企业而言,最首要的问题恰恰是治理层的问题,而不是管理层问题。本文基于ISO/IEC 27001:2013以及实践中所积累的经验,对大型集团公司信息安全的管控模式进行了初步的探讨。

一、文件化的信息安全管理体系的原则

文件化是有效沟通方式的一种,尤其是在一对多的模式中。在中小企业,文件沟通不见得是最好的方式,当面沟通可能更有效。但是在大型集团企业中,甚至一国政府,当面沟通不但低效,而且存在诸多弊端,例如,信息传递过程中的失真。几乎所有的大型组织最终都会选择文件作为主要的沟通载体之一,由此便导致了“文山会海”的弊端。因此,对于文件化的信息安全管理体系设计应该遵循以下两个原则:

(一)按照组织的最小需求设计文件,降低文件数目

制度是一个广泛的概念,其中包括了明确的或隐含的规则,实际上对于制度而言,表现形式是最次要的一部分。在实践中,更表现出了这样的特点,许多法律法规文件可能效力远不如某些潜规则。

组织追求庞大的文件体系,原因可能有很多。例如,主管部门为了追求“尽职,免责”。由于立法、执法和监督部门往往都是分离的1毫无疑问,职责分离是利大于弊的。关于这一点在ISO/IEC 27001:2013附录A中也有类似的要求。我们在此讨论的目的不是否定职责分离,而是更大化的发挥其作用。,组织内部不免会陷入相互推诿。信息安全事件发生后,负责执行的部门往往会归结为由于缺乏相应的立法,导致“无法可依”。在这种情况下,立法部门往往会尽量设计更全面的制度。但立法部门最关注的不是制度的可实施性,换句话说,他们最关心的是“有法可依”,而不是“有法必依”。

国家的法律虽然繁杂,但是有专业的律师提供服务,普通人不需要了解其中的细节。但是一个组织的制度则不同,组织内部不可能提供类似律师一样的专业服务。每一个制度,原则上员工都需要了解。显然,员工不可能花太多的精力去学习更多的文件。所以,过多庞大的制度体系不但不会提升组织的正规化,反而使组织落入“制度在墙”的尴尬境界。

(二)可以由上级统一文件化的,下面不再文件化

许多制度的关键点不在于好或坏,而在于能够被统一的执行,例如,左侧行驶或者右侧行驶,没有本质的区别,重要的是,在特定的范围内能够被统一的,无差别的执行。组织内部的制度也遵循同样的道理。

在大型集团企业内,如果某个制度能够被统一,应该尽量由上级统一文件化,下级机构可以据此执行,或者适当修改后执行。这样做的目的是形成统一的规则,降低不确定性带来的成本。

综上所述,以上两个原则应该贯穿信息安全管理制度文件架构的始终,即(1)只在必要的时候才单独成文;(2)尽量在全集团内设计推行统一的制度文件。

二、集团企业信息安全管控模式设计

大型集团企业的整体管控模式,按照母子公司的集权分权程度,可以划分为财务管控、战略管控和运营管控三种。信息安全管控模式首先要适应整体的集团管控模式,如上所述,ISO/IEC 27001:2013默认部署的范围是一个组织或者组织的一部分,并没有考虑集团企业的情况。集团企业往往是由诸多独立运营的公司所组成,这就关系到管控问题,信息安全管控模式的本质是信息安全管理制度的顶层设计。

我们以大都控股集团2关于虚拟案例大都集团的详细介绍,请参考《信息安全管理体系实施案例》,见参考文献。的组织结构为例设计管控模式,大都控股集团的组织机构如图1所示。

图1 大都控股集团组织结构

根据《信息安全管理体系实施指南》的文件架构设计,我们将大都控股集团的文件分为四级,其介绍如表1所示。

表1 大都集团文件体系

按照这个管控模式对应之后的文件体系,示例如图2所示。

图2 大都控股集团文件体系

三、结语

虽然ISO/IEC 27001:2013强调了适用于所有的组织,但是并没有专门对大型集团企业或小型组织3国际标准化组织的官方网站(www.iso.org)在2010年提供了小型组织裁剪使用ISO/IEC 27001的指南,标题为:ISO/IEC 27001 for Small Businesses - Practical advice,购买该手册的地址为:http://www.iso.org/iso/home/store/publication_item.htm?pid=PUB100255.做相应的指导,本文针对这种不足,设计了一种适合大型集团企业的信息安全管控模式,保留了实践中较为通用的ISO/IEC 27001:2013的四级文件架构,但是按照集团企业的母子公司进行了重新划分,使得一级文件与二级文件“对事不对人”,三级文件“对事也对人”,但尽量保证“一个角色,一件事,只对应一个文件”,从而降低了员工阅读文件的负担,最大限度的避免了文件与实际执行存在的“两层皮”现象,提高了文件的可实施性。

[1] ISO/IEC 27001:2013 Information Security Management System Requirement.

[2] 谢宗晓,巩庆志. ISO/IEC 27001:2013标准解读及改版分析[M]. 北京:中国标准出版社,2014.

[3] 谢宗晓,《政府部门信息安全管理基本要求》理解与实施[M]. 北京:中国标准出版社,2014.

[4] 谢宗晓,信息安全管理体系实施案例[M]. 北京:中国标准出版社,2012.

[5] 谢宗晓,信息安全管理体系实施指南[M]. 北京:中国标准出版社,2012.

Design of Information Security Management and Control for Group Enterprises Based on ISO/IEC 27001:2013

Li Xin-yang ( Information Center ShenHua TianJin Coal Terminal. LTD ) Xie Zong-xiao ( Business School, Nankai University )

Design an information security management and control model for group enterprises, which based on ISO/ IEC 27001:2013 and constructed information security management system (ISMS) with 4 document levels. It can provide guidance for developing ISMS in group enterprises.

information security, group enterprises management and control, governance, ISO/IEC 27001: 2013

猜你喜欢
管理体系信息安全管控
对质量管理体系不符合项整改的理解与实施
EyeCGas OGI在泄漏管控工作中的应用
基于KPI的绩效管理体系应用研究
BIM技术在土建工程管控中的运用
EPC总承包项目的设计管控探讨
当代经济管理体系中的会计与统计分析
控制系统价格管理体系探索与实践
基于三级等级保护的CBTC信号系统信息安全方案设计
信用证洗钱风险识别及管控
计算机网络信息安全及防护策略