從功能角度談信息安全策略的概念定位

王一楠 郝芳

摘 要： 盡管當前對于信息安全策略的研究有很多，但是對于其含義卻沒有達成共識。本文通過對相關(guān)文獻的梳理研究，從功能角度對信息安全策略的概念進行了概括闡述和分析，揭示了信息安全策略的豐富內(nèi)涵，為其進一步研究、發(fā)展和完善提供一定的理論依據(jù)及導(dǎo)向。

關(guān)鍵詞： 信息安全策略;概念定位;組織發(fā)展;實施對象;事故應(yīng)對

當今社會，信息被賦予了越來越多的價值，與此同時，利用信息資源進行惡意操作的行為也是層出不窮、愈演愈烈，因此各個領(lǐng)域、各個行業(yè)都在尋求能夠有效保護其信息資產(chǎn)的方法，信息安全策略應(yīng)運而生。盡管很多組織機構(gòu)認識到其重要性，并意識到現(xiàn)有的標準或結(jié)構(gòu)存在一定的問題，但出于某些原因，他們卻無法改善其安全策略。其中一個很重要的因素就是他們對于信息安全策略的概念定位還不準確，因此這種起源性的錯誤造成組織在面對現(xiàn)實安全問題時，其制定的策略只是空有其表，卻行之無效。

一般說來，很少有研究明確探討信息安全策略的組成以及應(yīng)起到何種作用，因此造成了一定的模糊性。本文試圖從以往相關(guān)文獻內(nèi)容中對其含義進行提取并歸類總結(jié)，同時筆者認為，信息安全策略存在的價值在于能夠幫助組織或其管理者實現(xiàn)維護信息資產(chǎn)安全的目的，這是其“服務(wù)宗旨”，所以本文著重結(jié)合信息安全策略的功能分類闡述其多樣的內(nèi)涵。

一、維護組織發(fā)展的功能定位

信息安全策略通常表示組織對期望達到的安全狀態(tài)的描述，常用安全目標、措施、目的、意圖等詞來闡釋。Klaic（2010）指出，在狹義上講，信息安全策略代表了有重要地位的管理人員（譬如CEO、執(zhí)行董事會、部長等）為了達到信息安全方面的理想狀態(tài)而提出的關(guān)于理念、目標、原因和方法的陳述或聲明[1]。許多學者認為信息安全策略應(yīng)該維護并輔助完成組織的整體業(yè)務(wù)目標。Saleh（2011）指出，信息安全策略存在的目的不僅僅是為了實現(xiàn)安全目標（保證信息的完整性、可用性、保密性），還要確保組織在發(fā)生意外事故或信息系統(tǒng)遭到攻擊的情況下仍能完成其工作使命或商業(yè)目標等[2]。

信息安全策略為組織實施信息安全管理提供安全導(dǎo)向，它是管理者用來表達其管理目的、監(jiān)督組織中其他部門運行的工具。Cram等人（2017）將具體政策內(nèi)容描述為：“它們（指信息安全策略）包含員工在處理與信息和技術(shù)資源相關(guān)的日常工作時必須遵守的指導(dǎo)方針和規(guī)范程序?！盵3]在組織機構(gòu)中設(shè)立這樣的政策架構(gòu)可以支撐其對信息使用的全面掌控，在這種政策存在的前提下，很多不合安全規(guī)定的行為將能得到有效遏制，并且這類政策對于違反安全規(guī)定操作將要受到的懲罰也做出說明。將信息安全策略形成白紙黑字的文檔，也可以使公司等組織機構(gòu)在懲罰措施方面免受一些法律糾紛的干擾。

二、明確實施對象的功能定位

Baskerville和Siponen（2002）用“信息安全主體”和“客體”來區(qū)分受信息安全策略制約的行為人和受策略保護的信息資源[4]。由于政策主體在不同的研究中是不同的，所以對安全規(guī)則制定的需求和遵守安全規(guī)定的方法也是不盡相同的，但是信息安全策略的一個作用就是幫助所有政策規(guī)范下的個體（即信息安全主體）在處理信息資源（即信息安全客體）時做出正確的行為決策。信息安全策略可以作為一些規(guī)定和協(xié)議的依據(jù)，組織中所有信息使用者甚至接觸者都應(yīng)該切實遵守。信息安全策略通過安全行為控制和安全協(xié)議建立來保證信息系統(tǒng)的安全性。信息安全策略中規(guī)定了組織成員的權(quán)利和責任，以此來引導(dǎo)他們在處理信息資源時做出有利的決定。需要注意的是，信息安全策略針對的是使用信息的合法用戶，可能也包括組織之外的合法用戶[5]。一些信息安全主體可能還擁有制定安全決策、批準其他用戶操作和更改信息安全策略的權(quán)力。

信息安全策略的維護目標（即信息安全客體）通常是信息資產(chǎn)、信息系統(tǒng)和數(shù)據(jù)，它應(yīng)該詳細闡述組織的信息資產(chǎn)、對這些信息資產(chǎn)的威脅因素及管理層為保護這些資產(chǎn)制定的合理、恰當?shù)拇胧?。一些研究者認為信息安全策略是信息技術(shù)管理的一部分，但也有人認為該策略不應(yīng)該僅僅特定于技術(shù)領(lǐng)域。不論怎樣，在信息安全策略中詳盡列出信息資產(chǎn)以及維護信息安全要求達到的水準，對信息安全行為主體嚴格執(zhí)行策略來說都是非常有必要的。

三、應(yīng)對安全事故的功能定位

信息安全策略是探測、預(yù)防和應(yīng)對安全漏洞的重要機制。信息安全策略的創(chuàng)建規(guī)劃通常可能從組織機構(gòu)樹立安全意識開始，繼而引導(dǎo)形成安全穩(wěn)定的運行環(huán)境，使組織對其信息資源可能遭遇的攻擊或事故提前做出應(yīng)對方案。信息安全策略有效與否在很大程度上依賴于政策制定者（如執(zhí)行管理層）的安全意識是否堅定成熟，并且其自身也需要一個“理想的”運行環(huán)境[6]。安全策略規(guī)劃形成的過程體現(xiàn)了組織成員對安全需求的理解，并設(shè)定了組織維護信息安全所要達到的防護層級。信息安全策略可以促進組織信息安全文化的形成，從而使成員之間互相幫助以防止安全事故發(fā)生。信息安全策略能夠創(chuàng)建一個安全環(huán)境，在這個環(huán)境中，它的主體和其他利益相關(guān)人的隱私信息都會得到良好的保護。

信息安全策略的建立也可能源于管理風險的戰(zhàn)略需求，處于戰(zhàn)略層面的決策者可利用信息安全策略來降低組織信息資源的風險等級。除了預(yù)防風險外，信息安全策略在維護信息安全的持續(xù)過程中也可以為遭遇風險后如何盡快恢復(fù)運行提供計劃方案[7]。信息安全策略可以指導(dǎo)調(diào)查安全事件并提供處理程序，例如，將已發(fā)生的風險事件記錄在檔，以防止其再次出現(xiàn)造成損失。

四、結(jié)語

綜上所述，信息安全策略是組織機構(gòu)信息安全工作的基礎(chǔ)，是組織內(nèi)成員乃至組織外利益相關(guān)者為了維護安全利益應(yīng)該共同遵守的法則。由于不同組織對資源、風險和管理方式的認知不同，需要實現(xiàn)的安全目標不同，所以對于信息安全策略的定位也有所差別。組織只有理清其信息安全策略更加側(cè)重于實現(xiàn)怎樣的功能，才能清晰定位，制定行之有效的策略，最終達到自己的安全目的。

參考文獻：

[1]Klaic，A.Overview of the state and trends in the contemporary information security policy and information security management methodologies[J].MIPRO，2010：1203-1208.

[2]Saleh，M.Information security maturity model[J].International Journal of Computer Science and Security，2011，5（3）：316-337.

[3]Cram，W et al.Organizational information security policies：a review and research framework[J].European Journal of Information Systems，2017，26（6）：605-641.

[4]Baskerville，R.& Siponen，M.An information security meta-policy for emergent organizations[J].Logistics Information Management，2002，15（5/6）：337-346.

[5]Sindhuja，P.N.Impact of information security initiatives on supply chain performance an empirical investigation[J].Information Management and Computer Security，2014，22（5）：450-473.

[6]Balozian，P & Leidner，D.Review of IS security policy compliance：toward the building blocks of an IS asecurity theory[J].Data Base for Advances in Information Systems，2017，48（3）：11-43.

[7]Baskerville，R，Spagnoletti，P & Kim，J.Incident-centered information security：managing a strategic balance between prevention and response[J].Information and Management，2014，51（1）：138-151.

*通訊作者： 王一楠。