謝宗曉（南開大學(xué) 商學(xué)院）

信息安全制度設(shè)計(jì)原則的初步探討

謝宗曉（南開大學(xué) 商學(xué)院）

本文從個(gè)體行為和組織行為的角度，探討了信息安全制度設(shè)計(jì)的幾個(gè)基本原則，其中包括制度中處罰確定性、嚴(yán)厲性和及時(shí)性的確定。

信息安全 制度 個(gè)體行為 組織行為

專欄

信息安全管理系列之八

保障信息安全不外乎兩種途徑：技術(shù)或/和管理，前者主要針對機(jī)器，后者主要針對人。毫無疑問，在守規(guī)矩的問題上，人是真正的難點(diǎn)。正源于此，在信息安全實(shí)踐中一直存在“重技術(shù)，輕管理”的現(xiàn)象，本質(zhì)是“避重就輕”。單純的技術(shù)解決不了任何問題，所有的安全問題最終還是要?dú)w結(jié)到人。下文借鑒了犯罪學(xué)研究領(lǐng)域的成熟理論，探討了如何設(shè)計(jì)好的信息安全制度。

謝宗曉（特約編輯）

制度文件是溝通的工具，最便捷的溝通方式毫無疑問是口頭的溝通，但是口頭溝通存在幾個(gè)缺點(diǎn)：（1）一對一最有效，一對多就成了廣播或演講，多對多就變得比較混亂；（2）傳播的級數(shù)不能太多，否則會迅速失真。例如，A告訴了B，B告訴了C，C再告訴……這種方式顯然不能滿足大型組織的溝通要求，例如，政府。如果靠“傳皇上口諭”，中央政府的制度傳達(dá)至基層政府，效率低而且不準(zhǔn)確。

因此，幾乎所有的大型組織都會選擇制度文件作為溝通工具，我們都統(tǒng)稱為“制度”。

1 制度與文件

按照ISO/IEC 27001：2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》的部署經(jīng)驗(yàn)，正式的制度（或文件）可以分成三類：（1）描述原則的文件，例如，信息安全方針文件； （2）界定對錯(cuò)的文件，例如，信息系統(tǒng)使用管理規(guī)定；（3）提供指導(dǎo)的文件，例如，OA系統(tǒng)安全運(yùn)維指南。

2 制度設(shè)計(jì)需要適當(dāng)?shù)募俣?/h2>

所有的理論都是以某些假定為前提的，沒有“放之四海而皆準(zhǔn)”的理論。安全機(jī)制也是如此。例如，我們設(shè)計(jì)更安全的自行車防盜鎖，一個(gè)基本的假設(shè)是盜賊會推走或騎走自行車，如果盜賊直接把自行車搬到貨車上運(yùn)走，這個(gè)安全機(jī)制就失效了。再如，設(shè)計(jì)更好的防盜門，假定盜賊是從門進(jìn)來偷東西的，如果盜賊偏好從窗戶進(jìn)，或者破墻而入，這個(gè)安全機(jī)制就失去了意義。

組織層次的信息安全制度設(shè)計(jì)一般面對企業(yè)員工，普遍認(rèn)為白領(lǐng)犯罪更理性，也就是說，信息安全制度的假設(shè)前提應(yīng)該是“理性人”。當(dāng)然，這并不是否定了非理性的犯罪行為，員工中可能也存在具備反社會人格的黑客，只是概率比較低，不值得設(shè)計(jì)專門的制度。

一個(gè)完整的制度體系就被賦予了“性格”，描述原則如同每個(gè)人描述自己的品格是類似的，不同的是，制度的“品格”是我們?nèi)藶榈脑O(shè)計(jì)而已。一個(gè)組織如果把信息安全看得很重，那么就會具備“激進(jìn)”品格，傾向于犧牲信息系統(tǒng)所帶來的便利性，追求安全。

3 制度設(shè)計(jì)的理論支持

由于前提假設(shè)的不同，衍生出了大相徑庭的制度設(shè)計(jì)路線，例如，“某些人為什么會違規(guī)/犯罪”和“大部分人為什么不會違規(guī)/犯罪”實(shí)際上是兩個(gè)問題，或者說，這兩個(gè)問題蘊(yùn)含著完全不同的前提假設(shè)。前者的邏輯是：如果不干涉，所有的人都不會違規(guī)/犯罪。后者的邏輯是：如果不干涉，所有的人都會違規(guī)/犯罪。

法律是最常見的制度，因此借鑒犯罪學(xué)理論設(shè)計(jì)信息安全制度是必然的選擇。事實(shí)上，在目前主流的信息安全管理研究中，犯罪學(xué)理論是被應(yīng)用得最多的。而這其中，最契合信息安全情境、影響最深遠(yuǎn)的理論就是威懾理論。

4 處罰的確定性、嚴(yán)厲性與及時(shí)性

威懾理論最早出現(xiàn)于意大利刑事古典學(xué)派創(chuàng)始人貝卡里亞（1738—1794）的《論犯罪與刑罰》中，在后續(xù)的研究中，英國人邊沁在1789年發(fā)表的《道德與立法原理導(dǎo)論》中對懲罰與罪過間的比例等進(jìn)行了更為詳細(xì)的論述。基于威懾理論，人類建立了現(xiàn)代司法制度，這個(gè)體系運(yùn)轉(zhuǎn)的基本前提，就是事后的處罰可以減少違規(guī)行為。

已有的絕大部分研究都顯示，處罰確定性可以有效地降低違規(guī)發(fā)生率。這與我們平時(shí)的認(rèn)知也保持了一致。但是處罰嚴(yán)厲性與犯罪率之間的關(guān)系并沒有明確的結(jié)論，在嚴(yán)重刑罰領(lǐng)域甚至得到了相反的結(jié)論。例如，諸多研究表明，死刑可以促進(jìn)殺人犯罪率的發(fā)生。至少有一點(diǎn)是肯定的，死刑的數(shù)量與殺人犯罪率沒有顯著的關(guān)聯(lián)。這個(gè)結(jié)論導(dǎo)致了全世界范圍內(nèi)在逐步取消死刑。在信息安全情境的諸多研究結(jié)論與犯罪學(xué)大同小異，提高處罰的嚴(yán)厲性對降低違規(guī)發(fā)生率意義不大，甚至有時(shí)候會有反作用。

這種現(xiàn)象其實(shí)不難理解，因?yàn)槿绻幜P過重，員工一旦觸犯，必然琢磨如何盡量不被發(fā)現(xiàn)，如果小的安全違規(guī)就重罰，最后導(dǎo)致的是安全隱患被不停地隱瞞，這反而是有害的。在生產(chǎn)安全管理領(lǐng)域，這種現(xiàn)象非常普遍。處罰一個(gè)很重要的原則就是，“誘導(dǎo)一個(gè)人在兩項(xiàng)罪過當(dāng)中，總是選擇害處較小的那項(xiàng)，因此對兩項(xiàng)罪過彼此競爭的場合，對那項(xiàng)較大的罪過的懲罰，必須足以誘導(dǎo)一個(gè)人寧愿去犯那項(xiàng)較小的”。

及時(shí)地進(jìn)行處罰對良好操作習(xí)慣的養(yǎng)成有重要的作用，在犯罪學(xué)領(lǐng)域?qū)μ幜P及時(shí)性的研究比較匱乏，因?yàn)樾淌略V訟是個(gè)成熟的體系，由于“冤枉一個(gè)好人”比“漏掉一個(gè)壞人”來得更惡劣，所以程序正義被持續(xù)地強(qiáng)調(diào)。在信息安全情境中，大多屬于輕微違規(guī)，因此處罰及時(shí)性還是要強(qiáng)調(diào)的。

5 制度設(shè)計(jì)的幾點(diǎn)現(xiàn)實(shí)考慮

5.1 清晰理解設(shè)計(jì)制度的目的

在設(shè)計(jì)制度前，我們首先要確定立法的目的是什么，不是所有的制度都是為了“落地”，很多制度實(shí)際僅是為了界定對錯(cuò)，例如，新版的《中華人民共和國老年人權(quán)益保障法》規(guī)定“與老年人分開居住的家庭成員，應(yīng)當(dāng)經(jīng)?？赐蛘邌柡蚶夏耆恕保@個(gè)條款的可實(shí)施性幾乎為零，但是也界定了這個(gè)問題是法律問題，不僅僅是道德問題。

拋開道德和法律的界限問題，形同虛設(shè)的“常回家看看”這樣的條款并不是一無是處，在信息安全制度設(shè)計(jì)中，這種情況也存在，例如，“禁止向外部組織出賣單位的信息”，這個(gè)條款如果缺乏足夠的技術(shù)手段也是一紙空文，但是更重要的目的是界定了行為的對錯(cuò)。

5.2 制度的精髓在于“落地”

當(dāng)然，好的制度，不僅界定對錯(cuò)，還要“可落地”，尤其當(dāng)一個(gè)社會的氛圍還沒有完全從“身份社會”轉(zhuǎn)為“契約社會”的時(shí)候，制度的執(zhí)行也特別容易淪落為“看人下菜”。

事實(shí)上，“有法必依”遠(yuǎn)比“有法可依”更困難，增加制度的落地從設(shè)計(jì)階段就應(yīng)該考慮，這意味著不僅在設(shè)計(jì)中增加現(xiàn)實(shí)考慮，也應(yīng)該加強(qiáng)檢查等手段，尤其在信息安全情境中，通過技術(shù)手段檢測違規(guī)行為更加重要，更重要的是，只要這樣，才能從“事后懲罰”轉(zhuǎn)化為“事前預(yù)防”。

5.3 正確認(rèn)識目的與結(jié)果的關(guān)系

產(chǎn)生巨大副作用的制度往往具有一個(gè)共同的特征，就是聽起來更完美，例如，韓國的網(wǎng)絡(luò)實(shí)名制1）完整案例分析，請參考：謝宗曉，《信息安全管理體系實(shí)施指南》，北京：中國標(biāo)準(zhǔn)出版社，2012。），一個(gè)最初設(shè)計(jì)是為了防止網(wǎng)絡(luò)暴力的制度卻成了個(gè)人隱私的噩夢。許多制度有聽起來很崇高的初衷或理由，甚至得到組織大部分人員的一致支持。

一般而言，制度的效果應(yīng)該是緩慢的，而不應(yīng)該是立竿見影的。因?yàn)橹贫缺旧砜赡苁枪堋笆隆保鎸Φ膱?zhí)行對象是“人”，期望立竿見影的制度往往會進(jìn)入到“簡單粗暴”的誤區(qū)中。實(shí)踐證明，大凡簡單粗暴的控制措施在開始效果都很好，但是在后續(xù)的執(zhí)行過程中會反彈，甚至還不如未實(shí)施前，典型的治標(biāo)不治本。

[1] 切薩雷·貝卡里亞. 論犯罪與刑罰[M]. 北京：中國法制出版社，2005.

[2] 邊沁. 道德與立法原理導(dǎo)論[M]. 北京：商務(wù)印書館，2012.

[3] 林潤輝，李大輝，謝宗曉，等. 信息安全管理 理論與實(shí)踐[M]. 北京：中國標(biāo)準(zhǔn)出版社，2015.

Discuss of Information Security Policies Design Principals

Xie Zongxiao ( Business School, Nankai University )

From individual behavior and organizational behavior perspectives, especially Deterrence Theory (DT), we discussed several principles should been observed in design of information security policies, including sanction certainty, sanction severity and sanction celerity.

information security, institution, individual behavior, organizational behavior