信息安全管理系列之七信息安全管理制度編寫的要點(diǎn)

權(quán)貞惠（中國人民銀行哈爾濱中心支行） 謝宗曉（南開大學(xué) 商學(xué)院）

1 選擇合適的語言風(fēng)格

一個(gè)組織在長期的運(yùn)轉(zhuǎn)過程中，一般都形成了獨(dú)特的工作語言，凡是經(jīng)常溝通的人群，都容易形成語言風(fēng)格，大到方言的產(chǎn)生，小到朋友圈子的幽默方式。這些語言風(fēng)格一旦形成，便具有很大的慣性，哪怕這種語言風(fēng)格是不實(shí)用甚至不合理的。為了減少制度的推廣阻力，或者為了提高制度的界面友好性，信息安全制度編寫的語言風(fēng)格必須要建立在考慮組織文化的基礎(chǔ)上。目前通用的制度語言風(fēng)格可以分為：“標(biāo)準(zhǔn)式語言風(fēng)格”和“規(guī)章式語言風(fēng)格”。

標(biāo)準(zhǔn)式語言風(fēng)格一般用中性的學(xué)術(shù)化語言提出要求或描述過程，實(shí)際上，國內(nèi)標(biāo)準(zhǔn)基本與英文原版保持了一致，即使沒有與之對(duì)應(yīng)的英文標(biāo)準(zhǔn)，新開發(fā)的標(biāo)準(zhǔn)也沿用了這種風(fēng)格。例如GB/T 22080—2008/ISO/IEC 27001：2005中“按照組織的需要實(shí)施ISMS 是本標(biāo)準(zhǔn)所期望的，例如，簡單的情況可采用簡單的ISMS解決方案。”這就是典型的標(biāo)準(zhǔn)式語言風(fēng)格。

在標(biāo)準(zhǔn)式語言風(fēng)格中，助動(dòng)詞有很大的作用，對(duì)不同的助動(dòng)詞需要認(rèn)真體會(huì)其區(qū)別，在GB/T 1.1—2009《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫》中專門規(guī)定了助動(dòng)詞的適用規(guī)范，如表1所示。

表1 GB/T 1.1—2009中助動(dòng)詞的使用規(guī)范

而規(guī)章式語言風(fēng)格則不同，語氣一般較為嚴(yán)厲，這種嚴(yán)厲的語氣也可以通過助動(dòng)詞來表述，但與標(biāo)準(zhǔn)式語言風(fēng)格中略有不同，例如，在規(guī)章中，一般沒有“應(yīng)”詞匯，而一般只用“應(yīng)當(dāng)”詞匯。我們以《中華人民共和國保守國家秘密法》為例分析助動(dòng)詞的用法，如表2所示。

表2 規(guī)章式語言風(fēng)格中的助動(dòng)詞用法示例

2 選擇合適的文檔格式

文檔的格式雖然遠(yuǎn)遠(yuǎn)沒有內(nèi)容重要，但是形式有時(shí)候也是很重要的。用規(guī)范的、好的展現(xiàn)形式可以給閱讀者以直觀的沖擊力，這類似一個(gè)好菜的標(biāo)準(zhǔn)“色香味俱全”中的“色”。

在選擇格式的時(shí)候，可以采用GB/T 1.1—2009或GB/T 9704—2012《黨政機(jī)關(guān)公文格式》。GB/T 1.1—2009（ISO/IEC Directives—Part 2 ：2004，Rules for the structure and drafting of International Standards NEQ1）在《采用國際標(biāo)準(zhǔn)管理辦法》中，第十七條規(guī)定，我國標(biāo)準(zhǔn)與國際標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系除等同、修改外，還包括非等效。非等效不屬于采用國際標(biāo)準(zhǔn)，只表明我國標(biāo)準(zhǔn)與相應(yīng)國際標(biāo)準(zhǔn)有對(duì)應(yīng)關(guān)系。非等效指與相應(yīng)國際標(biāo)準(zhǔn)在技術(shù)內(nèi)容和文本結(jié)構(gòu)上不同，它們之間的差異沒有被清楚地標(biāo)明。非等效還包括在我國標(biāo)準(zhǔn)中只保留了少量或者不重要的國際標(biāo)準(zhǔn)條款的情況。非等效（not equivalent）代號(hào)為NEQ。適用于大部分企業(yè) ；GB/T 9704—2012（由中國標(biāo)準(zhǔn)化研究院、中共中央辦公廳秘書局、國務(wù)院辦公廳秘書局、中國標(biāo)準(zhǔn)出版社起草）適用于中央企業(yè)、地方國企或政府單位。組織可以采用GB/T 1.1—2009與GB/T 9704—2012的其中一個(gè)，或者修改采用。

3 編寫制度應(yīng)遵循的原則

3.1 內(nèi)容要明確，追求可操作性

對(duì)單個(gè)組織來說，用模糊的語言去描述則應(yīng)該是盡量避免的。一般的規(guī)律是，適用范圍越廣，則描述越模糊、相對(duì)；適用范圍越窄，則描述越清晰、絕對(duì)。

導(dǎo)致可操作性差的制度可能有兩種情況：（1）制度描述過于模糊，導(dǎo)致空間太大。例如，如果信息安全事件非常嚴(yán)重，則要對(duì)涉事員工進(jìn)行嚴(yán)肅處理。如果對(duì)“非常嚴(yán)重”和“嚴(yán)肅處理”沒有進(jìn)行清晰的定義，這句話就留有太多的空間，而導(dǎo)致不可實(shí)施。（2）制度描述雖然明確，但是不切實(shí)際。例如，風(fēng)險(xiǎn)評(píng)估的實(shí)施頻率為每季度至少一次，必須覆蓋所有的信息系統(tǒng)。對(duì)于信息系統(tǒng)復(fù)雜的組織來說，這個(gè)要求很難實(shí)現(xiàn)，而且必要性也不大。反倒是風(fēng)險(xiǎn)評(píng)估所帶來的業(yè)務(wù)中斷更值得關(guān)注。

在制度中盡量避免出現(xiàn)“有關(guān)部門”“相關(guān)部門”“相關(guān)人員”等模糊詞匯，這種詞匯一般是出于制度制定者的“免責(zé)”的心態(tài)，看似義正言辭，實(shí)則言之無物。一個(gè)制度，一旦站在“立場(chǎng)正確”的角度對(duì)現(xiàn)象進(jìn)行指責(zé)，并強(qiáng)烈呼吁“提高人的××素質(zhì)”，唯獨(dú)缺乏可操作性的措施，注定是失敗的制度。

3.2 術(shù)語要規(guī)范，前后要統(tǒng)一

無論是否有專門的術(shù)語和定義，術(shù)語的引用應(yīng)該盡量與國家標(biāo)準(zhǔn)保持一致，但是有些術(shù)語本身沒有統(tǒng)一的規(guī)范，或者還沒有國家標(biāo)準(zhǔn)，因此在一篇文檔里至少應(yīng)該保持統(tǒng)一性。例如，confidentiality，在中文里面有時(shí)翻譯成“保密性”，有時(shí)翻譯成“機(jī)密性”，在日常應(yīng)用中，經(jīng)常會(huì)發(fā)現(xiàn)一篇文檔，“保密性”和“機(jī)密性”輪換使用，而作者卻渾然不覺。再如，在以往的翻譯中，information security event 譯為“信息安全事件”，而information security incident譯為“信息安全事故”但是在GB/Z 20985—2007中，將information security event 譯為“信息安全事態(tài)”，而information security incident 譯為“信息安全事件”。雖然開始不習(xí)慣，但是也必須跟國家標(biāo)準(zhǔn)保持一致。

3.3 用詞力求準(zhǔn)確，避免產(chǎn)生可能的歧義

明確是為了防止模棱兩可，準(zhǔn)確則是為了防止產(chǎn)生歧義。例如，在GB/T 22080—2008/ISO/IEC 27001：2005部署之前，應(yīng)分析組織目前情況與標(biāo)準(zhǔn)之間的差距?！安罹唷币辉~，不夠準(zhǔn)確，這意味著組織實(shí)際的所有方面都沒有標(biāo)準(zhǔn)要求的好，但實(shí)際上，某些方面，組織的控制措施可能已經(jīng)超過了GB/T 22080—2008/ISO/IEC 27001：2005的要求，上句修正為“差異”則比較準(zhǔn)確。

在GB/T 1.1—2009的6.3.1.3強(qiáng)調(diào)了規(guī)范性技術(shù)要素的可證實(shí)性原則：不論標(biāo)準(zhǔn)的目的如何，標(biāo)準(zhǔn)中應(yīng)只列入那些能被證實(shí)的要求。標(biāo)準(zhǔn)中的要求應(yīng)定量并使用明確的數(shù)值表示，不應(yīng)僅使用定性的表述，如“足夠堅(jiān)固”或“適當(dāng)?shù)膹?qiáng)度”等。當(dāng)然，一個(gè)企業(yè)的制度不必一定達(dá)到GB/T 1.1—2009的要求。

3.4 表述要簡潔，刪除顯而易見的廢話

語言風(fēng)格力求簡潔、清晰易懂，防止過度解釋和循環(huán)解釋。例如，信息安全風(fēng)險(xiǎn)評(píng)估指的是評(píng)估信息安全的風(fēng)險(xiǎn)的系統(tǒng)化過程。這種解釋就是循環(huán)解釋。

語言啰嗦，在“標(biāo)準(zhǔn)式語言”中最為典型。由于英文中多用長句、從句、被動(dòng)語態(tài)等，在翻譯為漢語時(shí)，特別容易出現(xiàn)句式啰嗦的毛病，即便如此，對(duì)制度而言，只要能表達(dá)清楚意思，也是可以的。制度最忌諱的是“大話”和“空話”，在“規(guī)章式語言”中最容易出現(xiàn)這種情況，實(shí)際上“大話”和“空話”與“廢話”沒有本質(zhì)的區(qū)別，只是不一定“顯而易見”。

如果制度中的某些描述具備下面兩個(gè)特點(diǎn)，基本可以斷定為廢話：（1）總是立場(chǎng)正確。例如：所有的員工應(yīng)當(dāng)自覺保護(hù)組織的資產(chǎn)。該條款立場(chǎng)是正確的，但是沒有實(shí)際意義。（2）缺乏可操作性的步驟，將責(zé)任推給不可度量的員工行為。例如：員工帶出工作場(chǎng)所的移動(dòng)計(jì)算設(shè)備，嚴(yán)禁用于與工作無關(guān)的內(nèi)容，并負(fù)有對(duì)其中存儲(chǔ)內(nèi)容保密的義務(wù)。在該制度條款中，工作場(chǎng)所外的員工行為是很難度量的，該條款的目的是指出這樣的行為是不對(duì)的，使違規(guī)之后的懲罰有章可循，但即便如此，也很難在違規(guī)后果與移動(dòng)設(shè)備違規(guī)使用之間建立關(guān)聯(lián)。能度量和建立關(guān)聯(lián)的實(shí)際是員工對(duì)移動(dòng)設(shè)備的硬件保護(hù)。

3.5 保持相對(duì)穩(wěn)定，避免過度時(shí)效性的陳述

制度一旦發(fā)布，就要在一定的時(shí)間內(nèi)保持穩(wěn)定。再好的制度，一旦朝令夕改也很難起到預(yù)想的效果。例如，信息安全風(fēng)險(xiǎn)評(píng)估程序，如前文所述，風(fēng)險(xiǎn)評(píng)估程序并沒有絕對(duì)的好壞，結(jié)果也難分對(duì)錯(cuò)，最重要的是確定標(biāo)準(zhǔn)和程序之后持續(xù)改進(jìn)，從而使風(fēng)險(xiǎn)評(píng)估結(jié)果越來越接近組織的實(shí)際情況。如果經(jīng)常改動(dòng)信息安全風(fēng)險(xiǎn)評(píng)估程序，就會(huì)使得每次評(píng)估都是重新開始，大大降低了風(fēng)險(xiǎn)評(píng)估的客觀性。要想保持制度穩(wěn)定，首先要避免過度時(shí)效性的陳述。

[1]謝宗曉. 信息安全管理體系實(shí)施指南[M]. 北京：中國標(biāo)準(zhǔn)出版社，2012.

[2]李心陽，謝宗曉. 基于ISO/IEC 27001:2013的集團(tuán)企業(yè)信息安全管控設(shè)計(jì)[J]. 中國標(biāo)準(zhǔn)化，2015（01）.