謝宗曉（南開大學 商學院）

信息安全制度設計原則的初步探討

謝宗曉（南開大學 商學院）

本文從個體行為和組織行為的角度，探討了信息安全制度設計的幾個基本原則，其中包括制度中處罰確定性、嚴厲性和及時性的確定。

信息安全 制度 個體行為 組織行為

專欄

信息安全管理系列之八

保障信息安全不外乎兩種途徑：技術或/和管理，前者主要針對機器，后者主要針對人。毫無疑問，在守規(guī)矩的問題上，人是真正的難點。正源于此，在信息安全實踐中一直存在“重技術，輕管理”的現象，本質是“避重就輕”。單純的技術解決不了任何問題，所有的安全問題最終還是要歸結到人。下文借鑒了犯罪學研究領域的成熟理論，探討了如何設計好的信息安全制度。

謝宗曉（特約編輯）

制度文件是溝通的工具，最便捷的溝通方式毫無疑問是口頭的溝通，但是口頭溝通存在幾個缺點：（1）一對一最有效，一對多就成了廣播或演講，多對多就變得比較混亂；（2）傳播的級數不能太多，否則會迅速失真。例如，A告訴了B，B告訴了C，C再告訴……這種方式顯然不能滿足大型組織的溝通要求，例如，政府。如果靠“傳皇上口諭”，中央政府的制度傳達至基層政府，效率低而且不準確。

因此，幾乎所有的大型組織都會選擇制度文件作為溝通工具，我們都統(tǒng)稱為“制度”。

1 制度與文件

按照ISO/IEC 27001：2013《信息技術 安全技術 信息安全管理體系 要求》的部署經驗，正式的制度（或文件）可以分成三類：（1）描述原則的文件，例如，信息安全方針文件； （2）界定對錯的文件，例如，信息系統(tǒng)使用管理規(guī)定；（3）提供指導的文件，例如，OA系統(tǒng)安全運維指南。

2 制度設計需要適當的假定

所有的理論都是以某些假定為前提的，沒有“放之四海而皆準”的理論。安全機制也是如此。例如，我們設計更安全的自行車防盜鎖，一個基本的假設是盜賊會推走或騎走自行車，如果盜賊直接把自行車搬到貨車上運走，這個安全機制就失效了。再如，設計更好的防盜門，假定盜賊是從門進來偷東西的，如果盜賊偏好從窗戶進，或者破墻而入，這個安全機制就失去了意義。

組織層次的信息安全制度設計一般面對企業(yè)員工，普遍認為白領犯罪更理性，也就是說，信息安全制度的假設前提應該是“理性人”。當然，這并不是否定了非理性的犯罪行為，員工中可能也存在具備反社會人格的黑客，只是概率比較低，不值得設計專門的制度。

一個完整的制度體系就被賦予了“性格”，描述原則如同每個人描述自己的品格是類似的，不同的是，制度的“品格”是我們人為的設計而已。一個組織如果把信息安全看得很重，那么就會具備“激進”品格，傾向于犧牲信息系統(tǒng)所帶來的便利性，追求安全。

3 制度設計的理論支持

由于前提假設的不同，衍生出了大相徑庭的制度設計路線，例如，“某些人為什么會違規(guī)/犯罪”和“大部分人為什么不會違規(guī)/犯罪”實際上是兩個問題，或者說，這兩個問題蘊含著完全不同的前提假設。前者的邏輯是：如果不干涉，所有的人都不會違規(guī)/犯罪。后者的邏輯是：如果不干涉，所有的人都會違規(guī)/犯罪。

法律是最常見的制度，因此借鑒犯罪學理論設計信息安全制度是必然的選擇。事實上，在目前主流的信息安全管理研究中，犯罪學理論是被應用得最多的。而這其中，最契合信息安全情境、影響最深遠的理論就是威懾理論。

4 處罰的確定性、嚴厲性與及時性

威懾理論最早出現于意大利刑事古典學派創(chuàng)始人貝卡里亞（1738—1794）的《論犯罪與刑罰》中，在后續(xù)的研究中，英國人邊沁在1789年發(fā)表的《道德與立法原理導論》中對懲罰與罪過間的比例等進行了更為詳細的論述?；谕乩碚?，人類建立了現代司法制度，這個體系運轉的基本前提，就是事后的處罰可以減少違規(guī)行為。

已有的絕大部分研究都顯示，處罰確定性可以有效地降低違規(guī)發(fā)生率。這與我們平時的認知也保持了一致。但是處罰嚴厲性與犯罪率之間的關系并沒有明確的結論，在嚴重刑罰領域甚至得到了相反的結論。例如，諸多研究表明，死刑可以促進殺人犯罪率的發(fā)生。至少有一點是肯定的，死刑的數量與殺人犯罪率沒有顯著的關聯。這個結論導致了全世界范圍內在逐步取消死刑。在信息安全情境的諸多研究結論與犯罪學大同小異，提高處罰的嚴厲性對降低違規(guī)發(fā)生率意義不大，甚至有時候會有反作用。

這種現象其實不難理解，因為如果處罰過重，員工一旦觸犯，必然琢磨如何盡量不被發(fā)現，如果小的安全違規(guī)就重罰，最后導致的是安全隱患被不停地隱瞞，這反而是有害的。在生產安全管理領域，這種現象非常普遍。處罰一個很重要的原則就是，“誘導一個人在兩項罪過當中，總是選擇害處較小的那項，因此對兩項罪過彼此競爭的場合，對那項較大的罪過的懲罰，必須足以誘導一個人寧愿去犯那項較小的”。

及時地進行處罰對良好操作習慣的養(yǎng)成有重要的作用，在犯罪學領域對處罰及時性的研究比較匱乏，因為刑事訴訟是個成熟的體系，由于“冤枉一個好人”比“漏掉一個壞人”來得更惡劣，所以程序正義被持續(xù)地強調。在信息安全情境中，大多屬于輕微違規(guī)，因此處罰及時性還是要強調的。

5 制度設計的幾點現實考慮

5.1 清晰理解設計制度的目的

在設計制度前，我們首先要確定立法的目的是什么，不是所有的制度都是為了“落地”，很多制度實際僅是為了界定對錯，例如，新版的《中華人民共和國老年人權益保障法》規(guī)定“與老年人分開居住的家庭成員，應當經常看望或者問候老年人”，這個條款的可實施性幾乎為零，但是也界定了這個問題是法律問題，不僅僅是道德問題。

拋開道德和法律的界限問題，形同虛設的“常回家看看”這樣的條款并不是一無是處，在信息安全制度設計中，這種情況也存在，例如，“禁止向外部組織出賣單位的信息”，這個條款如果缺乏足夠的技術手段也是一紙空文，但是更重要的目的是界定了行為的對錯。

5.2 制度的精髓在于“落地”

當然，好的制度，不僅界定對錯，還要“可落地”，尤其當一個社會的氛圍還沒有完全從“身份社會”轉為“契約社會”的時候，制度的執(zhí)行也特別容易淪落為“看人下菜”。

事實上，“有法必依”遠比“有法可依”更困難，增加制度的落地從設計階段就應該考慮，這意味著不僅在設計中增加現實考慮，也應該加強檢查等手段，尤其在信息安全情境中，通過技術手段檢測違規(guī)行為更加重要，更重要的是，只要這樣，才能從“事后懲罰”轉化為“事前預防”。

5.3 正確認識目的與結果的關系

產生巨大副作用的制度往往具有一個共同的特征，就是聽起來更完美，例如，韓國的網絡實名制1）完整案例分析，請參考：謝宗曉，《信息安全管理體系實施指南》，北京：中國標準出版社，2012。），一個最初設計是為了防止網絡暴力的制度卻成了個人隱私的噩夢。許多制度有聽起來很崇高的初衷或理由，甚至得到組織大部分人員的一致支持。

一般而言，制度的效果應該是緩慢的，而不應該是立竿見影的。因為制度本身可能是管“事”，但所面對的執(zhí)行對象是“人”，期望立竿見影的制度往往會進入到“簡單粗暴”的誤區(qū)中。實踐證明，大凡簡單粗暴的控制措施在開始效果都很好，但是在后續(xù)的執(zhí)行過程中會反彈，甚至還不如未實施前，典型的治標不治本。

[1] 切薩雷·貝卡里亞. 論犯罪與刑罰[M]. 北京：中國法制出版社，2005.

[2] 邊沁. 道德與立法原理導論[M]. 北京：商務印書館，2012.

[3] 林潤輝，李大輝，謝宗曉，等. 信息安全管理 理論與實踐[M]. 北京：中國標準出版社，2015.

Discuss of Information Security Policies Design Principals

Xie Zongxiao ( Business School, Nankai University )

From individual behavior and organizational behavior perspectives, especially Deterrence Theory (DT), we discussed several principles should been observed in design of information security policies, including sanction certainty, sanction severity and sanction celerity.

information security, institution, individual behavior, organizational behavior