信息安全与组织业务流程结合探讨

赵秀堃 谢宗晓（南开大学商学院）

信息安全与组织业务流程结合探讨

赵秀堃 谢宗晓（南开大学商学院）

谢宗晓 博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文42篇，出版专著12本。

信息安全管理系列之十八

部署有效益的信息安全，防止为了安全而安全，是信息安全实践中的重要原则之一。因此，在部署信息安全的过程中，应该将信息安全控制点/流程与组织主营业务结合在一起。此外，从制度落地的角度讲，与业务流程的结合可以减轻实施过程中的负担。下文就如何实现信息安全与业务流程的结合进行了初步的探讨。

谢宗晓（特约编辑）

在信息安全实践中，通过信息安全与业务流程结合是实现“有效益的信息安全”的途径，更是促进信息安全制度落地的良好途径，本文总结出校准、整合以及嵌入三种可行的途径，并结合GB/T 22080—2016/ISO/IEC 27001：2013部署进行了探讨。

信息安全 业务流程

1 “便利性”与“安全性”的平衡

在实践中部署信息安全所面临的最大困难之一是“便利性”与“安全性”的平衡[1]，或者说，信息系统使用的本质是为了最大化地追求便利，而信息安全问题的出现在一定程度上降低了信息化的效能。

不仅如此，还有很多主营业务相关人员持有更极端的观点，有些是属于个体偏见，例如，对信息安全风险感知不足，认为“不可能”，也有一些是因为对管理层不满所导致的不自觉的抱怨或抵制。在实践中确实存在不考虑业务实际发布的信息安全制度，在实施过程中导致了“恶法非法”式的大面积违规。

基于组织业务风险几乎是所有的信息安全标准持续强调的原则之一，例如，GB/T 31722—2015 / ISO/IEC 27005：2008和GB/T 22080—2016 / ISO/IEC 27001：2013等无一例外。这个原则的设定本质是追求“有效益的安全”，防止“为了安全而安全”，但是在实际工作中，不同部门的诉求是不同的，由于分管领导不同，或者更复杂的政治关系，这个原则很难被恰当地执行。例如，对于信息安全部门而言，由于对信息安全负主要责任，必然倾向于“过度安全”，甚至会发布不切实际的制度，从而把责任推卸给其他违规部门。

发布听起来合理、却难以执行的制度，不但在信息安全领域存在，在其他领域更是常见问题。在实践中称之为“追求免责”的制度。为了防止这种“看起来是尽职尽责，实际是消极怠工”的局势，顶层的解决方案是改变信息安全治理（governance）结构，具体的解决方案则是促进与业务流程的结合。本文中关注的是后者，项目组与第三方信息安全服务机构通过持续的讨论，最后总结出三种信息安全控制措施与业务流程的结合途径，分别为：校准（align）、整合（integrate）以及嵌入（embed）。

2 校准（align）

校准是指信息安全控制也以流程的形式呈现，且无法通过其他途径精简，需要与其最相关的业务流程进行校准，以确保该流程尽量少影响或不会影响业务流程的运转。此外，新产生的信息安全流程也列入该类，因为之所以新产生，意味着不可被精简。

流程校准示意如图1所示。

图1 流程校准示意图

例如，在GB/T 22080—2016 / ISO/IEC 27001：2013的附录A的A.8中，信息资产生命周期管理一般要单独成文件并附流程[1]，虽然大部分组织都已经存在资产管理的相关文件，但是资产管理更偏重于财务方面，而对于“信息”而言，却没有确定的价值，更重要的是从保管角度讲，也存在巨大不同，传统的固定资产面临的威胁主要来自物理方面的，而信息面临的威胁则主要来自逻辑方面的。因此，单独成文的信息资产管理流程要与已有的资产管理流程实现校准。例如，资产估值应该遵守现有的会计制度，整个生命周期在考虑独特性的前提下，尽量与已有的资产管理周期保持统一。

3 整合（integrate）

整合也是指信息安全控制以流程的形式呈现，这个流程与已有的业务流程各有重点，但是存在程序上或逻辑上的共同之处，可以考虑将两者或者更多整合成一个流程，从而减少了流程的总体数量，同时降低了执行者的负担。

流程整合示意如图2所示。

图2 流程整合示意图

整合在信息安全实践中是常用词汇，但是一般不是用来讨论流程层次的问题，而更多地用于标准架构层次。例如，在GB/T 22080—2008 / ISO/IEC 27001：2005引言中就被提到，其中指出“本标准与GB/T 19001—2000 及GB/T 24001—2004 相结合，以支持与相关管理标准一致的、整合的实施和运行”①注意，该段描述在最新版的GB/T 22080—2016/ ISO/IEC 27001：2013中被删除了，但意思基本一致，还是强调了与其他管理体系的兼容性。。

整体而言，标准整合已经是大势所趋，例如，参考文献[2]介绍了质量管理体系/环境管理体系/职业健康安全管理体系/信息安全管理体系（QMS/ EMS/OHSAS/ISMS）四个标准整合的管理体系设计，并给出了诸多电力企业的案例。再如，参考文献[3]主要关注ISO/IEC 15504②ISO/IEC 15504是ISO/IEC JCT1 SC7所公布的标准，主要基于“软件过程改进和能力测定（Software Process Improvement and Capability Determination，SPICE）”项目，这个标准类似于应用广泛的CMM（Capability Maturity Model for Software）。ISO/IEC 15504 也是一个体系庞大的标准，目前包括了10部分。其中，ISO/IEC JCT1 SC7 是软件和系统工程委员会（Software and Systems Engineering），SC27 是信息安全分技术委员会。与ISO/IEC 27000标准族的整合应用，其中包括了ISO/IEC 15504-5与ISO/IEC 27002控制措施之间的映射。在后续的介绍中，我们将专门探讨体系整合问题。

4 嵌入（embed）

实际上，更多的信息安全控制是以控制点的形式呈现，并不能作为单独的流程。嵌入主要针对信息安全控制点，是将这些控制点嵌入到现有的业务流程上。具体如图3所示。

图3 流程嵌入示意图

例如，GB/T 22080—2016 / ISO/IEC 27001：2013中“A.14 信息系统开发、获取和维护”，尤其是信息系统开发过程，不可能脱离软件开发的一般过程，而是在这个过程中嵌入一系列的安全控制点。

在GB/T 22080—2016 / ISO/IEC 27001：2013的附录A中，共有14个控制域、35个控制目标和114项控制措施。这14个安全控制域中，除了“A.16信息安全事件管理”和“A.17 业务连续性管理的信息安全方面”存在明确的流程要求，其他安全域则更多是以控制点的形式呈现，例如，“A.7人力资源安全”，在实践中一般是在人力资源的相关规程中嵌入信息安全审核点。

5 小结

无论是流程的校准、整合还是嵌入，最主要的目的之一是要降低对主营业务流程的干扰，以更节约的方式促进信息安全制度的落地。这与是否重视信息安全并不矛盾。孤立地看待信息安全，很容易陷入到“为了安全而安全”的误区，更严重的是可能导致“尽职免责”的模式，由于专业技术人员和其他部门之间存在信息不对称，出于各种考虑，导致最后发布的信息安全制度充满陷阱。从这个角度讲，在管理层很难解决这个问题，信息安全是一个治理问题。在下期的文章中，我们将对信息安全治理问题进行初步探讨。

[1]谢宗晓. 信息安全管理体系实施指南[M]. 北京：中国标准出版社，2012.

[2]光耀华，谢宗晓. 质量/环境/职业健康安全/信息安全四标整合管理体系教程[M]. 北京：中国标准出版社，2009.

[3]Mesquida A. Mas A. Implementing information security best practices on software lifecycle processes: The ISO/IEC 15504 security extension [J]. Computers & Security，2015(48):19–34.

[4]权贞惠，谢宗晓. 信息安全管理制度编写的要点[J]. 中国标准导报，2015（08）：28–31.

Discuss of Combining Information Security and Organizational Business Process

Zhao Xiukun, Xie Zongxiao ( Business School, Nankai University )

Combining information security and organizational business process is an essential method in information security practice, which can realize “economic information security” and improve information security policies come into effect. This paper proposed three methods including alignment, integration and embeddedness, and discussed its application.

information security, business process