依法治国与信息安全管理制度

legalism-and-infosec-mgmt-processes

中央四中全会设定了全面推进依法治国的总目标,并且提出了依法治国需全面推进的“五个体系”和“六项任务”。在依法治国的大背景下,国家的组成单元——各个层面的大中小型机构,也都会纷纷转向依法治理。依法治国的思想和方法,无疑也会传播和影响到信息安全治理和管理领域。信息安全从业人员,进好能借此机会,建立健全组织机构的信息安全管理制度,向信息安全管理“制度化、标准化、规范化”目标前进。

中央的文书向来四平八稳,更不是乏各类关于四中全会公报的解读,但是关于依法治国精神对信息安全管理方法的指导,倒是没见着。昆明亭长朗然科技有限公司的信息安全管理咨询顾问董志军表示:各组织机构特别是公司企业更需要从国家政治、经济、文化的视角认识信息安全,将企业的发展战略与国家政策有机联系起来,与党和政府同呼吸共命运,才能实现基业长青。特别是国内的网络信息安全产业,不仅关乎国家安全稳定大局,更是在党和政府的保护政策之下才获得了生存和发展,则更应该努力学习和贯彻中央的依法治国精神。

其实,从道理上讲,大到国家层面的依法治理,小到公司层面的合规管理,都是一脉相通可以相互融汇的。昆明亭长朗然公司董志军简要读取了公报的主要内容,特别是重点和亮点,并与信息安全管理体系方法进行了一些比对和关联,现在简单提炼和解读出来,希望能够帮助各类企业级的信息安全管理负责人员,在更好地理解全会精神的同时,获得信息安全体系管理和公司治理方面的智慧启迪。

首先,从总目标是“建设中国特色社会主义法治体系,建设社会主义法治国家。”从历史上讲,依法治国的口号被提出几千年,总体上也还是一个“人治”的社会,可是无疑是当下最为紧迫的一项任务。社会经济发展虽然达到了前所未有的高度,在我们获得丰富物质文明的同时,也积累了很多严重的社会问题。在一个相对原始和封闭的小圈子里,“人治”是相当高效的体系方法,但是现代的组织机构已经很高度文明化,内部外部都需要大量的沟通协调,“人治”显然是很落后的了。即使是在街边摆个小摊,也会面临着被城管凭个人心情、意愿或喜好随意轰走甚至抢夺商品的情形。

很多公司都没有规范的信息安全管理制度,更没有相关的工作记录,信息安全工作也都是领导说了算,大家的工作都凭自己的喜好,爱干什么干什么,想怎么干怎么干,出了信息安全问题乱医治,找不到造成问题的根源,也没有人会觉得自己应该负责,这自然会造成一大堆的混乱场面,这种信息安全管理水平被称为“混沌”状态。信息安全工作负责人员要想让公司的安全管理水平,以及自己的职业发展都跨上一个新的台阶,无疑需要制定一个信息安全“合规管理”的目标。

其次,中央公报提到完备法律规范体系,即立法先行。负责公司信息安全管理的人员,无疑也应该从信息安全管理制度开始,创建、完善及发布公司层面的信息安全方针政策以及信息安全工作标准及规范。同时,也应该要求各部门依据自己的实际情况,开发出更为细化的、与特定岗位相关的安全操作指南,或作业流程。

接下来,中央公报提到法律的生命力在于实施,健全依法决策机制,把公众参与、专家论证、风险评估、合法性审查、集体讨论决定确定为重大行政决策法定程序。在公司信息安全管理的重大决策方面,也应该让各相关部门领导和信息安全专业人士参与进来进行集体讨论。特别是当公司有新的重大项目论证时,就应该让信息安全团队早日加入,进行安全风险评估、合规性审查等工作,不能让信息安全人员成为错误决策之后的救火队。

然后,中央公报提出法律的权威源自人民的内心拥护和真诚信仰。回顾历史,当我们的先辈们在推举贤良之才做领导并忠心追随时,古希腊人开始建立民主制度和强化对公权力的约束,我们今天的法律文书体系,肯定远远超出于古希腊,但是法律效率仍然远远落后,可见我们的差距有多远。古希腊人企图通过立法建构社会秩序的理想和公民尚法观念的形成,是古典法治思想的重要组成部分,更让古希腊成为西方法治思想的发源地。对我们而言,人民对法律精神的认可才是依法治国的核心,严重社会问题的解决,当然不能靠那些法律文书,虽然它们写得很好,但是没有活力,因为很少有人去看它们,更少有人懂这些法律的精神。要依法治国,弘扬法治精神,形成守法光荣、违法可耻的社会氛围,比制定法律本身要重要的多。

对于一家公司来讲,信息安全规章制度的执行力和员工们对规章制度的认可度密不可分,虽然社会法治的大背景环境可能不大好,多少会影响到公司制度的执行力,但是这并不是关键。因为与员工们更为密切和贴近的是公司的规章制度,而不是国家的法律文本,当然这两者并不对立也不冲突,相反,公司的规章制度也是在国家法律框架下进行细化而制定的。在公司内,不必要对员工们大搞普法教育,违背国法的自然会受到国法的惩治。公司应该积极地向员工们宣传信息安全知识和理念,包括公司的信息安全方针政策,以及应该遵守的信息安全最佳实践,比如互联网安全使用准则、客户端安全使用规定、如何正确地获得系统的访问权限以及防范社交诈骗和网络钓鱼的技巧等等。当员工们拥有了基本的信息安全防范意识,认同了公司的信息安全管理方针及标准要求,就会自然而然地遵守规章制度和遵循安全作业指导。

最后,中央四中全会公报还提出,必须大力提高法治工作队伍的思想政治素质、业务工作能力、职业道德水准。公司信息安全治理和管理的成功离不开全体员工对信息安全规章制度的理解和遵循,也离不开信息安全专业工作人员的努力工作。专业的信息安全人员,包括技术专家和管理人才,都是推进信息安全制度化管理的重要力量。相比于普通用户,信息安全专业团队更需要带头依法依规办事,更需要加强信息安全专业知识的学习,更需要提升信息安全意识,以便确保信息安全规章制度得以有效的贯彻和执行。

昆明亭长朗然科技有限公司专注于帮助客户提升员工们的信息安全意识,我们推出了业界领先的安全意识教育培训产品和服务,我们不仅能够理解客户的业务目标和信息安全目标,更能基于这种理解,创作、交付、跟进和评估安全意识培训内容。欢迎您联系我们洽谈业务合作事宜,也欢迎您在线体验我们的信息安全意识教案以及信息安全管理制度宣传课程

是否应该对用户的安全失误进行严惩

不少大中型公司制定了严密的信息安全规章制度,告知并让员工们签字认可对这些规章制度的遵守。为了让公司的信息安全政策获得落实,确保这些安全规章制度得以有效的执行,也有不少公司制定了信息安全事故处理流程,以及员工违反安全相关规定后的惩戒措施。

的确,总体上来讲,员工们并非学生,也非儿童,需要为自己的不安全行为负责,也只有员工们担负起了相关的安全责任,公司信息安全规章制度才能受到重视,企业安全管理水平才能获得提升。

不过,我们也不能简单的将所有的员工安全违规行为都进行惩戒,这是因为部分信息安全违规后果并非员工们的主观愿望。实际上,很少有员工希望公司出现严重信息安全事故,几乎没有员工希望惹上安全事故。举例来讲,如果员工不小心点击了钓鱼邮件中的链接或打开了含有恶意代码的附件,进而让公司内部网络受到病毒的袭击,他(她)是否应该受到惩罚呢?

惩罚还是不惩罚,这是一个问题。昆明亭长朗然科技有限公司的企业安全管理顾问James Dong建议说:除非对员工们有足够的信息安全行为激励措施,否则,必要的惩戒措施并不能少。同时,要注意的是惩戒也需要一个标准,一个度量。过重的惩戒容易引起员工们对信息安全的误解、恐慌、逃避甚至抵制,后果不仅会让信息安全管理工作陷入被动局面,更可能让消极态度影响员工们的生产力。过轻的惩戒引不起员工们对信息安全的重视,甚至会变相鼓励铤而走险的恶意违规和套利行为。

那该如何制定科学的信息安全违规行为惩戒标准呢?亭长朗然公司James称:这也需要就事论事,综合评测。如下几条是必须考虑的因素:

1.当事员工对信息安全违规行为的认知,如果是新进员工在根本没有信息安全保密概念,也未参加相关安全意识和规章的学习之前无意中犯下的信息安全错误,对其进行惩戒则会显得有些“唐突”和“冤枉”。

2.当事员工违反信息安全规章制度的意愿,是明知故犯,恶意为之;还是疏忽大意,意外犯规,这需要区别对待。毕竟这两种意愿代表着涉事员工是“好人”还是“坏人”。

3.当事员工违反信息安全规章制度后的态度,是积极主动承认错误,愿意参与补救行动帮助挽回或降低公司损失;还是不思悔改,死不认帐,甚至歪曲事实、毁灭证据、妨碍调查。这关系到此员工在未来的信息安全行为表现,所以应该占相当大的比重。

4.当事员工违反信息安全规章制度所造成的后果,按对公司带来的负面影响来进行适当的惩戒,是比较科学合理的准则。影响微小的没有造成什么危害的,以说服教育为主;对公司形象、信誉造成恶劣影响并带来重大经济损失的,则需要在公司范围内进行通报批评、降职降薪,解除劳动关系直至诉诸司法手段。

说到底,如果员工在不了解信息安全相关要求的情况下犯了错,不应该惩戒;如果是好员工但是并非主观意愿情况下犯了错,我们不能向好员工的积极行为泼水;如果员工在犯错后有正确的态度,我们应该给予改错的机会;如果员工的安全违规行为并没有造成严重的损失,我们也不要小题大作。

我们需要让员工们担负起自身的信息安全责任,但也不能让人们对信息安全变得恐慌,也不能让信息安全成为业务成功的羁绊。