职责分离过程被识别为一种信息安全控制措施

职责分离是一种冲突的职责和冲突责任的领域被分离的控制，其目的是减少欺诈、差错或绕过信息安全措施的风险。

提到职责分离时，人们最先想到的是会计活动中的职责分离。作为一个会计术语时，职责分离是企业各业务部门及业务操作人员之间责任和权限的相互分离机制。其基本要求是，业务活动的核准、记录、经办及财物的保管应当尽可能做到相互独立，分别由专人负责。

在实现信息安全相关角色的职责分离时，企业往往也愿意延续从会计活动中取得的职责分离的成功经验，但继承这种经验并不容易。其一是信息安全相关的活动远比会计活动复杂，会受到企业内外部各种因素的影响。一家企业或许可以生搬硬套另一家企业的会计制度，却几乎不可能不做修改地采用另一家企业的信息安全规定或是信息系统中的安全配置。企业必须充分感知和理解其自身的业务环境，才能摸索出与其自身业务相匹配的职责分离原则。其二是随着越来越多的企业实现了信息化，职责分离从管理上的挑战转化为了一个信息系统中的技术问题。管理人员不懂系统权限，系统管理员不理解制度要求，是每个企业在其信息系统中实现职责分离时都需要克服的难题。只有同时在管理和信息系统中都实现职责分离，企业才能够满足信息安全管理体系对职责分离的要求。

很多认证组织对职责分离的理解还停留在浅层水平。这些企业意识到了需要设立分离的岗位和职责，却没有意识到职责分离的根本目的是分离那些组合授予员工后会产生高风险的权限。

这些认证组织在信息安全管理体系建立之初，做的第一件事就是重新给其下的每一个部门换一个名字，再给部门内指定的人员安上一个管理体系中需要的头衔。如果同时建立了多个管理体系，还可能会出现一个部门有许多叫法，一个人员背着多个头衔的情况。虽然看上去整个企业的组织架构更加“井然有序”了，但实际落在人员身上的职责并没有发生变化，组织内部的管理框架也没有得到提升，反而让认证组织误以为自己满足了要求，忽视了授予员工权限这件事本身所产生的风险。从结果上来说，管理体系的建立不仅没有让企业获得益处，反而让整个管理过程更加复杂和低效了。

在这些认证组织中，职责分离被简化成了“部门分工”或“岗位分工”。如此建立起来的信息安全管理体系通常会在以下方面表现出不足：

对于哪些管理或系统权限不能在同一时刻授予同一个员工，缺少明确的规定；

对于信息系系统中动态化的角色缺少权限控制能力；

缺少识别、预防和阻止其员工进行串通和共谋的管理和系统机制。

审核员在审核活动中也很少关注到这些不足。这些不足持续地留存于信息安全管理体系之中，最终对整个体系的有效性产生影响。正确的理解职责分离并将其实现，是消除这种不足的唯一方法。本文对职责分离和其从管理和信息系统两个角度的实现进行探析，并提出审核中的建议。