前言:中文期刊网精心挑选了企业信息安全重要性范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业信息安全重要性范文1
1企业管理中信息化安全的基本概述
所谓企业管理信息化指的是企业将计算机和互联网作为管理平台,在此基础上进行开发、生产等控制性的活动,旨在提升企业的运作效率和生产进度,从而提高企业内部的核心竞争力。虽然信息化在企业的管理上占有一定的优势,但是随着计算机病毒和互联网黑客的大肆盛行,在信息化大环境下的企业管理难免会出现一定的数据安全问题。信息化企业管理平台的安全与否直接关系到企业机密数据的安全问题。对于部分与外界互联网有链接的企业信息化管理平台,甚至可能会造成企业核心机密文件的丢失,从而给企业自身带来不可估量的损失。
2企业管理中信息化安全的重要方面
完善和健全企业管理的信息化平台是确保企业运行顺畅非常重要的一个关键性因素。相关企业信息化的管理层领导要切实从企业信息化的核心层面保障企业管理的信息化安全,这是非常重要和必要的。而在企业管理中信息化安全的重要方面主要分为三个方面。分别是运行管理小组、服务管理小组和用户管理小组。第一个是运行管理小组,所谓的运行管理小组,指得是要得以保证网络的顺畅运行,因此就要对企业网络上出现的以及即将出现的安全隐患要做到及时解决,从而保证企业网不间断的运行。面对十分严苛的企业信息化环境,运行小组要及时的对企业管理的网络平台进行监督和保护,并实时保证企业管理网络平台的运行顺畅,从而切实保障企业管理的顺利进行。第二个是服务管理小组,所谓的服务管理小组,指的是对企业管理网络平台服务层面上的管理,即对信息化服务中相关服务的运行、服务器硬件系统的运行以及安全事件进行统计分析。第三个是用户管理小组,负责企业管理网络平台的用户监控和管理,对网络平台上的用户行为进行合理的统计和分析,并对外来访客的身份进行识别和确认,从而进一步保证企业管理网络平台的信息化安全。企业管理网络平台作为企业信息化管理的基础性工具,是企业内部所建立的计算机互联网络。如果企业自身遍布世界各地,那么企业管理网络平台也会根据企业实际所在的地点形成不同的局域网。这些不同地区的局域网相互连接从而形成真正完整的企业管理网络平台。但这些连接也在无形之中给企业管理的信息化安全造成了一定的威胁。如果未经企业允许,私自接入企业网络的终端,便会对对企业网构成安全威胁。同时,网络平台的稳定性也会对企业数据的安全传输构成潜在威胁。
3企业管理中信息化安全的重要性
企业管理中信息化安全是企业网络安全稳定运行的重要基础,在企业管理的网络运行当中,无论是网络连接线路还是网络传输设备出现问题都会有备用的线路或者设备马上投入运行,从而确保企业管理核心数据的安全。再者,企业管理中的信息化安全能够对实时接入企业网络的用户进行实时的监督和控制,并且采用相关的网络技术手段防止不明身份访客的非法链接,对于未经允许进入的用户要能及时发现,并对其行为进行监测和控制,这也在一定程度上保证了企业管理中的信息化安全。总之,企业管理的信息化平台是企业的门户,因此要切实保证企业管理的信息化安全是十分重要和必要的。为此要做到以下几个方面:(1)对企业内部用户进行实时的监督和管理,对企业外网用户的进入行为进行实时监控和分析,一旦发现存有异常的非法违法行为要及时和制止和处理;(2)对病毒和非法内容要及时的进行过滤;(3)对异常的网络破坏行为,如黑客非法入侵、异常发送或接收相关数据等等,要及时进行相关的检测和控制。
4结束语
企业信息安全重要性范文2
信息时代的到来,给现代企业的发展注入了新的发展元素,强化信息化建设成为企业内部控制管理的重要内容。但是,企业具有趋利的天性,强调经济效益为导向下的企业发展模式,进而对信息安全建设落实不到位。首先,企业缺乏信息安全防范意识,主观能动性相对比较欠缺;其次,企业信息安全宣传教育工作疏于开展,导致企业职工在网络操作中,出现不规范的违法行为,进而为黑客及病毒的攻击创造了机会;再次,企业缺乏信息安全风险管理制度的建立,导致信息风险管理流于形式,无法满足企业信息安全发展的需求。
2应用系统安全性不高
企业信息化建设的实现,依托于各种应用系统的有效应用。但应用系统安全性不高等问题,在很大程度上影响了企业的信息安全。一方面,应用系统设计本身存在不足或安全漏洞,如数据传输、存储采用明文的方式。这样一来,数据极易被恶意软件、木马所窃取,实现非法访问,进而造成企业信息丢失或泄露等安全风险;另一方面,企业应用系统的安全防范模式相对比较单一,通过“口令”的认证模式,难以构建完备的安全防范。并且,企业职工在密码设置上,过于简单,且操作行为不规范,这也造成应用系统安全风险增加的重要因素。
3企业信息安全风险的控制策略
企业信息安全风险的控制,关键在于如何营造安全的信息环境、强化安全技术体系的构建,以及风险控制的制度建设,从本质上优化企业信息安全的内外环境。因此,企业可着力于以下几个方面,优化与调整企业信息风险控制的有效性。
3.1注重信息安全建设,设置安全管理机构
信息安全是企业信息化建设的重要基础,注重信息安全建设的狠抓落实,是企业强化内部控制管理的必然需求。当前,企业疏于信息安全管理工作的落实,导致企业所处于的信息环境“危机四伏”。因此,首先,企业应加信息安全纳入到安全管理之中,夯实信息安全建设管理的重要地位。其次,建立健全的安全责任制度,并逐步形成联动的信息安全管理机制,提高信息安全管理的有效性;再次,设置安全管理机构,负责企业信息安全的建设、管理,以及信息安全人员的教育培训等工作,为企业信息安全风险的控制创造良好的内部环境。
3.2强化防火墙设计,提高信息安全防范能力
当前,黑客攻击、木马入侵等在很大程度上增加了企业信息安全风险,不利于企业信息化建设的推进。因此,强化防火墙设计是提高企业信息安全防范能力的重要举措。一些企业在信息安全设备的应用过程中,存在不规范、错误使用的问题。不同功能、品牌的安全设备由于兼容性差,导致安全设备的安全防范能力下降。这就强调,企业在安全防范体系的构建中,要注重科学合理原则,针对企业信息安全建设的需求,做到体系的完备性与安全性。例如,企业在信息安全风险防范体系的构建中,可以引入终端安全管理系统。在这方面,杀毒软件公司瑞星是典型的案例。瑞星公司在其终端安全管理体系的构建中,使用了“统一系统平台+独立功能模块”的设计理念,具体如图2所示。这样一来,不仅提高了企业信息安全防范体系的构建,而且优化了企业信息系统运行的环境。
3.3提高信息安全意识,规范操作行为
良好的主观能动性是提高企业信息安全风险控制的重要基础。首先,企业要强化安全管理人员的安全意识,规范并引导其管理工作的有效落实。尤其是在管理工作中,严格依照相关的规章制度进行,避免人为管理或操作不当,而造成信息安全问题;其次,积极推进企业安全文化建设,为信息安全风险控制的落实创造良好的内部环境。企业职工认识到信息安全的重要性,潜移默化中规范并引导职工规范信息操作;再次,做好信息设备的维护与保护等工作。一方面,要对企业的电脑等设备进行防雷、防磁等保护,让机械设备处于良好的环境下运行;另一方面,不定期开展设备维护工作,以便于及时发现问题、解决问题。
4结束语
企业信息安全重要性范文3
1企业信息安全相关概述
1.1信息安全的含义
迄今为止,对信息安全依然没有一个统一和公认的定义。但是从国内外研究来看,对其主要存在2种说法:一种指的是具体信息安全技术系统的安全;而另一种则指的是某些特定的信息体系的安全。上述2种定义主要站在静态的角度上阐述了信息安全的基本层面,但是信息系统和网络的影响决定了信息安全是一个动态的改变,其主要是防止企业信息遭到恶意泄露、破坏、更改[1]。信息安全的最终目的是向合法的对象提供安全、可靠的信息。
1.2信息安全在企业中发挥的重要作用
企业信息作为企业的宝贵资源,保证企业信息的安全性对企业的生存和发展具有重要作用,主要体现在以下3个方面:一是企业信息安全是保障企业正常运行的基本前提。在网络时代背景下,企业信息安全的内容更广泛,再加上现代企业制度的不断建立和完善,越来越多的企业依靠信息数据库开展各项工作,例如:对于市场情况的分析、做出重大决策等等。二是保障企业信息安全是提高企业市场竞争力的必备条件。随着市场经济的不断完善,企业面临的竞争也越来越激烈,在这种形势下,企业要想获取市场竞争优势就需要依靠信息安全来实现。三是企业信息安全作为企业发展战略中重要的组成部分,而企业实施各项战略主要是通过自身的经营活动、财务信息等开展的,这些数据也能够将企业的战略实施方法以及下一步计划详细地反应出来,因此,如果企业的信息安全无法得到保障,那么企业要实施各项战略难度也很大。
2网络时代下企业信息安全风险分析
2.1缺乏高度的信息安全风险意识
在网络时代的浪潮下,很多企业都在逐步加强自身信息安全的建设,通过加大资金投入、创新技术等措施来保障自身的信息安全,然而,对信息风险的控制并非仅仅依靠技术就可以实现,更重要的是人们要树立起信息安全的风险意识。但是从当前来看,还有很大一部分企业的领导者、管理者、员工缺乏对信息安全风险的高度重视,主要表现在:个别人甚至片面地认为信息安全仅仅是网络部门的责任,跟自身没有多大关系;二是有个别企业领导者认为对信息安全的宣传过度夸张,遭受网络攻击的概率小,一般不会发生在自己身上;三是个别企业没有建立信息安全风险管理体系,再加上企业缺乏具体的故障系统,导致企业信息安全遭到风险时,员工往往手足无措,虽说有些企业针对自身的信息安全制定了一系列规章和制度,但是由于缺乏针对性和操作性,导致这些制度无法得到真正落实。
2.2应用系统的安全性不高
企业要实现信息化建设的目的,少不了各种应用系统作支撑,但是从实际情况来看,很多企业还存在着应用系统的安全性不高等问题,进而导致企业在数据传输和存储等方面存在漏洞。如此容易被一些病毒、恶意软件窃取,实现非法访问,进而引发企业信息丢失或者泄露等安全风险。另外,很多企业应用系统的安全方模式也较为单一,绝大部分主要是采用“口令”的方式进行认证,无法实现对信息安全全方位的防范。另外,企业设置的密码过于简单、操作不规范等等都会增加应用系统安全的风险。
2.3技术设备和设施的作用发挥不足
个别企业为了防范信息安全风险,针对一些重要信息设置了安全设备,但是由于操作条件和参数设施不够合理,无法将这些设备的作用充分发挥出来。还有很多企业没有通过建立工作日志来对安全设备、设施的运行情况进行监控,进而不能根据企业的经营情况对信息安全进行风险控制,更无法采取有效措施保障企业风险管理。
3网络时代下控制企业信息安全风险途径分析
3.1加强信息安全教育,提高信息安全风险意识
由于在企业信息安全控制中,提高员工的信息安全意识是保证企业信息安全的决定性因素,因此,企业应该加强对员工的信息安全教育,帮助员工树立起信息安全风险意识,例如:企业可以利用一些重大节日开展关于信息安全的演讲比赛、征文比赛,也可以通过建立适当的激励制度以及开展培训活动等途径来加强员工对信息安全重要性的认识,进而提高自身的信息安全风险防范意识和观念。
3.2加强信息化建设,设置信息安全管理部门
在企业信息化建设中,信息安全作为重要的基础,企业要强化自身的内部控制,就应该落实信息安全的建设工作。加强信息化建设首先需要企业将信息安全纳入安全管理范围内,进而突出信息安全建设管理的重要地位;然后不断健全信息安全的责任制度,争取形成信息安全联动管理机制,确保信息安全管理的有效性;最后,在企业中设置信息安全管理机构,该部分的主要职能为企业信息安全建设、管理以及员工的信息安全教育培训工作等,从而为企业的信息安全风险控制创建一个良好的内部环境[2]。
3.3运用新技术,加强信息安全风险防范
当前控制信息安全风险常见的主要有VPN技术和防火墙技术:(1)VPN技术。VPN主要指的是在公共网络的虚拟专用网络中建立一个临时的安全链接,在通常情况下,对VPN内部进行扩展可以实现远程操作,建立一条分公司、商业合作商和供应商跟公司内部网络安全联系,从而确保信息交换的安全性,保证数据传输的安全性。(2)防火墙技术。防火墙也被称为访问控制系统,主要是通过对网络做拓扑结构和服务类型上的隔离来保障网络安全。运用防火墙技术可以保证企业的内部网络免受外部网络的侵占,并阻断非法访问的外部网络进入企业内部网络,保证企业信息和资源的安全。
4结语
企业信息安全重要性范文4
[关键词]企业安全;信息管理;设计;实现
doi:10.3969/j.issn.1673-0194.2015.08.057
[中图分类号]TP311.52 [文献标识码]A [文章编号]1673-0194(2015)08-0075-02
近年来,企业安全事故层出不穷,信息安全引起了越来越多企业管理者的重视,成为各个企业不容忽视的关键问题。为了加强企业信息安全,不少企业开始设立独立部门对企业的信息安全进行专业管理,并开始培养专业的信息安全管理人才。
1 企业安全信息管理平台的问题
1.1 安全意识不强
企业要重视信息安全并实施管控,信息安全管理的成败取决于员工的安全意识。人员安全意识欠缺,导致政令不通,监督不力,执行不畅,往往导致信息外泄、系统故障等安全事故。只有树立直接执行人员牢固的信息安全意识,形成企业安全文化,企业信息安全才能真正长治久安。员工信息安全意识的提升并非一日之功,也不是通过简单的一两次培训就能奏效,而是一项持续的、长期的、有计划的、多种方式并用的综合性工作。信息安全意识提升面向企业广泛的受众,其内容涵盖信息安全相关各个领域,重点针对员工日常工作和个人行为,关注各种可能因个人行为不当或警惕性不强而引发的信息安全隐患和事故。由于目标对象的不同,信息安全意识提升内容会呈现出不同的形式、程度,从简洁明了的宣传语,到浅显易懂的安全提示,再到全面具体的安全手册,建立企业专门的信息安全知识库,满足不同方面和不同层次的需要。
1.2 缺乏专业人才
随着经济社会的不断发展,企业对于信息安全管理人才的需求也越来越大。任何组织都是由人组成的,没有人才,组织就不能取得长远发展,更谈不上不断进步和自我完善。企业的发展需要不断补充新的人才。对于多数企业来说,信息安全管理人员的素质决定了单位能否长远发展。信息安全管理是最近几年才兴起的,很多企业还没有配备相关人才,不少高校也尚未开展相关专业,培养信息安全管理方面的人才,国家对于信息安全管理专业的投入也不够。社会整体尚未形成重视信息安全管理的氛围。目前,不少企业的信息安全管理人员十分匮乏,很多企业没有专门的信息安全管理机构,因此也没有配备相应的信息安全管理人员。只有少数企业认识到信息安全管理的重要性,设立了相应的信息安全管理机构。但在这些企业当中,多数企业的信息安全管理机构十分简陋,相关设备也不够健全,专业人员的配备也存在缺失,有的企业虽然配备有信息安全管理人员,但这些人员多数没有接受过系统的知识培训,经验不够丰富,责任心不强,不能履行信息安全管理人员的基本职责。信息安全管理人员素质不高和专业人才的缺失,是企业的发展的阻碍,严重影响了企业的长远发展。
1.3 监管制度缺失
完善、科学的信息安全监管制度对于企业的发展具有十分重要的意义和作用。行为规范制度是指导工作人员进行相关操作的准则和办法,只有建立一套系统的信息安全监管制度,才能规范信息安全管理人员的行为,使操作有据可依,信息安全管理人员对自身行为负起责任。目前我国信息安全管理制度仍不健全,不少企业没有建立起一套完善的内部控制制度,使得很多行为没有操作依据,信息安全管理人员的行为无法有效约束,出现了许多不负责任的行为。这些行为不仅阻碍了企业的发展,也影响了企业的声誉,不利于后续工作的开展。因此,必须建立健全企业信息安全监管制度,为企业后续活动的开展提供保障。
1.4 管理技术落后
信息安全管理需要先进的管理技术和安全技术,为信息安全管理提供有力的技术支持。企业在发展过程中,开发了一系列信息安全管理技术和管理技巧,发挥了一定的作用。但随着经济社会的发展和科技的日新月异,不少技术已经无法跟上时代步伐,很多技术面临淘汰。这些管理技巧不但不能给企业带来益处,反而有可能影响企业的信息安全。因此必须紧跟时代步伐,了解最新的信息安全管理技巧,结合企业实际情况,开发符合时代要求的管理技巧。同时,积极了解最新科技动态,将适合于本企业的技术运用到企业的信息安全管理过程中。
2 如何完善企业安全信息管理平台设计
2.1 增强信息安全管理意识
提高信息安全管理意识是完善企业信息安全管理的重要前提和关键因素。只要具备良好的内部安全控制意识,才能顺利开展后续工作。企业管理者必须深切意识到信息安全管理对于企业发展的重要性和必要性,加大投资力度,及时发现企业信息安全管理中存在的问题和不足。必须加强对企业信息安全管理的重视,切实意识到信息安全管理对于企业发展的重要性,加大资金投入,确保企业信息安全管理良好运作。
2.2 加强人员的素质培训
人才对于企事业单位的发展具有不容忽视的作用。单位的竞争归根结底是人才的竞争。信息安全管理人员的素质对于企业的发展具有重要作用,具有良好素质的信息安全管理人员可以促进企业的快速发展。企业必须重视对信息安全管理人员的培训和投资。信息安全管理人员的投资包括设备的更新,资金的投入和专业教育的提升。同时,要鼓励信息安全管理人员学习最新的信息安全知识,不断更新已有知识,紧跟时代的步伐。企业不仅要注重提高信息安全管理人员的专业素养,也要重视对企业信息安全管理人员的道德培养。只有专业知识而缺乏道德素养的工作人员,不仅不能给企业带来效益,反而会危害企业发展,因此必须重视企业信息安全管理人员的道德素养。信息安全必须不断加强对信息安全管理人员的培训,切实全面提高信息安全管理人员素质,增强信息安全管理人员灵活处理各项事务的能力,不断巩固自身基础知识,培养信息安全管理人员的责任心和创新精神,真正做到与时俱进。只有不断提升企业的信息安全管理人员素质,才能从整体上提升企事业单位的安全管理工作效率,促进企业的长远发展。
2.3 强化信息安全监督管理
监督工作对于企业的发展具有重要作用和意义。良好的监督是企事业单位正常活动的前提。没有完善的监督体系,企事业单位很难确保业务的正常开展。企事业单位应强化信息安全监督工作,建立相应的监督管理机构,对企业内部各项经济活动进行有计划地控制,及时发现企事业单位存在的问题,同时应加强信息安全管理工作,不断提升工作效率。凡事预则立,不预则废。除了做好信息安全管理的内部监督工作外,不断加强信息安全管理的外部监督工作也是十分重要的环节。外部监督主要包括新闻媒体监督和社会大众监督。企事业单位管理者要认识到内部管理的不足之处,认真改正有缺陷的地方,不断完善内部控制建设。同时,也要不断加强新闻媒体的监督作用,发挥舆论的监督作用。内部控制是一项巨大的完整的工程,具有完善的体系和结构,必须保证每个环节落实到位,才能确保整个体系的良性运行,从而发挥出最大的效益。
2.4 提高信息安全管理技巧
除此之外,信息安全管理技巧对于企事业单位的发展具有重要意义。不同的控制技巧适用于不同的企事业单位,也会产生不同的效果。企事业单位采取适合本单位的内部控制技巧,可以提高企事业单位的行政效率。随着时代的发展和进步,传统的信息安全管理技巧已经不适用于现代企业。因此,企业必须根据时代的发展,提升自身信息安全管理技巧,摒弃旧有落后工作模式。另外,在实施信息安全管理技巧时,必须考虑到事业单位的实际运作情况,切忌生搬硬套。应根据企事业单位的具体情况,有针对性地提高信息安全管理的技巧,逐步解决企事业单位在实施信息安全管理时遇到的难题。
主要参考文献
[1]侯卫超.企业信息安全现状分析与管理对策[J].科技信息:科学教研,2007(28).
[2]王超,林峰.高校校园网络安全管理策略[J].科技资讯,2007(20).
企业信息安全重要性范文5
【关键词】 信息系统; 审计; 审计目标
2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》,加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异,导致了企业信息系统审计与公共部门信息系统审计的不同特点。
一、增强国有企业信息系统的可信性
审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定,审计机关对国有企业财务收支的真实、合法、效益,依法进行审计监督。显然,真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标,决定了国有企业信息系统审计的目标。国有企业审计的真实性目标,必然要求国有企业信息系统提供真实性的信息,这意味着,审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。
根据相关法律的规定,注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定,“公司应当在每一会计年度终了时编制财务会计报告,并依法经会计师事务所审计。”而且,2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定,“履行出资人职责的机构根据需要,可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计,或者通过国有资本控股公司的股东会、股东大会决议,由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计,维护出资人权益。”大家知道,依据注册会计师执业审计准则的规定,会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明,注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的,因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标,决定了注册会计师对国有企业信息系统审计的可信性目标。
同样的审计对象,不同的审计主体,导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现,无论是审计机关还是注册会计师对国有企业进行审计,其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定,审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则,对国有企业信息系统审计的目标是可信性。那么,什么是真实性?什么是可信性?这两种目标之间有什么样的联系和区别?为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢?
(一)真实性与可信性的基本涵义
我国审计法强调真实性,根据2010年9月颁布的中华人民共和国国家审计准则(以下简称国家审计准则)的规定,“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么,什么是真实性呢?真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的,但是不够完整或者披露不及时,仍然不能满足信息使用者的需要,甚至会导致错误的投资决策。事实上,就真实性本身而言,由于会计估计、核算方法等因素的影响,会计信息的真实性也只是相对的,而不是绝对的。所以,把真实性作为审计目标,具有一定的局限性。所谓可信性,从国际审计准则第200号(ISA200)可以看出,当编制的财务报表公允表达(presented fairly)或真实公允(true and fair)时,它才是可信性的。从字面上讲,公允(fair)或公平的要求,强调了财务报表各种使用者之间的利益平衡。从理论上讲,公允表达或真实公允的概念比真实性概念具有更多的内涵,涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号(ISA200)中,公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制,“公允”还意味着超出财务报告框架所要求披露范围的必要性,以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架,主要是指适用的会计法律法规、会计准则、会计制度等。大家知道,我国会计法强调“保证会计资料真实、完整”。根据会计法的要求,我国的财务报表不仅要具有真实性,而且还要具有完整性。总的来说,可信性并不否认真实性,真实性是可信性的必要前提之一,但真实的并不一定是可信的,可信性的内涵更加丰富,真实性是对财务信息质量的最低要求,可信性反映了对财务信息质量更高的要求。
(二)可信性目标反映了注册会计师审计发展的新阶段
一般认为,受社会需求变化、自身技术手段及审计风险等因素的影响,注册会计师审计目标的发展演变至今经历了四个阶段,即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段,及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标,然而从历史发展演变的角度看,真实性只是注册会计师审计的早期目标,当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展,是更高级发展阶段的目标。
(三)可信性目标比“真实公允”具有更加广泛的适用性
20世纪90年代后期,传统的财务报表审计成为更为广义的概念――“保证业务”(Assurance Service)的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》,2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》,2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式,主要包括:当鉴证对象为财务业绩或状况时(如历史或预测的财务状况、经营成果和现金流量),鉴证对象信息是财务报表;当鉴证对象为非财务业绩或状况时(如企业的运营情况),鉴证对象信息可能是反映效率或效果的关键指标;当鉴证对象为物理特征时(如设备的生产能力),鉴证对象信息可能是有关鉴证对象物理特征的说明文件;当鉴证对象为某种系统和过程时(如企业的内部控制或信息技术系统),鉴证对象信息可能是关于其有效性的认定;当鉴证对象为一种行为时(如遵守法律法规的情况),鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出,传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同,也从财务报表审计中按照适用的财务报表编制框架,如编制财务报表所使用的会计准则和相关会计制度,扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看,鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标,可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性,而且还适用于非财务信息(绩效信息)的可信性。对财务报表来说,如果它是真实公允的,即在所有重大方面是按照适用的财务报表框架编制的,它就是可信性;对于其他鉴证信息来说,如果它是符合适用的鉴证标准,就是可信性的。企业内部的信息系统,现在已不仅仅是财务信息系统,还包括各种业务和管理信息系统。与此同时,为满足企业的业务需求,信息系统所提供的信息也不局限于财务信息,而且还包括许多非财务信息。所以,在国有企业信息系统审计中,把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。
(四)可信性目标反映了审计理论的深化和发展
可信性不是一个孤立的术语,它是新审计理论(或一组新的相互联系的审计概念)中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务,传统的审计理论也得到了深化和发展。大家知道,审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论,即审计动因论,是建立在传统的审计三方关系之上的。然而,在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系,即注册会计师、责任方和预期使用者。在新的审计三方关系中,被审计人与审计授权或委托人之间责任关系的含义更加丰富,除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中,预期使用者应包括企业所有的利益相关者,除了传统受托责任关系中的股东外,还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表,但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系,可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性,实际上是减少了信息提供者与预期使用者之间的信息不对称,鉴于预期使用者的广泛性,在市场经济条件下,将有利于完善市场机制,提高市场资源配置效率,从而拓展了审计的社会功能。可信性不是一个空洞的概念,鉴证对象信息是否具有可信性,需要执行一定的业务程序。审计师在收集证据的基础上,依据一定的标准,检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后,才能为鉴证对象信息的可信性提供一定程度的保证,从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证,鉴证对象信息被划分为财务信息和非财务信息,其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一,相比之下,真实性概念在新的审计理论中却没有相应的理论地位。
(五)可信性目标反映了国家审计的发展趋势
在世界审计组织(INTOSAI)的道德准则(Code of Ethics)中,强调了信赖(trust)、信任(confidence)、信誉(credibility)对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言:“Auditing to build public confidence”,即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出,要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出,国家审计是国家治理的一个组成部分。孔子曰:“足食,足兵,民信之矣”,“民无信不立”,说明了信任、守信在国家治理中的重要性。我们知道,“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力,增强整个社会的诚信。从国家治理的角度看,可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。
经过上述真实性和可信性两种审计目标含义的对比,不难发现,虽然真实性目标是国有企业审计的传统目标之一,但是可信性比真实性的涵义更为丰富,可信性目标中不但包含了真实性目标,而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求,国家审计对信息质量的要求不应低于注册会计师审计。因此,笔者认为,尽管现行的审计法规定了国有企业信息系统审计的真实性目标,但是,从理论上讲以及从未来发展趋势看,审计机关应当选择可信性作为国有企业信息系统审计的目标,即国有企业信息系统审计应当促进企业信息系统提供可信的信息。
二、促进国有企业信息系统的遵循性
最高审计机关国际组织(INTOSAI)在审计基本原则(ISSAI-100)中,把政府审计业务分为两大类,即合规审计(regularity audit)和绩效审计(performance audit),并制定了相应的审计执行指南,即财务审计执行指南(Implementation Guidelines on Financial Audit)、遵循审计执行指南(implementation guidelines on compliance audit)和绩效审计执行指南(Implementation Guidelines on Performance Audit)。在这个准则指南框架中,合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》(ISA250)中,非遵循(non-compliance),是指被审计单位不履行法律法规责任或者违反法律法规的犯罪,故意地或者非故意地,与执行的法律或法规对立的行为。在COSO内部控制框架中,遵循性(compliance)作为内部控制的目标之一,是指符合适用的法律法规。由此看来,在上述准则指南中,遵循性,就是我国国家审计中的合法性。但是,在本文中,作为国有企业信息系统审计的目标之一,遵循性与合法性不同。
为满足业务需求,对信息系统提供的信息有一般性的要求,在IT治理框架COBIT4.1中,这些要求也被称之为信息标准(information criteria)。遵循性(compliance)作为其中的标准之一,是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性,即外部的强制要求和内部政策的遵循性。”⑤在本文中,遵循性作为国有企业信息系统审计的目标之一,采用COBIT4.1中遵循性的概念,即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求(合法性),而且还应符合国有企业内部制定的各种规定的要求。
我国审计机关对国有企业的财务收支的真实、合法和效益,依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容,信息系统审计应当促进国有企业信息系统的合法性。那么,为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢?企业内部如何制定关于其信息系统的规定是企业自己的事情,似乎审计机关不应干预,但是,效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益,这些内部规定,如内部控制、管理和治理等,也应纳入国有企业信息系统审计的遵循性目标范围。
三、改善国有企业信息系统的绩效性
绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务,为开展信息系统绩效审计提供了审计标准。
(一)企业信息系统绩效性的概念
当企业信息化发展水平达到一定程度后,信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段,信息系统主要应用于企业的财务会计领域,这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题,相应的措施主要集中在内部控制方面,强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高,信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域,与此同时,信息系统的建设投入和运行成本显著提高。这时人们发现,大量的信息化投入并不一定能够带来预期的收益,而且还带来巨大的潜在风险,个别企业甚至因高投入造成利润下降或财务危机,有的企业因业务流程改造滞后,还会导致管理混乱。在这种情况下,人们对信息系统关注的焦点,逐渐从“投入”转向“产出”,从技术和内部控制问题转向管理和治理问题,在企业内部出现了专门的IT管理部门,IT管理和IT治理逐渐从企业的一般管理和治理中独立出来,而“绩效”是描述信息系统投入产出、管理和治理的核心概念。
信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源,通过IT流程,提供企业信息服务,以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。
(二)绩效性目标的可行性
从我国企业信息化发展阶段看,目前信息系统的绩效问题已经成为关注的焦点。2011年2月,工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段,分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段,如图1所示。
该报告认为,目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是,2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面,企业基本完成了信息技术在各业务领域的应用覆盖,已逐渐开始深度关注企业业务发展需求,着力提升信息技术的应用价值。”提高信息系统的绩效,也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标,符合我国企业信息化发展的现状,在现实中具有可行性。
(三)绩效性是IT管理和IT治理的重要内容
IT管理目的在于如何降低成本,以更好的弹性及更快的响应速度,向组织内外部顾客提供高质量的IT服务,提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性,即经济性、效率性和效果性。
信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500(组织的信息技术治理)中规定了“绩效”原则,即IT应适合于支持组织的目的并提供服务,服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征:以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中,绩效测评是IT治理的关键,并且指出,“多项调研已经表明,IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域,提高透明度主要通过绩效测评来实现。”⑥
(四)绩效审计的参照标准
IT管理和IT治理从企业管理和治理中独立出来,为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样,企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务,则为开展信息系统绩效审计提供了审计标准,也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有:ISO/1EC20000(信息技术――服务管理)、ITIL(信息技术基础库)、ISO/IEC38500(组织的信息技术治理)、COBIT4.1(信息及其相关技术控制目标)等。
四、维护国有企业信息系统的安全性
维护国有企业信息系统的安全,对于维护国家经济安全至关重要。随着信息技术的发展和应用,人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义,对于开展信息系统安全性审计具有重要的意义。
(一)安全性目标的重要性
根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》,维护计算机信息系统的安全性,就是要保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行⑦。从这里可以看出,信息系统的安全包括:信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言,信息是核心,系统设施设备及其运行环境是保障,信息本身的安全是目的,系统设施设备的安全及其运行环境的安全是手段。
国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行,2010年12月,公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计,截至2010年5月,已有89.6%的中央企业开展了信息安全等级保护工作,中央企业总计建成投入使用的信息系统有16 092个,已定级14 539个,占比90.3%;应向公安机关备案的系统(二级及以上)有11 370个,已备案8 113个,占应备案系统的71.4%;列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%,第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明,国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定,“国家采取措施,推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中,优化国有经济布局和结构,推进国有企业的改革和发展,提高国有经济的整体素质,增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域,如电信、电力、石油、石化等重要行业,其重要信息系统已成为国家关键基础设施,是国民经济命脉之命脉,保护国有企业信息系统的安全稳定运行,对于维护国家经济安全和社会稳定具有重要的意义。
(二)信息安全概念的演变
根据我国计算机信息系统安全保护条例中的定义,计算机信息系统的安全性,包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中,信息本身的安全,即信息安全,是信息系统安全的核心和目的。那么,究竟什么是信息安全呢?
人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐渐被普遍接受。在2002年的国际标准ISO/IEC17799:2000《信息技术――信息安全管理业务规范》中明确规定,信息安全,是指保护:“保密性(confidentiality),即确保信息只能够由获得授权的人访问;完整性(integrity),即保护信息的正确性和完整性以及信息处理方法;可用性(availability),即保证经授权的用户可以访问到信息,如果需要的话,还能够访问相关资产。”然而,在2005年的该国际标准修订版即ISO/IEC17799:2005中,信息安全的定义,包括了七种安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他属性,如真实性(authenticity)、责任性(accountability)、不可抵赖性(non-repudiation)、可靠性(reliability)等,而且,这种修订后的信息安全定义,被2007年的国际标准ISO/IEC27001(《信息安全管理体系――规范与使用指南》)引用。在学术界,有人认为,信息安全的特性还应进一步包括可控性(controllability)、可预测性(predictability)、可审计性(auditability)、遵循性(compliance)等。
随着信息技术的发展与应用,信息安全的内涵越来越丰富,从最初的信息保密性发展到保密性、完整性和可用性,进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地,对企业信息安全的考虑,也从最初关注企业信息安全技术层面,发展到关注企业信息安全控制、管理和治理等层面。
(三)正确理解信息安全涵义需要注意的几个问题
1.信息安全与信息保密不同。从信息安全概念的涵义可以看出,信息保密与信息安全是两个不同的概念,信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定,但是保密法不能代替信息安全法。目前,我国对信息安全的立法仍然比较滞后,尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。
2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑,系统环境包括物理环境和社会环境。从社会环境看,主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说,微观层面单个组织的信息系统安全,还离不开宏观层面国家信息安全保障体系的构建。与此同时,微观层面的信息安全是基础,没有微观层面的信息安全,也就没有宏观层面的信息安全。
3.授权管理的重要性。信息安全的概念有三个核心涵义:保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素,即“授权”。保密性意味着只有获得授权才能访问;完整性意味着没有授权不得对信息进行删除或修改;可用性意味着拥有授权者随时可以使用。这表明,授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统,授权管理主要涉及对人员行为的安全管理。
4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出,信息系统的安全性目标不同于其遵循性、绩效性和可信性目标,但是,安全性与它们之间又是相互联系的。首先,安全性必须满足遵循性的要求,信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下,特别是各种信息安全法律法规、保密法,以及知识产权、个人隐私权方面的法律法规;其次,信息安全没有绝对的安全,所有的信息安全都是风险可接受条件下的安全,高水平的安全保护需要大量的投入成本,因而需要在成本、收益、风险和安全之间进行权衡,即安全性与绩效性的联系;最后,在信息安全技术层面,可信计算技术是信息安全技术的一个重要研究领域,从而表明安全性与可信性之间也有内在的联系。
笔者认为,目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准,无论是在理论概念还是在操作实务方面,对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准,同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时,在对国有企业信息系统的安全性进行审计时,还要立足我国实际,由于我国国有企业信息系统是国民经济命脉之命脉,事关国家经济安全和社会稳定,在重视企业本身信息系统安全的同时,还应当从宏观上揭示国有企业信息系统的安全风险,维护国家经济安全。
最后应当指出的是,在审计实践中,根据具体情况,单个审计项目可以选取上述可信性、绩效性和安全性目标中的一个或多个作为审计目标。
企业信息安全重要性范文6
关键词:信息安全;现状;策略
信息安全管理已经成为企业加强信息化进程以及提高企业管理水平的一项重要内容,它是确保企业信息管理系统高效运行,促进企业健康、稳定发展的一个重要前提。近几年来,随着ERP在企业中的投入使用,使企业的信息化工作内容得以拓展,企业对信息系统的安全性也日益关注,怎样保证信息系统的安全、高效,已经成为摆在各个企业面前的一项重要课题。
1.信息安全管理意义
1.1信息安全是企业实现可持续发展的需要
随着计算机网络技术的普及应用,如何确保涉及到企业经营发展的各种信息、资料的安全性,已经成为企业必须要解决的一个问题。现阶段,大多数企业的数据信息,甚至是关系到企业战略规划的重要信息,都是以电子文件的形式进行保存的,对于企业来说,这些信息如果泄露、丢失或者遭到恶意破坏,其后果是不堪设想的。因此,企业必须要具有预见性与前瞻性,要站在战略发展的高度来看待信息安全问题,必须建立起一套操作性强的防范机制,要从操作系统、芯片技术以及网络建设等方面入手,就安全保障体系进行积极构建。
1.2信息安全是实现企业平稳、健康发展的前提
现阶段,我国企业的信息安全建设,还没有形成一个成熟,可供广泛借鉴的安全体系,同时基础也相对薄弱,这些问题都亟待解决。而且信息安全已经成为关系企业未来发展的一个重要问题,我们必须要认清加强企业信息安全建设的紧迫性,要从维护企业利益的角度来看待信息安全建设问题,做好基础设施的建设工作,以及信息安全体系的构建工作,实现企业的平稳、健康发展。
1.3信息安全是知识经济时展的需要
计算机网络技术的普及应用,使得企业内部各部门之间的信息交换,以及企业对外部信息的获取日益频繁,这也令企业对网络技术愈加依赖,计算机网络技术对整个商业运作方式也带来了巨大的影响,从而出现了电子商务,也对企业生产方式、经营理念,产生了巨大的冲击,推动了企业发展以及现代经营理念的构建。但是,信息的安全问题也日益突出,比如信息在存储、处理以及传输过程中经常存在着被非法截取、恶意破坏以及篡改的现象。所以,信息安全是知识经济时代这一大背景下,企业发展必须要解决的问题。
2.信息安全管理的现状
2.1信息管理的安全意识方面
人员、机器设备、原材料、制度是一个企业在进行生产经营时不可缺少的几个基本要素,随着知识经济的到来,信息的重要性日益受到企业管理界的认同,信息也理所当然的成为生产经营过程中,不可或缺的一个非常重要的因素。但是就目前的企业对信息安全管理的重视程度来看,远远还不够,忽视对企业内部各种信息资产的保护,其结果必然会为企业带来无法估计的损失,因此,企业必须要提高对信息管理安全系统的认识,积极构建、完善这一系统,保证企业信息的安全。
2.2网络协议方面
我们在对计算机信息系统进行安全维护时,保证网络协议的安全是维护系统安全的一个重要问题,但是计算机系统的部分协议,比如TCP/IP 协议,这部分协议以及其构架通常也是在因特网上进行共享的,这样必然会为系统的安全埋下隐患。而且这也是计算机信息系统安全构成威胁的一个主要来源,而它对计算机系统的破坏是巨大的。所以,我们在对计算机信息系统进行维护时,必须要关注到这一点,杜绝类似事件的发生。现阶段,注意网络不明信息、非法访问以及网络协议等对系统安全构成威胁的问题,是确保信息传送过程安全性的重要前提,是我们在构建企业信息网络系统时,必须要考虑的问题。
2.3信息安全产品本身存在的问题
通常情况下,多数企业在建设信息管理系统的同时,也采用了相关的信息安全产品。如果信息安全产品本身存在着漏洞的话,这必然会直接导致企业信息系统安全机制的失效。但是计算机系统的安全隐患绝不局限于产品本身存在的缺陷,如果信息安全产品本身是完善的,不存在着任何缺陷与隐患,但是我们在使用产品的过程中,会因为用户配置、操作上的失误,或者对产品安全性能不够了解,使其性能降低,而起不到保护系统安全的作用也是有可能的。
2.4资金投入不够
我国企业想要对信息安全系统进行构建,就必须投入大量的资金,同时还要吸引IT人才,加入到信息安全系统建设团队。但是就目前我国信息安全系统构建的现状来看,还有很多不如人意的在方,尤其是在资金投入方面,一个项目如果缺少资金投入,那么一切都是空谈。笔者在实际工作中发现,有些企业非常重视硬件设备的投入,但软件投入比较滞后,这就使硬件部分强大的功能无法得到充分发挥。
3.加强信息安全管理的策略
3.1提高信息管理的安全意识
随着计算机网络技术的快速发展,网络犯罪有逐年上升的趋势,电脑病毒、网络黑客对计算机系统的攻击与日俱增,企业必须出于自身利益的考虑,来加强信息安全管理方面的建设,首先要从加大宣传,提高安全意识方面入手。企业可以定期举行有关信息管理安全意识方面的讲座、报告以及相关的培训教育工作,使领导干部、普通员工提高对信息管理安全的重视程度,使安全防范意识深入人心,这样有利于加强信息安全管理工作的全面展开。
3.2设计加密体制对系统进行保护
当今社会是一个信息化程度高度发达的社会,人们利用互联网对信息进行收集、整理、分析、处理的程度越来越高,这样必然会导致信息安全方面存在着一定的隐患,如果我们不采取有效措施加以防范,一旦发生问题,对企业造成的危害是无法想象的。针对网络所存在的安全隐患,我们可以采用加密系统对网内数据、文档以及口令进行保护。如此一来,我们在网上进行数据传送的过程,也更具针对性。加密管理过程,通常分为链路加密、节点加密与端点加密三个种类,我们可以根据企业的实际需求进行选择。
3.3加强系统软件方面的建设
一般来说,计算机无论使用哪一种版本的操作系统,都会存在着一定的安全隐患,这个世界没有十全十美的东西,我们对操作系统也不能苛求太多。因此,这就需要我们采取积 极、有效的措施来提高系统的安全性,以期对操作系统进行很好的维护。比如对数据库软件、计算信息管理软件进行更新,终端操作系统要与数据库操作系统在版本上要统一,这样可以便于管理,提高信息管理系统的防御能力。
3.4增加企业信息安全建设的投入
信息化已经成为社会发展的一个主流趋势,企业必须要借助好这个“东风”,来加强自身的信息安全建设。任何一个项目的启动,都离不开资金的投入,企业必须为信息安全建设提供物质基础,比如购置专用服务器、软件以及将IT资产外包等等,保证信息安全建设的顺利完成。
4.总结:
综上所述,信息安全对企业的发展有着非常重大的意义,它不但是企业自身实现可持续发展的需要,也是知识经济时代背景下,企业的必然选择,我们可以从提高信息管理的安全意识;设计加密体制对系统进行保护;加强系统软件方面的建设;增加企业信息安全建设的投入等方面入手,加强企业信息安全管理方面的建设。
参考文献:
[1]姜桦,郭永利.企业信息安全策略研究[J].焦作大学学报,2009,(01) .