（一）職責

職責是職務上應盡的責任。在組織的管理活動中，我們提到職責，通常指的是某一項員工需要完成的工作。

（二）角色

需要完成的工作多種多樣，職責也就多種多樣。依照工作流程的不同，有些職責相似并關聯在一起，有些職責之間卻彼此獨立；根據完成工作所需能力的不同，有些職責需要的能力接近，有些職責卻需要具備特殊的專業能力。依據這些同異，職責得以被再次整理和分類。相似的、關聯的、所需能力接近的職責被集中起來形成了一個合集，這個合集就叫做角色。

例如，GB/T 22080-2016/ISO/IEC 27001：2013標準正文條款5.1 領導和承諾中，描述了對最高管理層的領導和承諾的要求。最高管理層是一個角色，該角色就是信息安全管理體系中領導和承諾這兩大種類職責的合集。

5.1 領導和承諾

a）確保建立了信息安全策略和信息安全目標，并與組織戰略方向一致；

b）確保將信息安全管理體系要求整合到組織過程中；

c）確保信息安全管理體系所需資源可用；

d）溝通有效的信息安全管理及符合信息安全管理體系要求的重要性；

e）確保信息安全管理體系達到預期結果；

f）指導并支持相關人員為信息安全管理體系的有效性做出貢獻；

g）促進持續改進；

h）支持其他相關管理角色，以證實他們的領導按角色應用于其責任范圍。

靜態的、具象化的角色也叫做崗位，關聯著固定的業務、具體的工作范圍和明確的職責。例如，總經理就是一個與最高管理層對應的崗位。具象化的最高管理層角色就是總經理，抽象化的總經理崗位就是最高管理層。

動態角色與崗位互補，有著抽象化、時限性的特點，總是隨著事件的出現開始，隨著事件的結束而終止。例如在某個部門的審批流程中，流程開始時，部門經理會被分配審批人的角色，在流程結束后，該角色也隨之消失。

（三）權限

權限是實現控制時所需的權力。這種權力可能是參與某一項活動的能力，例如只有運維人員有權力去調整內部網絡或系統的配置，也可能是對某一項事務進行決策的能力，例如崗位增減的議案是由人事經理擬定的。

在《自由與權力》一書中，阿克頓說：“權力導致腐敗，絕對權力絕對地導致腐敗”。這一觀點在信息安全管理體系中同樣適用，分配給員工過多的權限會增加內部威脅分子攻擊的風險。懷有惡意的員工可能會竊取客戶的個人或重要數據用于營利；心懷不滿的員工可能會主動地向競爭對手泄露組織的戰略計劃或重要數據，或受到收買故意損壞組織的信息資產。

如果所有的員工都忠誠可信，組織就不用再擔心來自員工的主動、惡意的攻擊，但內部的威脅依然沒有消失。安全意識薄弱的員工有時會無意地違反規則，例如不安全地共享文件、不安全地使用無線網絡、將信息發布到討論板和博客、打補丁不當、忽視安全策略、通過電子郵件和即時通訊（IM）泄露公司數據等，給企業帶來潛在的威脅。

為了應對這些威脅，組織需要控制授予其員工的權限，尤其是那些組合之后會使員工具有進行欺詐行為能力的組合。授予權限是為了讓員工履行職責的必要條件，如果我們不希望員工取得某些權限的組合，就意味著這名員工不可能履行某些職責的組合。反過來，我們也可以利用這種權限和職責間的關系。如果我們能夠主動分離某些職責的組合，我們就可以避免必須授予員工我們不希望他們獲得的權限，即通過職責分離實現權限分離。

為了能夠更好地表述這種分離，我們做出以下定義：

互斥權限——任意兩個不相同的權限如果同時授予一個員工，使員工具有足夠權力可以獨立進行欺詐行為，則將這兩個權限稱為互斥權限。

沖突職責——對于任意兩個互不相同的職責，如果其中一個職責的某一權限與另一個職責的某一權限互斥，則這兩個職責稱為沖突職責。

互斥角色——對于任意兩個互不相同的角色，如果其中一個角色的某一職責與另一個角色的某一職責沖突，則這兩個角色稱為互斥角色。

在管理中實現職責分離的活動可以歸納總結為以下的步驟：

識別所有職責，這通常需要組織詳盡地感知和梳理其業務過程；

識別履行每一個職責所必需授予的權限；

 分析、評價不同權限組合的風險，識別不能授予同一員工的權限組合（互斥權限）；

依照職責和履行職責所必需的權限的對應關系，識別需要分離的職責（沖突職責）；

基于業務過程的需要，將職責組合成角色；

如果角色中包含沖突職責，則將角色分成更多的小角色，確保沖突的職責被分離；

為每一個互斥角色指派一個不同的員工。

角色的分離實現職責的分離，職責的分離實現權限的分離。角色是職責的合集，只要確保一個角色中不包含沖突職責，就可以保證將角色授予員工時，不會授予員工我們不希望他們擁有的權限組合。在這種情況下，員工仍有可能通過獲得多個角色來獲得分布在不同角色中的沖突職責，所以還需要通過向互斥角色指派不同的人員來對角色進行二次的分離。

審核員在審核管理中心的職責分離時，應確保認證組織完成了圖1所示的相關活動。其中，圖1步驟①~③是對職責和權限的識別，也是認證組織實現職責分離時最困難的部分。審核員在審核中宜著重關注以下方面，來判斷認證組織實現相關步驟的情況：

（一）認證組織是否完整識別了所有職責和其所必需的權限

能完整地識別職責和權限是將它們分離的基礎。認證組織實現精細化的管理，需要具有詳盡感知和梳理其業務過程的能力。這往往不能一蹴而就，需要員工在日?；顒又杏^察和總結，根據其工作實際需要不斷修改和完善。

（二）認證組織是否正確地識別了互斥權限

互斥權限的識別水平決定了組織是否能實現職責分離的預期結果。未能識別的互斥權限往往意味著潛在的內部員工風險?？赡芑コ獾臋嘞蘅傮w上可以分為5類：授權權限、執行權限、記錄權限、資產管理權限和監察審計權限。這5類權限兩兩互斥，同時授予員工兩種以上的權限會顯著增加權限濫用的風險，最終偏離信息安全管理體系的預期結果。例如，如果同時授予一名員工監察審計權限和執行權限，監察審計活動的輸出結果就喪失了可信性。如果最高管理層采信此時的審計報告并做出決策，這種決策往往對管理不僅無益而且有害。

ISO/IEC 27002：2022 《信息安全、網絡安全與隱私保護——信息安全控制》標準中給出了在進行信息安全相關的職責分離時，一些可能需要分離的活動示例：

發起、批準和執行變更；

請求、批準和實施訪問的權限；

設計、實施和審查代碼；

開發軟件和管理生產系統；

使用和管理應用程序；

使用應用程序和管理數據庫；

設計、審計和確保信息安全控制。

（三）單一職責中是否包含互斥權限

如果一個職責劃分的范圍過大，會出現這個職責本身就需要一組互斥權限來滿足的情況，從而影響職責分離的預期效果。此時，需要對較大的職責進行拆分，將一個較大的職責細分為若干較小的職責。進行這種拆分時，可以考慮以下的拆分原則：

順序拆分——將職責按照各過程的順序拆分；

空間拆分——將職責按照活動場所拆分；

要素拆分——將職責按照成功履行的要素拆分；

權限拆分——將職責按照所需權限的不同拆分。

隨著信息化發展的不斷深入，職責分離被不斷地固化入日常的辦公系統之中，轉化為信息系統中的一個技術問題。

在信息系統中，職責分離是信息系統訪問控制的一部分。人員作為用戶登入系統，并按照預先分配給他們的權限訪問相應的資源。信息系統通過權限的分離，確保沒有人員能夠在不被發覺的情況下濫用其權力實現欺詐或實施有害的行為。不管信息系統如何實現其訪問控制，信息系統中職責分離的核心都是不能將互斥權限授予同一個用戶，防止用戶獲得更多的權力。

在信息系統中實現職責分離與在管理中實現職責分離的思路相近，但一些概念發生了變化。比如，在管理中，權限的分離是通過職責的分離實現的，職責的分離則通過角色的分離實現。但在信息系統中，權限的分離是直接通過角色的分離實現的。又如，在管理中我們使用員工的概念，并為互斥角色分配不同的員工。但在信息系統中，我們使用用戶的概念替代了員工，為互斥角色分配不同的用戶。為了更好地描述信息系統中的職責分離，我們使用以下的定義：

互斥權限——在信息系統中，任意兩個不相同的權限如果同時授予一個用戶，使用戶具有足夠權力可以獨立進行欺詐行為，則將這兩個權限視為互斥權限；

互斥用戶——在信息系統中，擁有足夠權限并可能合伙欺詐的兩個用戶稱為互斥用戶；

互斥角色——在信息系統中，對于任意兩個互不相同的角色，如果其中一個角色的某一權限與另一個角色的某一權限互斥，則這兩個角色稱為互斥角色。

目前，使用最廣泛的訪問控制模型依然是基于角色的訪問控制（RBAC）模型，如圖2。

RBAC模型主要包含4個子模型，分別是RBAC0、RBAC1、RBAC2和RBAC3。這4個子模型合稱RBAC96模型族，在1996年由拉維·桑德胡（Ravi Sandhu）教授在喬治梅林大學（George Mason University）任職期間提出。4個模型之間的關系如表1所示。

其中，RBAC2子模型專門用于處理RBAC中的職責分離。在該RBAC模型中，職責分離被劃分為靜態職責分離和動態職責分離兩種。

靜態職責分離是在用戶和角色的指派階段加入的分離原則，主要的約束形式有以下幾種：

互斥角色——一個用戶只能分配一對或一組互斥角色中的其中一個；

基數約束——一個用戶可以擁有的角色數量受限；一個角色擁有的用戶數量受限；一個角色擁有的權限數目受限；

先決條件角色——想要分配用戶某一個角色，用戶必須已經被分配了另一個角色。

動態職責分離是在系統運行過程中加入的分離原則，表現為用戶可以被分配一對互斥的角色，但運行時只能激活其中一個角色。

信息系統中職責分離體現為一系列固化在系統中的授權規則。審核員在審核信息系統中的職責分離時，應關注信息系統中職責分離的實現是否與管理中策劃的一致。

審核員在審核中宜關注認證組織所使用的信息系統是否滿足以下方面的要求，以消除職責分離風險：

管理中識別的互斥權限不能授予同一個信息系統中用戶；

管理中識別的互斥權限不能同時授予信息系統中的互斥用戶；

管理中識別的互斥權限不能同時授予信息系統中的同一個角色；

信息系統中的任何（一個）用戶不能同時擁有管理中識別的互斥角色；

信息系統中的互斥用戶不能同時擁有管理中識別的互斥角色；

管理中識別的任何互斥角色在信息系統中均沒有繼承關系；

信息系統中的任何角色不能多重繼承管理中識別的互斥角色；

一個信息系統中的角色如果繼承了管理中識別的互斥角色的某一方，則該角色應與另一方也互斥。

在實踐過程中，許多小型企業可能會發現職責的分離很難實現。例如，一家小型企業可能僅有能力聘用一到兩位具有專業信息安全技術能力的員工。在這種情況下，為了保障內部系統持續穩定地運行，這家企業是很難避免授權一名員工從頭至尾包辦某一項運維活動的。

此時，組織可以考慮采用其他的控制措施來減輕潛在的風險和可能招致的損失。比如，企業可以采取“雙人原則”作為對職責分離的互補，要求任何有潛在重大影響的行動必須在有兩個授權人員同時在場的時候才能夠進行。又比如，組織可以要求對超級權限的所有操作和活動進行記錄，并審計這些操作和活動是否有異常，以確保員工不會濫用其權限。當然，這要求組織至少要實現審計方面的職責分離。

即便困難，企業仍應盡可能且切實可行地嘗試去實踐職責分離這一原則，小型企業尤其如此，因為它們比大中型企業更難以承受由此帶來的風險。

呼和浩特 兩化融合 綠色建材 知識產權 認證 咨詢 高新技術 碳中和  iOS 管理體系 商標