信息安全治理及其标准介绍

谢宗晓　周常宝（南开大学 商学院）

信息安全治理及其标准介绍

谢宗晓周常宝
（南开大学 商学院）

信息安全治理问题是目前解决诸多实践问题的瓶颈，从公司治理出发，结合ISO/IEC 27014：2013，本文探讨了信息安全治理的基本概念、行动原则以及实施过程。

信息安全治理ISO/IEC 27014：2013

专栏

信息安全管理系列之九

在信息安全情境中长期存在“重技术，轻管理”的现象，实际更严重的是“轻治理”。就整个企业环境而言，正如学者李维安所指出：公司治理已远远落后于技术变化。ISO/IEC 27014：2013《信息技术 安全技术 信息安全治理》虽然姗姗来迟，但是作为ISO/IEC 27000标准族的系列标准，我们期望该标准的发布能够促进解决目前实践中所面临的瓶颈。本文对信息安全治理及其相关问题进行了初步探讨。

谢宗晓（特约编辑）

1　治理与管理

治理（governance）是外来词汇，起源于拉丁文或希腊语“引航”（steering），这清晰地指明了治理与管理的不同之处，或者说，治理更偏重方向性问题。这种差异导致在越宏观的领域，治理词汇出现得越频繁，例如，社会治理、环境治理、公司治理；在细分领域则恰相反，例如，信息安全治理就较少出现。

但是，信息安全治理和公司治理中对“治理”的定义并不尽相同。信息安全治理是指导和控制组织信息安全活动的体系，公司治理则是用规则和制度来约束和重塑利益相关者之间的关系1）李维安：推进全面深化改革的关键 树立现代治理理念，http://theory.people.com.cn/n/2013/1129/c40531-23692375.html.），其前提是代理理论2）公司治理理念，http://www.cg.org.cn/n/4269.html.），也就是说，经营权和所有权的分离是产生治理问题的基础。在NIST SP800-37 Rev1和NIST SP800-30 Rev1中解释得更清楚，而且还加了一个控制层。如图1所示。

图1　不同层次的问题

2　ISO/IEC 27014：2013综述

ISO/IEC 27014：2013全称为：Information technology—Security techniques—Governance of information security（信息技术 安全技术 信息安全治理），该标准提供了信息安全治理的基本概念和原则，企业可以据此评价、指导、监督和沟通组织内部的信息安全相关活动。ISO/IEC 27014：2013被等同采用为国家标准，目前尚未正式公布，在送审稿阶段。

ISO/IEC 27014：2013由ISO/IEC JTC 1/SC 273）关于ISO与IEC的机构设置，请参考：林润辉等著《信息安全管理理论与实践》，中国标准出版社，2015。）与ITU -T4）ITU-T (ITU Telecommunication Standardization Sector)是国际电信联盟专门制定远程通信标准的国际标准化机构，前身为CCTT (International Telegraph and Telephone Consultative Committee)，ITU-T发布的标准都称为建议（Recommendations），因此ISO/IEC 27014：2013就是ITU-T Recommendation X.1054。）合作发布，ITU-T发布为X.1054。

ISO/IEC 27014：2013正文共有5章（前3章分别为：范围、规范性引用文件以及术语和定义），2个资料性附录。这个标准内容比较简单，正如其介绍中所述，主要是为了提供概念和原则，正文中第4章为概念，第5章为原则与过程。

此外，需要指出的是ISO/IEC 27014：2013中认为信息安全治理的目的是：（1）使信息安全目的和战略与业务目的和战略一致（战略一致） ；（2）为治理者和利益相关者带来价值（价值提供）；（3）确保信息风险得到充分解决（责任承担）。

3 公司治理与信息安全治理的关系

和其他领域的治理一致，例如，信息技术治理、跨国治理等，也可以认为信息安全治理是公司治理的子领域。在ISO/IEC 27014：2013中用的词汇是“组织治理”。

图2　组织治理、信息技术治理与信息安全治理的关系

4　信息安全治理的原则

治理最本质的目的是处理“利益相关者之间的关系”，所有的利益相关者各有各的视角，例如，企业所有者追求的是利润最大化，期望的是最低安全，对CSO（首席安全官）而言，安全则是其工作的全部内容，期望的是绝对安全。因此，如何保障所有的利益相关者尽量获取期望的价值是信息安全能否成功的关键。

ISO/IEC 27014：2013在这个基础上提出了六条行动原则。

（1）建立组织范围的信息安全

信息安全很容易被认为是某个部门的责任，必须强调全组织范围内的信息安全，应该跨越部门建立信息安全的责任制和问责制。这个原则在ISO/IEC 27001中就有所体现，例如，附录A中信息安全组织要求建立协调机构，目前很多企业都建立了信息安全委员会或者信息安全领导小组，并指定“一把手”为信息安全第一责任人。这样做的目的是使信息安全的相关决策上升至整个组织的层次，而不仅仅是某个或某些部门的决策。

为建立组织范围的信息安全，“边界”不会这么确切，可能常常涉及到外部各方，例如，为了申请政府补助项目，需要提交各种敏感信息，这时实际上还是在组织范围内。

（2）采用基于风险的方法

风险在某些领域一度是中性词，甚至是褒义词，例如“富贵险中求”。但是在信息安全中，风险一般只与负面的事件相联系。信息安全的本质是为了防止安全事件的发生，因此，控制风险是信息安全实践的核心问题，这在业界已经得到共识。同时，信息安全治理宜建立在基于风险的决策基础上。决定多少安全程度是可接受的，宜建立在组织对风险承受的基础之上，包括竞争优势的丧失、违规和未尽义务的风险、日常业务中断、声誉受损和经济损失。

NIST SP800-37 Rev1中描述了一个如图3所示的信息安全风险管理框架。

图3　NIST风险管理框架

（3）确定投资决策的方向

实现有效益的安全，而不能“为了安全而安全”。信息安全治理宜基于要实现的业务产出建立信息安全投资战略，使得业务和信息安全需求之间无论短期还是长期都是相称的，从而满足利益相关者当前和不断变化的需要。但是，目前对信息安全投资的规模和去向都没有良好的实践。在信息安全处置过程中，成本效益分析是比较可行的方法之一。

（4）确保符合内部和外部的要求

信息安全治理宜确保信息安全策略和实践符合相关的强制性法律、法规和规章，以及承诺的业务或合同要求和其他的外部或内部要求。在我们“信息安全管理系列”文章称之为“内外合规”，在ISO/ IEC 27001中称之为“符合性”。实际上，“符合内部和外部要求”都可以列入广义合法性的获取，合法性是一个组织生存的根本，例如，一国政府，一旦失去合法性，就会引致诸多挑战行为，并由此导致崩溃。

（5）营造安全良好的环境

信息安全治理宜建立在人的行为之上，包括所有利益相关者不断变化的需要，因为人的行为是支撑信息安全适当级别的基本要素之一。如果没有充分的协调，目的、角色、责任和资源可能相互冲突，导致未能达到业务目的。设计一整套的制度，使各种利益相关者之间的协调和方向一致正是治理的本质目的。许多利益的冲突，往往在制度设计阶段就产生了，例如，设计过度严厉的信息安全制度，规定轻微违规事件就要开除，必然导致员工掩盖轻微的事件，导致严重信息安全事件的发生。

（6）关联业务产出评审绩效

在约定的信息安全级别下，信息安全治理宜确保保护信息所采用的方法适合支持组织的意图。安全绩效宜被维持在满足当前和未来业务需求所需要的级别上。

为从治理角度评审信息安全绩效，治理者宜评价信息安全在业务影响方面的绩效，而不仅仅是安全控制措施的效率和效果。这可以通过授权执行一个监视、审核和改进的绩效测量程序来做到，从而将信息安全绩效连接到业务绩效。

5　信息安全治理的过程

在公司治理领域，公司治理被描述为一系列问题的集合，并没有完整的流程，但ISO/IEC 27014：2013给了一个比较简单的模型，如图4所示。

图4　信息安全治理模型

评价是指治理者对执行层的提案进行评价，从而确定是否能够实现信息安全目的，并充分支持组织的主营业务。指导体现了治理的原意之一，即确定方向，其中很重要的一点就是上文中所描述的确保信息安全战略与业务战略的一致。监视的输入来自执行层，执行管理者应向治理者反馈信息安全绩效，站在专业角度对可能的风险进行预警或分析等。沟通是指治理者与利益相关者的沟通。在ISO/IEC 27014：2013中对治理者和执行管理者的任务进行了分类描述。

6　小结

信息安全治理中所涉及的问题，在之前的信息安全相关标准中（如ISO/IEC 27001等）均有涉及，例如，信息安全风险管理，符合性和绩效评价等内容。但是毫无疑问，很多问题不是执行管理层能够协调解决的。将这些方面单独列出作为信息安全治理层的工作有很重要的意义，这相当于对信息安全实践中战略层和执行层问题进行了分离，也正如ISO/IEC 27014：2013所指出：信息安全治理在组织的治理者、执行管理者和那些负责实现与运行信息安全管理体系者之间提供了强有力的纽带。

[1] ISO/IEC 27014：2013 Information technology—Security techniques—Governance of information security

[2] 《信息技术安全技术信息安全治理》（征求意见稿），http://www.tc260.org.cn.

[3] 林润辉，李大辉，谢宗晓，等. 信息安全管理理论与实践[M]. 北京：中国标准出版社，2015.

[4] NIST SP800-30 Rev1 Guide for Conducting Risk Assessments，2012.

[5] NIST SP800-37 Rev1 Guide for Applying the Risk Management Framework to Federal Information Systems-A Security Life Cycle Approach，2010.

Introduction of Information Security Governance and its Standards

Xie Zongxiao, Zhou Changbao
( Business School, Nankai University )

From corporate governance and ISO/IEC 27014: 2013, this paper discussed concepts, principles and process of information security governance.

information security governance, ISO/IEC 27014: 2013