随笔:银子弹之信息安全组织架构
信息安全的组织结构在各种信息安全管理的标准、最佳实践中都有涉及。可以说,信息安全组织是企业规划信息安全的过程中,最值得深思的两个问题之一,另一个问题则是制定信息安全策略。
信息安全组织从属于企业组织结构,但又有自己的特色,因为在信息安全管理中,日常运营、项目管理和应急响应同在,这样就使信息安全的组织更加复杂。然而我们仍然可以从最抽象化的组织结构来发展信息安全组织架构。最简化的组织结构通常有两类:垂直型组织结构、扁平化组织结构。我们常见的组织结构都可以从这两种组织结构发展而来,必要时可以加上横向组织联系,形成局部网状组织结构,还可以通过增设虚拟汇报线条,来解决跨地域、职能、专业的问题。笔者认为,扁平化、垂直树状、网状,等任何组织结构都有自身的优势和劣势,各有千秋。在设计信息安全组织结构的过程中,应当结合成本、企业文化、合规等各方面因素。
在信息安全管理的中,最小权限和最小应知是被广泛提倡的,但在企业管理实践中,我们会发现分割权限形成的信息割裂,形成信息链条拉长,造成信息传递成本加大,进而带来执行力降低,打击了员工的工作积极性,在信息极度碎片化管理模式中需要超强大脑来指挥,也带来了管理成本的额外支出。因此在设计信息安全的组织结构时,需要结合管理成本来考虑,平衡信息安全和管理成本之间的关系。
对于大型企业而言,改变其企业文化是非常具有挑战的。企业文化的改变也不是信息安全管理的主要任务,因此信息安全的组织架构,需要对企业文化进行融合,才能发挥出其效能。企业文化是融入企业管理的深层次构成,往往带着企业的创始人、管理人的烙印。在信息安全组织结构设计的过程中,应当对企业发展的历程进行深度了解,并和管理层进行充分的交流。
既然信息安全组织结构是企业组织结构的一部份,我们也应结合企业合规的需求,不同企业在符合共性法律、法规的要求下,还有行业监管存在,因此信息安全组织的设计应当对所在行业的监管进行研究。科技的进步,也会带来法律法规的进步,因此对法律法规的发展,也需要保持持续的关注。
最后,必须要注意的一个关键问题:决定组织结构是高级管理层职责。信息安全组织结构设计,高级管理层的参与是必不可少的。