本站小编为你精心准备了安全管控企业信息论文参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
一、文件化的信息安全管理体系的原则
文件化是有效沟通方式的一种,尤其是在一对多的模式中。在中小企业,文件沟通不见得是最好的方式,当面沟通可能更有效。但是在大型集团企业中,甚至一国政府,当面沟通不但低效,而且存在诸多弊端,例如,信息传递过程中的失真。几乎所有的大型组织最终都会选择文件作为主要的沟通载体之一,由此便导致了“文山会海”的弊端。因此,对于文件化的信息安全管理体系设计应该遵循以下两个原则:
(一)按照组织的最小需求设计文件,降低文件数目
制度是一个广泛的概念,其中包括了明确的或隐含的规则,实际上对于制度而言,表现形式是最次要的一部分。在实践中,更表现出了这样的特点,许多法律法规文件可能效力远不如某些潜规则。组织追求庞大的文件体系,原因可能有很多。例如,主管部门为了追求“尽职,免责”。由于立法、执法和监督部门往往都是分离的1,组织内部不免会陷入相互推诿。信息安全事件发生后,负责执行的部门往往会归结为由于缺乏相应的立法,导致“无法可依”。在这种情况下,立法部门往往会尽量设计更全面的制度。但立法部门最关注的不是制度的可实施性,换句话说,他们最关心的是“有法可依”,而不是“有法必依”。国家的法律虽然繁杂,但是有专业的律师提供服务,普通人不需要了解其中的细节。但是一个组织的制度则不同,组织内部不可能提供类似律师一样的专业服务。每一个制度,原则上员工都需要了解。显然,员工不可能花太多的精力去学习更多的文件。所以,过多庞大的制度体系不但不会提升组织的正规化,反而使组织落入“制度在墙”的尴尬境界。
(二)可以由上级统一文件化的,下面不再文件化
许多制度的关键点不在于好或坏,而在于能够被统一的执行,例如,左侧行驶或者右侧行驶,没有本质的区别,重要的是,在特定的范围内能够被统一的,无差别的执行。组织内部的制度也遵循同样的道理。在大型集团企业内,如果某个制度能够被统一,应该尽量由上级统一文件化,下级机构可以据此执行,或者适当修改后执行。这样做的目的是形成统一的规则,降低不确定性带来的成本。综上所述,以上两个原则应该贯穿信息安全管理制度文件架构的始终,即(1)只在必要的时候才单独成文;(2)尽量在全集团内设计推行统一的制度文件。
二、集团企业信息安全管控模式设计
大型集团企业的整体管控模式,按照母子公司的集权分权程度,可以划分为财务管控、战略管控和运营管控三种。信息安全管控模式首先要适应整体的集团管控模式,如上所述,ISO/IEC27001:2013默认部署的范围是一个组织或者组织的一部分,并没有考虑集团企业的情况。集团企业往往是由诸多独立运营的公司所组成,这就关系到管控问题,信息安全管控模式的本质是信息安全管理制度的顶层设计。我们以大都控股集团2的组织结构为例设计管控模式,大都控股集团的组织机构如图1所示。根据《信息安全管理体系实施指南》的文件架构设计,我们将大都控股集团的文件分为四级。
三、结语
虽然ISO/IEC27001:2013强调了适用于所有的组织,但是并没有专门对大型集团企业或小型组织3做相应的指导,本文针对这种不足,设计了一种适合大型集团企业的信息安全管控模式,保留了实践中较为通用的ISO/IEC27001:2013的四级文件架构,但是按照集团企业的母子公司进行了重新划分,使得一级文件与二级文件“对事不对人”,三级文件“对事也对人”,但尽量保证“一个角色,一件事,只对应一个文件”,从而降低了员工阅读文件的负担,最大限度的避免了文件与实际执行存在的“两层皮”现象,提高了文件的可实施性。
作者:李心阳谢宗晓单位:神华天津煤炭码头有限责任公司信息中心南开大学商学院