[突破信息安全潜规则]信息安全
在解决信息安全的道路上,管理是根本,技术是保障。只有从管理、制度、技术等多方面保障信息安全,才能充分发挥企业信息资产的最大价值。信息化在一定程度上是企业信息由过去的传统纸介质走向电子化的过程,从而方便于企业信息共享、统计分析,最终成为企业运营管理决策的依据。信息安全就是在保障企业信息秘密的前提下,让信息发挥出最大化的效益。为此,要在信息安全和信息效益两者中找到平衡点。
理性对待信息安全
在企业的实际运营过程中,对待信息安全有两种现象。一是高层管理者谈安全色变,认为信息一旦电子化后,信息的安全性得不到保障。这已经成为阻碍信息化实施的一个“潜规则”;二是it人员简单地认为,信息安全就是技术层次的问题,可以通过技术手段(例如防火墙、入侵检测等)解决,偏重于考虑网络安全,而没有真正领会到领导的痛处。
笔者认为,在对待信息安全方面,有以下几点需要明确:
1.持续性:要求我们关注技术的发展,关注传统信息安全与非传统信息安全的演变;
2.全面性:企业信息涵盖企业经营的方方面面,如产品配方、制造流程、生产工艺等,要关注信息流动的各个环节;
3.复杂性。持续性、全面性的特点也恰恰决定了信息安全的复杂性。运用社会工程学,从技术体系的运用到改进管理体制的不足,可以彻底解决信息安全的被动局面;
4.战略性。管理者对信息安全的认识与理解是解决信息安全问题的根本动力,对企业信息安全的实施要上升到企业竞争情报与企业商业秘密保护的高度。
在解决信息安全的道路上,管理是根本,技术是保障。企业应该从管理与技术两个层面来考虑信息安全问题。首先,应该从管理的战略高度上重视信息安全,把信息安全提高到企业商业秘密保护的高度上,例如在企业审计过程中进行信息安全的审计。在国际注册内部审计师认证考试中,信息系统的安全审计就是重要的一部分,包括对系统资源的管理和信息资源分级分类管理、信息系统账户的管理、安全事件的管理等。
其次,在技术层面,要利用相应的安全技术解决信息安全问题,这样才能让信息安全落地,如防火墙、入侵检测、传输安全、数据库安全、内部用户的上网行为管理等,并且需要动态地跟踪技术的进步。但技术不是目的,围绕业务保障应用安全,再进一步促进应用的拓展才是目的。
构建企业信息安全
此处内容需要权限查看
会员免费查看信息安全工作是企业商业秘密保护的重要组成部分,是一个涉及每个公司、每个部门甚至每个员工的系统工程。企业在制定完备的制度时,应加强对企业信息安全的督导和落实,根据企业各部门职责将专业指导分工与监督落实相结合。
根据各公司、各部门的职责分工为企业落实信息安全保护措施提供专业性指导,形成完整的商业秘密保护体系;与商业秘密保护相关的专业机构要加强监督检查,及时发现和分析企业商业秘密保护工作中出现的问题,对信息安全工作进行补充完善,并总结、推广先进的做法和成功的经验,努力探索企业商业秘密保护的有效途径。
审计部门要把信息安全工作(商业秘密保护工作)审计作为日常审计工作的内容之一,形成正式的审计报告,提交公司决策层、管理层,促进信息安全工作。