合规管理自身的局限性也是制约中国各大国有企业信息安全成效提高的重要原因之一。在不断变化的外部安全态势下,以事后评价改进为主要手段的合规管理在控制范围、成本效益、应对时效等方面的局限性正逐步放大。各大国有企业在应对威胁时迟缓、低效的表现也说明,以合规驱动的信息安全管理已不足以适应外在形势的变化和内在发展的需要。受制于自身的局限性,安全合规管理的成效已进入瓶颈,亟需运用更灵活、更高效的信息安全管理机制来指导信息安全管理工作。
从安全合规管理自身机制来看,其局限性主要在控制范围、成本效益和应对时效三个方面,大量安全问题的出现均与之相关。
(1)控制范围的局限性
由于安全合规管理推行的是自上而下的管理模式,其先天上受制于企业领导层对安全的重视程度,对领导层和核心业务部门必然缺乏足够有约束力的管控能力,加之目前各大国有企业普遍未建立独立的、较高级别的安全管理机构,这使得在合规的实际控制范围上存在盲区。
此外,从目前来看,各大国有企业的安全合规管理大多偏重于对安全运维事务的管理,而忽视了对系统设计、开发、使用阶段安全工作的规范和监督。这直接导致了各企业的信息安全工作无法覆盖系统全生命周期,安全管理部门无法介入到系统设计、开发事务,信息安全管控权限普遍受到严重限制,并间接致使安全与业务间的失衡问题始终无法得到有效解决。
(2)成本效益的局限性
安全合规管理自身机制的局限性,致使其无法对成本效益进行有效衡量和灵活调整。以事后评价改进为主要手段的合规管理,其在成本效益方面的考量大多基于对已发生安全事件的损益核算方式,而非更高效的事前、事中的止损评估。但是,由于安全事件的突发性和不可预见性,这种成本效益评价方式必然会使企业安全投入向与事件相关的控制点倾斜,而忽视隐性的其他安全风险。同时,也可能在一些控制环节上出现“过度投入”,引发“过度安全”,影响企业的生产经营效率。这也是各大国有企业信息安全管理成效一直无法提高的主要原因之一。
(3)应对时效的局限性
以内部控制为主的安全合规管理大多是针对经常而重复发生的业务设置安全控制措施,具有相对较长时间的稳定性。然而,随着时间的推移,企业自身的经营活动会不断变化,外部的安全环境也会不断改变,原本制定的安全控制措施就可能会逐渐失效。而安全合规管理以事后评价改进为主的应对机制决定了其在应对时效上落后于安全态势的变化,无法做到事前、事中的及时跟进处理,致使相应控制措施的时效性被大幅减弱,可能出现“低效化、无效化”的情况,甚至带来新的安全风险。各大国有企业在整体应对策略以及安全检测能力方面的诸多不足证明了这一点。
很理论化的说教。部分不同意。
合规并非领导意志;合规可以有例外流程。合规是对安全是有益的、必要的。
合规不能确保安全,但可以是企业安全工作的基线和驱动。
企业是否有清晰的合规体系和工作路径:需要遵守的合规要求有哪些?我要参考的安全体系以及目标的安全架构是什么样的?如何才能保证合规不会人浮于事?
所以我想说的是,要走风险管理的路子,风险管理是核心,合规只是风险管理里的一个举措。但是现在基本都是反过来的,国企大多是以合规为核心,风险管理变成合规里面的一项,发现的风险的修补和整改,也变成合规下有无这个要求为关键,而非从风险自身来考虑。合规极容易人浮于事,要给它加个嚼子和套子,这个就是风险管理。
所以我文章想说的是,要改变思路,形成这种安全管理思路的转型是最关键的。