上一篇文章在《关于企业信息安全治理实务中业务和安全关系的思考》里分析了业务和安全的关系,安全应该是保障业务,支撑业务而非是简单粗暴的限制业务。
然而在信息安全治理的实务中,安全部门和业务部门(包括IT运维部门)的责任和义务却往往很难界定。当出现安全事件、事故时,企业管理层往往第一反应就是安全部门失职,从而导致安全部门承担了绝大部分的板子,而业务部门却依然感受不到安全的压力。长此以往,企业的安全治理无法实现合力,而出现事故后的各种争吵,又将导致安全部门和业务部门的直接对立,对于整个企业的安全发展而言,这种情形无疑是非常不利的。因此,理清安全部门和业务部门在安全上的责任,应当是一个企业安全治理实务中的一个首要任务。
个人一直以为,企业中的安全部门就像消防队。消防队最广为公众知晓的责任,无疑是灭火。在接到火警电话后,消防队应当有能力以最快的速度扑灭火患,将火灾带来的损失降至最低。然而,消防队还有一个常常被忽略的职责,那就是防火:新建楼盘需要有消防验收、餐馆饭店需要有消防检查……
在企业中,安全部门的职责应当与消防部门类似:
1.做好规则,防止事件发生;(类似消防检查、消防验收)
2.一旦出现事件,能够及时处置,将损失降到最小;(类似火警处置)
因此,对于一个安全部门而言,必须要做好定规则、指导和培训、审计和考核、应急响应。与此对应,业务部门则是落实规则的责任主体。
首先,在企业的安全治理实务中,安全部门应当结合企业的整体业务情况,做好各种安全策略、规章制度的制定工作,明确各种安全要求。这一阶段可以参考很多最佳实践和监管要求,如ISO27002、等级保护、SOX等等;
其次,安全部门应当负责对各种安全要求的宣传、推广和指导,可以通过各种宣贯材料、座谈会、培训等方式方法,确保业务部门能够理解这些安全要求和设置这些安全要求的必要性,并在业务部门开展业务的过程中给出安全方面的针对性指导和建议。在一些企业中,如果管理层对于安全较为重视,可能还会赋予安全部门一票否决权,禁止业务部门制定不安全的业务流程。这一做法固然提升了安全部门的话语权,但是对于否决权还是建议安全部门慎重使用,原因见上一篇文章。
第三,除了上述工作,安全部门应当建立企业内部的审计和考核机制,根据企业情况定期、不定期的对安全要求在业务部门的落实情况进行审计和排查,并建立审计结果的考核应用机制。
第四,没有百分之百的安全,一个充分的安全应急响应预案是十分重要的,这个预案应当与各业务部门进行充分的沟通和联动,必要情况下可以进行沙盘推演和应急演练,从而确保在安全事件发生时,安全部门和业务部门能够迅速联手将安全事件造成的损失控制在最低。
安全事件发生后,应当对安全事件进行根因分析和责任界定:
- 如果导致安全事件发生的原因,安全部门事先并未制定策略和要求,那么由安全部门承担本次事件全部责任;
- 如果导致安全事件发生的原因,安全部门已有要求,但是业务部门未遵照执行,那么由业务部门承担本次事件首要责任;
- 对于业务部门执行不到位的情况,如果安全部门已审计未发现或者已经审计发现、但是未监督整改的,安全部门承担次要监管责任;
- 对于业务部门执行不到位的情况,如果安全部门因抽样审计未发现,安全部门不承担责任;
