謝宗曉　林潤(rùn)輝（南開大學(xué)商學(xué)院）

?

信息安全制度化3I模型

謝宗曉林潤(rùn)輝
（南開大學(xué)商學(xué)院）

摘要：企業(yè)如何滿足國(guó)家監(jiān)管要求（即滿足內(nèi)外合規(guī)）成為近幾年的研究熱點(diǎn)，也是企業(yè)在實(shí)踐中面臨的現(xiàn)實(shí)問(wèn)題。本文通過(guò)對(duì)新制度理論以及信息安全的相關(guān)文獻(xiàn)梳理，提出信息安全制度化3I（識(shí)別、履行和內(nèi)化）模型。

關(guān)鍵詞：信息安全制度化合法化

“十二五”國(guó)家重點(diǎn)圖書出版規(guī)劃項(xiàng)目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險(xiǎn)評(píng)估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文42篇，出版專著12本。

謝宗曉　博士

信息安全管理系列之十七

信息安全是強(qiáng)監(jiān)管環(huán)境，企業(yè)如何滿足內(nèi)外合規(guī)是實(shí)踐中面臨的難題之一。越來(lái)越多的企業(yè)通過(guò)部署ISO/IEC 27001：2013等最佳實(shí)踐來(lái)滿足內(nèi)外合規(guī)（獲取信息安全合法性），并由此實(shí)現(xiàn)制度化（或合法化）的過(guò)程，下文將這一過(guò)程高度概念化為信息安全制度化3I模型。

謝宗曉（特約編輯）

1　信息安全制度化的概念

解決信息安全問(wèn)題主要通過(guò)兩種途徑：通過(guò)部署安全類IT系統(tǒng)，或者發(fā)布信息安全制度加強(qiáng)管理。很長(zhǎng)時(shí)間以來(lái)，信息安全業(yè)界都存在“重技術(shù)，輕管理”的錯(cuò)誤認(rèn)識(shí)，到現(xiàn)在，業(yè)界至少形成了這樣一個(gè)共識(shí)：?jiǎn)渭兊募夹g(shù)幾乎不能解決任何問(wèn)題。

制度化（institutionalization）是一個(gè)廣義的概念，在現(xiàn)有的英文文獻(xiàn)中，無(wú)論是場(chǎng)域（field）層次的“體制化”，還是組織層次的“合法化”，都統(tǒng)稱為制度化。首先，這不符合中文語(yǔ)境，在漢語(yǔ)中，我們并不習(xí)慣用一個(gè)詞匯包括不同的層次。宏觀的制度化，實(shí)際上平時(shí)我們理解為“體制化”，只有在微觀層次，我們才習(xí)慣用“制度化”詞匯。這種情形在信息安全領(lǐng)域中也存在，例如，在GB/T 22080—2008/ISO/IEC 27001：2005中，policy，在指戰(zhàn)略性問(wèn)題時(shí)，如整體的信息安全方向或目標(biāo)，翻譯為“方針”，在指細(xì)節(jié)問(wèn)題時(shí)，如防火墻的配置等，翻譯為“策略”。在GB/T 23694—2013/ISO Guide 73：2009中，policy則被翻譯為更本土化的“政策”。其次，從微觀的角度觀察組織行為，對(duì)制度化/體制化與制度化/合法化進(jìn)行恰當(dāng)?shù)膮^(qū)分不但必要，甚至不可或缺，如圖1所示。

圖1　宏觀/微觀視角下的制度化

值得指出的是，制度具有合法化功能。組織與個(gè)體一個(gè)重要的不同之處在于，個(gè)體自誕生開始，就具備某種形式的天然的合法性，組織卻沒(méi)有?；蛘哒f(shuō)，剝奪個(gè)體生命需要強(qiáng)理由，但是組織恰好相反，其存在需要強(qiáng)理由。

高績(jī)效與合法性是使組織得以存在的重要原因。那么，什么樣的組織是合法的？這就取決于組織所面臨的制度環(huán)境。組織內(nèi)部制度必須適應(yīng)其外部制度環(huán)境，否則就失去了其存在的基礎(chǔ)，此時(shí)，組織調(diào)整內(nèi)部結(jié)構(gòu)的過(guò)程絕對(duì)不是或不僅僅是追求效率，而是為了使組織合法或“看起來(lái)合法”。在追求合法性的過(guò)程中，就產(chǎn)生了“合法化”。從這個(gè)角度講，宏觀層次的制度化與體制化同義，而微觀層次的制度化則與合法化同義。在本文的討論中，尤其是以部署信息安全管理體系（Information Security Management System，ISMS）和信息系統(tǒng)安全等級(jí)保護(hù)為例，“制度化”與“合法化”是同義詞。

2　基于NIST風(fēng)險(xiǎn)管理層級(jí)的3I模型

風(fēng)險(xiǎn)在信息安全中有重要的位置，甚至可以說(shuō)，信息安全圍繞風(fēng)險(xiǎn)展開。幾乎在所有的信息安全標(biāo)準(zhǔn)中，風(fēng)險(xiǎn)評(píng)估都作為基礎(chǔ)性手段而存在。NIST （National Institute of Standards and Technology）1）NIST，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院，http://www.nist.gov/.發(fā)布的所有信息安全標(biāo)準(zhǔn)基本依據(jù)風(fēng)險(xiǎn)管理層級(jí)展開，并定義為“風(fēng)險(xiǎn)管理框架（Risk Management Framework，RMF）”，RMF不但在NIST發(fā)布的標(biāo)準(zhǔn)中頻繁出現(xiàn)，在其他文獻(xiàn)中引用率也很高，甚至被稱為“NIST Approach （NIST方法）”。

風(fēng)險(xiǎn)管理層級(jí)在NIST SP800-392）NIST SP800-39, Managing Information Security Risk Organization, Mission, and Information System View.2011.http://csrc.nist.gov/publications/PubsSPs.html.中定義，一經(jīng)發(fā)布，便成為信息安全業(yè)界最為重要的框架模型之一。風(fēng)險(xiǎn)管理層級(jí)在任務(wù)分解上設(shè)計(jì)了從治理層到管理層，最后到控制層的清晰邏輯，具體如圖2所示。

圖2　NIST風(fēng)險(xiǎn)管理層級(jí)框架圖

雖然“治理”和“管理”在管理學(xué)情境中具有不同的含義[1]，但是在本文中，我們不再單獨(dú)區(qū)分，而是籠統(tǒng)地描述為信息安全管理。在信息安全領(lǐng)域，多數(shù)文獻(xiàn)大多也遵循了這樣的慣例，例如，ISO/IEC 27014：2013一般被列入信息安全管理體系標(biāo)準(zhǔn)族（ISO/IEC 27000標(biāo)準(zhǔn)族）中。

在已有的文獻(xiàn)的基礎(chǔ)上，尤其是Kostova & Roth[2]根據(jù)內(nèi)外部合法性提出了制度化（或合法化）的兩個(gè)過(guò)程3）原文在描述implementation與internalization時(shí)，用的是兩個(gè)維度，高度概念化的最佳實(shí)踐認(rèn)證過(guò)程（例如ISO 9000）存在明確的先后順序，當(dāng)然實(shí)施過(guò)程不見得能區(qū)分得非常清楚。：履行（Implementation）與內(nèi)化（Internalization）。但是這兩個(gè)過(guò)程并沒(méi)有覆蓋組織制度化的所有過(guò)程，因此，我們?cè)诖嘶A(chǔ)上加上另一個(gè)過(guò)程：識(shí)別（Identification），形成信息安全制度化的3I模型（Identification，Implementation，Internalization），3I模型如圖3所示。

圖3　信息安全制度化的3I（1+2）模型

“履行”是指組織對(duì)于自身合法性的外部表達(dá)，“內(nèi)化”是指內(nèi)部制度的真正付諸實(shí)施。在實(shí)踐中，最常見的外部表達(dá)方式就是設(shè)計(jì)滿足監(jiān)管制度要求的內(nèi)部制度，例如，在ISO/IEC 27001：2013中要求組織必須有信息安全協(xié)調(diào)機(jī)構(gòu)，其外在的表達(dá)方式就是正式公布的相關(guān)文件，而組織按照正式公布的文件建立信息安全協(xié)調(diào)機(jī)構(gòu)的過(guò)程就是內(nèi)化?？梢?，站在組織的視角，履行的過(guò)程更關(guān)注內(nèi)外部制度的一致性，內(nèi)化的過(guò)程更偏重制度的實(shí)施。

“識(shí)別”是指組織選擇合法性的路線，并據(jù)此確定部署的環(huán)境的全過(guò)程。例如，國(guó)內(nèi)的組織在選擇信息安全解決方案時(shí)，面臨兩種廣泛應(yīng)用的最佳實(shí)踐：以ISO/IEC 27001：2013為代表的ISMS和信息系統(tǒng)安全等級(jí)保護(hù)。在確定整體戰(zhàn)略4）這種選擇，一般認(rèn)為是戰(zhàn)略性選擇。例如，在GB/T 22080—2008/ISO/IEC 27001：2005的總則（pp.4）中很明確地指出“采用（adoption）ISMS應(yīng)當(dāng)是組織的一項(xiàng)戰(zhàn)略性決策”。之后，無(wú)論采用哪一種實(shí)踐，組織都要識(shí)別組織的情境（context），并進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，以確定組織的安全要求（requirement）。

相對(duì)而言，履行與內(nèi)化的兩個(gè)過(guò)程聯(lián)系更為緊密，且存在更多的交叉，識(shí)別過(guò)程則相對(duì)獨(dú)立，因此我們稱3I模型為（1+2）的過(guò)程，并沒(méi)有呈現(xiàn)完全并列的關(guān)系。在下文中的圖4顯示了這三者相互關(guān)系的不同。

3　信息安全制度化3I模型應(yīng)用實(shí)例

詳細(xì)的ISMS部署過(guò)程，請(qǐng)見參考文獻(xiàn)[3]和[4]，本文中不再詳細(xì)討論。圖4給出了以ISMS部署為例與信息安全制度化3I模型進(jìn)行了對(duì)應(yīng)。其中，合規(guī)性的選擇過(guò)程和信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程都可以列入“識(shí)別”，ISMS的體系設(shè)計(jì)過(guò)程和文件編寫過(guò)程，可以列入“履行”，這個(gè)階段主要關(guān)注從標(biāo)準(zhǔn)要求到組織內(nèi)部制度，試運(yùn)行的過(guò)程以及持續(xù)改進(jìn)可以列入“內(nèi)化”，這個(gè)階段主要關(guān)注內(nèi)部制度的落地。

圖4　以ISMS為例的3I模型應(yīng)用

事實(shí)上，在實(shí)踐中，信息安全制度化3I模型中的識(shí)別過(guò)程也有更高的通用性，例如，組織在部署信息安全的過(guò)程中，無(wú)論是選擇以ISO/IEC 27001：2013為代表的ISMS還是信息系統(tǒng)安全等級(jí)保護(hù),都要有信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程。與圖4進(jìn)行對(duì)比，圖5給出了以信息系統(tǒng)等級(jí)保護(hù)為示例的信息安全制度化3I模型。

圖5　以信息系統(tǒng)安全等級(jí)保護(hù)為例的3I模型應(yīng)用

4　小結(jié)

3I模型是信息安全制度化的概念模型，主要針對(duì)為獲取信息安全合法性而進(jìn)行的制度化過(guò)程。雖然提出的情境主要起源于ISO/IEC 27001：2013的部署和認(rèn)證，但是信息安全制度化3I模型依然具有一定的普適性。限于篇幅，我們?cè)诤罄m(xù)的文章中會(huì)繼續(xù)以ISMS為例分析更詳細(xì)的過(guò)程。

參考文獻(xiàn)

[1]謝宗曉，周常寶.信息安全治理及其標(biāo)準(zhǔn)介紹[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2015（10）：38-40，45.

[2]Kostova T, Roth K.Adoption of an organizational practice by subsidiaries of multinational corporations: institutional and relational effects [J].Academy of Management Journal, 2002, 45（1）：215-233.

[3]謝宗曉.政府部門信息安全管理基本要求理解與實(shí)施[M].北京：中國(guó)標(biāo)準(zhǔn)出版社，2014.

[4]謝宗曉.信息安全管理體系實(shí)施指南[M].北京：中國(guó)標(biāo)準(zhǔn)出版社，2012.

Information Security Institutionalization 3I Model

Xie Zongxiao, Lin Runhui
( Business School, Nankai University )

Abstract:How to react to regulatory requirements (that is, to meet internal and external compliance) has become a hotspot in recent years.Based on neo-institutional theory and information security literature, information security institutionalization 3I model (Identifi cation, Implementation and Internalization) is proposed.

Key words:information security, institutionalization, legitimation