（一）职责

职责是职务上应尽的责任。在组织的管理活动中，我们提到职责，通常指的是某一项员工需要完成的工作。

（二）角色

需要完成的工作多种多样，职责也就多种多样。依照工作流程的不同，有些职责相似并关联在一起，有些职责之间却彼此独立；根据完成工作所需能力的不同，有些职责需要的能力接近，有些职责却需要具备特殊的专业能力。依据这些同异，职责得以被再次整理和分类。相似的、关联的、所需能力接近的职责被集中起来形成了一个合集，这个合集就叫做角色。

例如，GB/T 22080-2016/ISO/IEC 27001：2013标准正文条款5.1 领导和承诺中，描述了对最高管理层的领导和承诺的要求。最高管理层是一个角色，该角色就是信息安全管理体系中领导和承诺这两大种类职责的合集。

5.1 领导和承诺

a）确保建立了信息安全策略和信息安全目标，并与组织战略方向一致；

b）确保将信息安全管理体系要求整合到组织过程中；

c）确保信息安全管理体系所需资源可用；

d）沟通有效的信息安全管理及符合信息安全管理体系要求的重要性；

e）确保信息安全管理体系达到预期结果；

f）指导并支持相关人员为信息安全管理体系的有效性做出贡献；

g）促进持续改进；

h）支持其他相关管理角色，以证实他们的领导按角色应用于其责任范围。

静态的、具象化的角色也叫做岗位，关联着固定的业务、具体的工作范围和明确的职责。例如，总经理就是一个与最高管理层对应的岗位。具象化的最高管理层角色就是总经理，抽象化的总经理岗位就是最高管理层。

动态角色与岗位互补，有着抽象化、时限性的特点，总是随着事件的出现开始，随着事件的结束而终止。例如在某个部门的审批流程中，流程开始时，部门经理会被分配审批人的角色，在流程结束后，该角色也随之消失。

（三）权限

权限是实现控制时所需的权力。这种权力可能是参与某一项活动的能力，例如只有运维人员有权力去调整内部网络或系统的配置，也可能是对某一项事务进行决策的能力，例如岗位增减的议案是由人事经理拟定的。

在《自由与权力》一书中，阿克顿说：“权力导致腐败，绝对权力绝对地导致腐败”。这一观点在信息安全管理体系中同样适用，分配给员工过多的权限会增加内部威胁分子攻击的风险。怀有恶意的员工可能会窃取客户的个人或重要数据用于营利；心怀不满的员工可能会主动地向竞争对手泄露组织的战略计划或重要数据，或受到收买故意损坏组织的信息资产。

如果所有的员工都忠诚可信，组织就不用再担心来自员工的主动、恶意的攻击，但内部的威胁依然没有消失。安全意识薄弱的员工有时会无意地违反规则，例如不安全地共享文件、不安全地使用无线网络、将信息发布到讨论板和博客、打补丁不当、忽视安全策略、通过电子邮件和即时通讯（IM）泄露公司数据等，给企业带来潜在的威胁。

为了应对这些威胁，组织需要控制授予其员工的权限，尤其是那些组合之后会使员工具有进行欺诈行为能力的组合。授予权限是为了让员工履行职责的必要条件，如果我们不希望员工取得某些权限的组合，就意味着这名员工不可能履行某些职责的组合。反过来，我们也可以利用这种权限和职责间的关系。如果我们能够主动分离某些职责的组合，我们就可以避免必须授予员工我们不希望他们获得的权限，即通过职责分离实现权限分离。

为了能够更好地表述这种分离，我们做出以下定义：

互斥权限——任意两个不相同的权限如果同时授予一个员工，使员工具有足够权力可以独立进行欺诈行为，则将这两个权限称为互斥权限。

冲突职责——对于任意两个互不相同的职责，如果其中一个职责的某一权限与另一个职责的某一权限互斥，则这两个职责称为冲突职责。

互斥角色——对于任意两个互不相同的角色，如果其中一个角色的某一职责与另一个角色的某一职责冲突，则这两个角色称为互斥角色。

在管理中实现职责分离的活动可以归纳总结为以下的步骤：

识别所有职责，这通常需要组织详尽地感知和梳理其业务过程；

识别履行每一个职责所必需授予的权限；

 分析、评价不同权限组合的风险，识别不能授予同一员工的权限组合（互斥权限）；

依照职责和履行职责所必需的权限的对应关系，识别需要分离的职责（冲突职责）；

基于业务过程的需要，将职责组合成角色；

如果角色中包含冲突职责，则将角色分成更多的小角色，确保冲突的职责被分离；

为每一个互斥角色指派一个不同的员工。

角色的分离实现职责的分离，职责的分离实现权限的分离。角色是职责的合集，只要确保一个角色中不包含冲突职责，就可以保证将角色授予员工时，不会授予员工我们不希望他们拥有的权限组合。在这种情况下，员工仍有可能通过获得多个角色来获得分布在不同角色中的冲突职责，所以还需要通过向互斥角色指派不同的人员来对角色进行二次的分离。

审核员在审核管理中心的职责分离时，应确保认证组织完成了图1所示的相关活动。其中，图1步骤①~③是对职责和权限的识别，也是认证组织实现职责分离时最困难的部分。审核员在审核中宜着重关注以下方面，来判断认证组织实现相关步骤的情况：

（一）认证组织是否完整识别了所有职责和其所必需的权限

能完整地识别职责和权限是将它们分离的基础。认证组织实现精细化的管理，需要具有详尽感知和梳理其业务过程的能力。这往往不能一蹴而就，需要员工在日常活动中观察和总结，根据其工作实际需要不断修改和完善。

（二）认证组织是否正确地识别了互斥权限

互斥权限的识别水平决定了组织是否能实现职责分离的预期结果。未能识别的互斥权限往往意味着潜在的内部员工风险。可能互斥的权限总体上可以分为5类：授权权限、执行权限、记录权限、资产管理权限和监察审计权限。这5类权限两两互斥，同时授予员工两种以上的权限会显著增加权限滥用的风险，最终偏离信息安全管理体系的预期结果。例如，如果同时授予一名员工监察审计权限和执行权限，监察审计活动的输出结果就丧失了可信性。如果最高管理层采信此时的审计报告并做出决策，这种决策往往对管理不仅无益而且有害。

ISO/IEC 27002：2022 《信息安全、网络安全与隐私保护——信息安全控制》标准中给出了在进行信息安全相关的职责分离时，一些可能需要分离的活动示例：

发起、批准和执行变更；

请求、批准和实施访问的权限；

设计、实施和审查代码；

开发软件和管理生产系统；

使用和管理应用程序；

使用应用程序和管理数据库；

设计、审计和确保信息安全控制。

（三）单一职责中是否包含互斥权限

如果一个职责划分的范围过大，会出现这个职责本身就需要一组互斥权限来满足的情况，从而影响职责分离的预期效果。此时，需要对较大的职责进行拆分，将一个较大的职责细分为若干较小的职责。进行这种拆分时，可以考虑以下的拆分原则：

顺序拆分——将职责按照各过程的顺序拆分；

空间拆分——将职责按照活动场所拆分；

要素拆分——将职责按照成功履行的要素拆分；

权限拆分——将职责按照所需权限的不同拆分。

随着信息化发展的不断深入，职责分离被不断地固化入日常的办公系统之中，转化为信息系统中的一个技术问题。

在信息系统中，职责分离是信息系统访问控制的一部分。人员作为用户登入系统，并按照预先分配给他们的权限访问相应的资源。信息系统通过权限的分离，确保没有人员能够在不被发觉的情况下滥用其权力实现欺诈或实施有害的行为。不管信息系统如何实现其访问控制，信息系统中职责分离的核心都是不能将互斥权限授予同一个用户，防止用户获得更多的权力。

在信息系统中实现职责分离与在管理中实现职责分离的思路相近，但一些概念发生了变化。比如，在管理中，权限的分离是通过职责的分离实现的，职责的分离则通过角色的分离实现。但在信息系统中，权限的分离是直接通过角色的分离实现的。又如，在管理中我们使用员工的概念，并为互斥角色分配不同的员工。但在信息系统中，我们使用用户的概念替代了员工，为互斥角色分配不同的用户。为了更好地描述信息系统中的职责分离，我们使用以下的定义：

互斥权限——在信息系统中，任意两个不相同的权限如果同时授予一个用户，使用户具有足够权力可以独立进行欺诈行为，则将这两个权限视为互斥权限；

互斥用户——在信息系统中，拥有足够权限并可能合伙欺诈的两个用户称为互斥用户；

互斥角色——在信息系统中，对于任意两个互不相同的角色，如果其中一个角色的某一权限与另一个角色的某一权限互斥，则这两个角色称为互斥角色。

目前，使用最广泛的访问控制模型依然是基于角色的访问控制（RBAC）模型，如图2。

RBAC模型主要包含4个子模型，分别是RBAC0、RBAC1、RBAC2和RBAC3。这4个子模型合称RBAC96模型族，在1996年由拉维·桑德胡（Ravi Sandhu）教授在乔治梅林大学（George Mason University）任职期间提出。4个模型之间的关系如表1所示。

其中，RBAC2子模型专门用于处理RBAC中的职责分离。在该RBAC模型中，职责分离被划分为静态职责分离和动态职责分离两种。

静态职责分离是在用户和角色的指派阶段加入的分离原则，主要的约束形式有以下几种：

互斥角色——一个用户只能分配一对或一组互斥角色中的其中一个；

基数约束——一个用户可以拥有的角色数量受限；一个角色拥有的用户数量受限；一个角色拥有的权限数目受限；

先决条件角色——想要分配用户某一个角色，用户必须已经被分配了另一个角色。

动态职责分离是在系统运行过程中加入的分离原则，表现为用户可以被分配一对互斥的角色，但运行时只能激活其中一个角色。

信息系统中职责分离体现为一系列固化在系统中的授权规则。审核员在审核信息系统中的职责分离时，应关注信息系统中职责分离的实现是否与管理中策划的一致。

审核员在审核中宜关注认证组织所使用的信息系统是否满足以下方面的要求，以消除职责分离风险：

管理中识别的互斥权限不能授予同一个信息系统中用户；

管理中识别的互斥权限不能同时授予信息系统中的互斥用户；

管理中识别的互斥权限不能同时授予信息系统中的同一个角色；

信息系统中的任何（一个）用户不能同时拥有管理中识别的互斥角色；

信息系统中的互斥用户不能同时拥有管理中识别的互斥角色；

管理中识别的任何互斥角色在信息系统中均没有继承关系；

信息系统中的任何角色不能多重继承管理中识别的互斥角色；

一个信息系统中的角色如果继承了管理中识别的互斥角色的某一方，则该角色应与另一方也互斥。

在实践过程中，许多小型企业可能会发现职责的分离很难实现。例如，一家小型企业可能仅有能力聘用一到两位具有专业信息安全技术能力的员工。在这种情况下，为了保障内部系统持续稳定地运行，这家企业是很难避免授权一名员工从头至尾包办某一项运维活动的。

此时，组织可以考虑采用其他的控制措施来减轻潜在的风险和可能招致的损失。比如，企业可以采取“双人原则”作为对职责分离的互补，要求任何有潜在重大影响的行动必须在有两个授权人员同时在场的时候才能够进行。又比如，组织可以要求对超级权限的所有操作和活动进行记录，并审计这些操作和活动是否有异常，以确保员工不会滥用其权限。当然，这要求组织至少要实现审计方面的职责分离。

即便困难，企业仍应尽可能且切实可行地尝试去实践职责分离这一原则，小型企业尤其如此，因为它们比大中型企业更难以承受由此带来的风险。

呼和浩特 两化融合 绿色建材 知识产权 认证 咨询 高新技术 碳中和  iOS 管理体系 商标