依法治国与信息安全管理制度

legalism-and-infosec-mgmt-processes

中央四中全会设定了全面推进依法治国的总目标,并且提出了依法治国需全面推进的“五个体系”和“六项任务”。在依法治国的大背景下,国家的组成单元——各个层面的大中小型机构,也都会纷纷转向依法治理。依法治国的思想和方法,无疑也会传播和影响到信息安全治理和管理领域。信息安全从业人员,进好能借此机会,建立健全组织机构的信息安全管理制度,向信息安全管理“制度化、标准化、规范化”目标前进。

中央的文书向来四平八稳,更不是乏各类关于四中全会公报的解读,但是关于依法治国精神对信息安全管理方法的指导,倒是没见着。昆明亭长朗然科技有限公司的信息安全管理咨询顾问董志军表示:各组织机构特别是公司企业更需要从国家政治、经济、文化的视角认识信息安全,将企业的发展战略与国家政策有机联系起来,与党和政府同呼吸共命运,才能实现基业长青。特别是国内的网络信息安全产业,不仅关乎国家安全稳定大局,更是在党和政府的保护政策之下才获得了生存和发展,则更应该努力学习和贯彻中央的依法治国精神。

其实,从道理上讲,大到国家层面的依法治理,小到公司层面的合规管理,都是一脉相通可以相互融汇的。昆明亭长朗然公司董志军简要读取了公报的主要内容,特别是重点和亮点,并与信息安全管理体系方法进行了一些比对和关联,现在简单提炼和解读出来,希望能够帮助各类企业级的信息安全管理负责人员,在更好地理解全会精神的同时,获得信息安全体系管理和公司治理方面的智慧启迪。

首先,从总目标是“建设中国特色社会主义法治体系,建设社会主义法治国家。”从历史上讲,依法治国的口号被提出几千年,总体上也还是一个“人治”的社会,可是无疑是当下最为紧迫的一项任务。社会经济发展虽然达到了前所未有的高度,在我们获得丰富物质文明的同时,也积累了很多严重的社会问题。在一个相对原始和封闭的小圈子里,“人治”是相当高效的体系方法,但是现代的组织机构已经很高度文明化,内部外部都需要大量的沟通协调,“人治”显然是很落后的了。即使是在街边摆个小摊,也会面临着被城管凭个人心情、意愿或喜好随意轰走甚至抢夺商品的情形。

很多公司都没有规范的信息安全管理制度,更没有相关的工作记录,信息安全工作也都是领导说了算,大家的工作都凭自己的喜好,爱干什么干什么,想怎么干怎么干,出了信息安全问题乱医治,找不到造成问题的根源,也没有人会觉得自己应该负责,这自然会造成一大堆的混乱场面,这种信息安全管理水平被称为“混沌”状态。信息安全工作负责人员要想让公司的安全管理水平,以及自己的职业发展都跨上一个新的台阶,无疑需要制定一个信息安全“合规管理”的目标。

其次,中央公报提到完备法律规范体系,即立法先行。负责公司信息安全管理的人员,无疑也应该从信息安全管理制度开始,创建、完善及发布公司层面的信息安全方针政策以及信息安全工作标准及规范。同时,也应该要求各部门依据自己的实际情况,开发出更为细化的、与特定岗位相关的安全操作指南,或作业流程。

接下来,中央公报提到法律的生命力在于实施,健全依法决策机制,把公众参与、专家论证、风险评估、合法性审查、集体讨论决定确定为重大行政决策法定程序。在公司信息安全管理的重大决策方面,也应该让各相关部门领导和信息安全专业人士参与进来进行集体讨论。特别是当公司有新的重大项目论证时,就应该让信息安全团队早日加入,进行安全风险评估、合规性审查等工作,不能让信息安全人员成为错误决策之后的救火队。

然后,中央公报提出法律的权威源自人民的内心拥护和真诚信仰。回顾历史,当我们的先辈们在推举贤良之才做领导并忠心追随时,古希腊人开始建立民主制度和强化对公权力的约束,我们今天的法律文书体系,肯定远远超出于古希腊,但是法律效率仍然远远落后,可见我们的差距有多远。古希腊人企图通过立法建构社会秩序的理想和公民尚法观念的形成,是古典法治思想的重要组成部分,更让古希腊成为西方法治思想的发源地。对我们而言,人民对法律精神的认可才是依法治国的核心,严重社会问题的解决,当然不能靠那些法律文书,虽然它们写得很好,但是没有活力,因为很少有人去看它们,更少有人懂这些法律的精神。要依法治国,弘扬法治精神,形成守法光荣、违法可耻的社会氛围,比制定法律本身要重要的多。

对于一家公司来讲,信息安全规章制度的执行力和员工们对规章制度的认可度密不可分,虽然社会法治的大背景环境可能不大好,多少会影响到公司制度的执行力,但是这并不是关键。因为与员工们更为密切和贴近的是公司的规章制度,而不是国家的法律文本,当然这两者并不对立也不冲突,相反,公司的规章制度也是在国家法律框架下进行细化而制定的。在公司内,不必要对员工们大搞普法教育,违背国法的自然会受到国法的惩治。公司应该积极地向员工们宣传信息安全知识和理念,包括公司的信息安全方针政策,以及应该遵守的信息安全最佳实践,比如互联网安全使用准则、客户端安全使用规定、如何正确地获得系统的访问权限以及防范社交诈骗和网络钓鱼的技巧等等。当员工们拥有了基本的信息安全防范意识,认同了公司的信息安全管理方针及标准要求,就会自然而然地遵守规章制度和遵循安全作业指导。

最后,中央四中全会公报还提出,必须大力提高法治工作队伍的思想政治素质、业务工作能力、职业道德水准。公司信息安全治理和管理的成功离不开全体员工对信息安全规章制度的理解和遵循,也离不开信息安全专业工作人员的努力工作。专业的信息安全人员,包括技术专家和管理人才,都是推进信息安全制度化管理的重要力量。相比于普通用户,信息安全专业团队更需要带头依法依规办事,更需要加强信息安全专业知识的学习,更需要提升信息安全意识,以便确保信息安全规章制度得以有效的贯彻和执行。

昆明亭长朗然科技有限公司专注于帮助客户提升员工们的信息安全意识,我们推出了业界领先的安全意识教育培训产品和服务,我们不仅能够理解客户的业务目标和信息安全目标,更能基于这种理解,创作、交付、跟进和评估安全意识培训内容。欢迎您联系我们洽谈业务合作事宜,也欢迎您在线体验我们的信息安全意识教案以及信息安全管理制度宣传课程。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898