本站小編為你精心準備了安全管控企業信息論文參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

一、文件化的信息安全管理體系的原則

文件化是有效溝通方式的一種，尤其是在一對多的模式中。在中小企業，文件溝通不見得是最好的方式，當面溝通可能更有效。但是在大型集團企業中，甚至一國政府，當面溝通不但低效，而且存在諸多弊端，例如，信息傳遞過程中的失真。幾乎所有的大型組織最終都會選擇文件作為主要的溝通載體之一，由此便導致了“文山會海”的弊端。因此，對于文件化的信息安全管理體系設計應該遵循以下兩個原則：

（一）按照組織的最小需求設計文件，降低文件數目

制度是一個廣泛的概念，其中包括了明確的或隱含的規則，實際上對于制度而言，表現形式是最次要的一部分。在實踐中，更表現出了這樣的特點，許多法律法規文件可能效力遠不如某些潛規則。組織追求龐大的文件體系，原因可能有很多。例如，主管部門為了追求“盡職，免責”。由于立法、執法和監督部門往往都是分離的1，組織內部不免會陷入相互推諉。信息安全事件發生后，負責執行的部門往往會歸結為由于缺乏相應的立法，導致“無法可依”。在這種情況下，立法部門往往會盡量設計更全面的制度。但立法部門最關注的不是制度的可實施性，換句話說，他們最關心的是“有法可依”，而不是“有法必依”。國家的法律雖然繁雜，但是有專業的律師提供服務，普通人不需要了解其中的細節。但是一個組織的制度則不同，組織內部不可能提供類似律師一樣的專業服務。每一個制度，原則上員工都需要了解。顯然，員工不可能花太多的精力去學習更多的文件。所以，過多龐大的制度體系不但不會提升組織的正規化，反而使組織落入“制度在墻”的尷尬境界。

（二）可以由上級統一文件化的，下面不再文件化

許多制度的關鍵點不在于好或壞，而在于能夠被統一的執行，例如，左側行駛或者右側行駛，沒有本質的區別，重要的是，在特定的范圍內能夠被統一的，無差別的執行。組織內部的制度也遵循同樣的道理。在大型集團企業內，如果某個制度能夠被統一，應該盡量由上級統一文件化，下級機構可以據此執行，或者適當修改后執行。這樣做的目的是形成統一的規則，降低不確定性帶來的成本。綜上所述，以上兩個原則應該貫穿信息安全管理制度文件架構的始終，即（1）只在必要的時候才單獨成文；（2）盡量在全集團內設計推行統一的制度文件。

二、集團企業信息安全管控模式設計

大型集團企業的整體管控模式，按照母子公司的集權分權程度，可以劃分為財務管控、戰略管控和運營管控三種。信息安全管控模式首先要適應整體的集團管控模式，如上所述，ISO/IEC27001:2013默認部署的范圍是一個組織或者組織的一部分，并沒有考慮集團企業的情況。集團企業往往是由諸多獨立運營的公司所組成，這就關系到管控問題，信息安全管控模式的本質是信息安全管理制度的頂層設計。我們以大都控股集團2的組織結構為例設計管控模式，大都控股集團的組織機構如圖1所示。根據《信息安全管理體系實施指南》的文件架構設計，我們將大都控股集團的文件分為四級。

三、結語

雖然ISO/IEC27001:2013強調了適用于所有的組織，但是并沒有專門對大型集團企業或小型組織3做相應的指導，本文針對這種不足，設計了一種適合大型集團企業的信息安全管控模式，保留了實踐中較為通用的ISO/IEC27001:2013的四級文件架構，但是按照集團企業的母子公司進行了重新劃分，使得一級文件與二級文件“對事不對人”，三級文件“對事也對人”，但盡量保證“一個角色，一件事，只對應一個文件”，從而降低了員工閱讀文件的負擔，最大限度的避免了文件與實際執行存在的“兩層皮”現象，提高了文件的可實施性。

作者：李心陽謝宗曉單位：神華天津煤炭碼頭有限責任公司信息中心南開大學商學院