几乎所有的管理体系标准中,都会要求企业建立符合自身文化的管理方针。信息安全管理体系标准也不例外,也在标准中的多个地方明确地要求企业建立安全方针。
比如,在ISO27001:2013标准的“5Leadership(领导力)”章节中就明确要求建立安全方针(security policy):
“ensuring the information security policyand the information security objectives are established and are compatible withthe strategic direction of the organization;
确保建立信息安全方针和信息安全目标,并与组织的战略方向保持一致;”
标准中要求建立的“安全方针”,在企业的安全管理中起到什么作用呢?它只是简单的一个“管理口号”吗?
当然不是。
在解释“安全方针”在安全管理中的作用之前,我们先来看一下“方针”在整个企业文化中的位置。在企业文化建设中,我们经常会听到这样一些词汇:
首先是“愿景”
“愿景”是企业的长期愿望以及对未来的设想,即企业所追求的终极目标。
既然是终极目标,也就是企业穷极一生所要追求的,可能一辈子都在路上,而永远也无法实现。
每个企业、每个人,哪怕是在小的个体,都会有一个自己的愿景,有了愿景才有了存在的价值,才有了为之奋斗的动力。愿景就像启明星一样,永远在那个遥远的地方等待着、吸引着我们。
其次是“使命”
“使命”是企业在实现愿景的过程中,所作出的承诺以及肩负的责任,包括对社会的责任、对客户的责任、对企业的责任、对员工的责任等等。
使命的最大作用,就是帮助企业在实现其愿景时,要做到“有所谓,有所不为。”使命感会让企业明白一个基本的道理,那就是不能为了实现所谓的理想而不择手段。
恐怖主义者也有一个崇高的愿景,甚至为了理想而奋不顾身,但这个愿景在实现的过程中,缺乏了使命感的约束而变的为所欲为,实现自身愿景是以牺牲他人为基础的,这是不可取的。
第三是“方针”
“方针”是在追求自身愿景、实现自身使命时,指引企业发展与事业前进的方向与纲领。
如果说愿景像启明星一样,那么方针就像指南针一样,帮助企业在追求其愿景与使命的路上,不会迷失方向。方针是开展工作的基本原则,帮助企业将宏观战略问题,转化为具体的工作指导方向。
在信息安全管理体系中,并没有涉及到愿景与使命,但是对于方针是有明确要求的。也就是说,企业需要建立符合自身文化的安全方针,以指导开展信息安全工作。
最后是“政策”、“制度”、“流程”
在安全方针之下就是具体的落地执行了,在执行层面涉及到政策、制度、流程三个层面,这三个层面特点如下:
-
政策:政策有时也被称为策略,是对具体事项的明确要求(What to do),不需要定义谁来做、怎么做等细节内容。
-
制度:制度有时也被称为管理办法、管理规范等,是在具体的政策要求下,进一步明确相关事项的工作职责及工作机制(Who to do)。
-
流程:流程有时也被称为程序、过程等,是针对某项工作的详细描述,定义每项活动及活动相关的输入输出(How to do)。
安全方针发挥的具体作用
明确了方针在企业文化中所处的位置,也就不难理解安全方针所发挥的作用了。
在企业信息安全管理过程中,针对某一特定场景下的特定事宜,如果有标准的管理制度与流程,就应该按照标准化要求去执行,不需要参考安全方针的指导。
但是,任何企业都不可能做到百分之百的标准化管理,如果某一事项缺乏明确的管理制度与流程,就应该按照安全方针的指导来开展工作。
下面通过一个案例来具体说明一下:
在某个周末的晚上,企业正在对核心业务系统进行变更,业务人员、开发人员、运维人员及相关的管理人员都在紧张的开展工作。但是变更进行的似乎并不顺利,变更持续的时间已经远远的超出了预期,这时运维人员希望尽早结束操作进行系统回退,而开发人员希望继续进行调试以完成变更。
如果企业有标准的制度流程,定义了变更持续的最晚截止时间,那么,这个问题就非常简单,如果在截至时间点没有顺利完成变更,那么就启动回退操作。
如果企业没有明确的制度流程,来定义变更持续的最晚截止时间,那么,就需要按照安全方针的指导来进行决策,如果方针要求首先考虑安全性,就需要停止变更启动回退操作,如果方针要求首先考虑的是效率,就可以继续进行调试以便完成变更。
最后我想说,方针与口号只有一线之隔,执行了是方针,没有执行就是口号。