信息安全潜规则：如何在安全和效益中找平衡点

社会主义好

信息化在一定程度上是企业信息由过去的传统纸介质走向电子化的过程，从而方便于企业信息共享、统计分析，最终成为企业运营管理决策的依据。信息安全就是在保障企业信息秘密的前提下，让信息发挥出最大化的效益。为此，要在信息安全和信息效益两者中找到平衡点。

　　理性对待信息安全

　　在企业的实际运营过程中，对待信息安全有两种现象：一是高层管理者谈安全色变，认为信息一旦电子化后，信息的安全性得不到保障。这已经成为阻碍信息化实施的一个“潜规则”；二是IT人员简单地认为，信息安全就是技术层次的问题，可以通过技术手段(例如防火墙、入侵检测等)解决，偏重于考虑网络安全，而没有真正领会到领导的痛处。


　　笔者认为，在对待信息安全方面，有以下几点需要明确：

　　1.持续性：要求我们关注技术的发展，关注传统信息安全与非传统信息安全的演变；

　　2.全面性：企业信息涵盖企业经营的方方面面，如产品配方、制造流程、生产工艺等，要关注信息流动的各个环节；

　　3.复杂性：持续性、全面性的特点也恰恰决定了信息安全的复杂性。运用社会工程学，从技术体系的运用到改进管理体制的不足，可以彻底解决信息安全的被动局面；

　　4.战略性：管理者对信息安全的认识与理解是解决信息安全问题的根本动力，对企业信息安全的实施要上升到企业竞争情报与企业商业秘密保护的高度。

　　在解决信息安全的道路上，管理是根本，技术是保障。企业应该从管理与技术两个层面来考虑信息安全问题。首先，应该从管理的战略高度上重视信息安全，把信息安全提高到企业商业秘密保护的高度上，例如在企业审计过程中进行信息安全的审计。在国际注册内部审计师认证考试中，信息系统的安全审计就是重要的一部分，包括对系统资源的管理和信息资源分级分类管理、信息系统账户的管理、安全事件的管理等。

　　其次，在技术层面，要利用相应的安全技术解决信息安全问题，这样才能让信息安全落地，如防火墙、入侵检测、传输安全、数据库安全、内部用户的上网行为管理等，并且需要动态地跟踪技术的进步。但技术不是目的，围绕业务保障应用安全，再进一步促进应用的拓展才是目的。

　　构建企业信息安全管理体系

　　在充分认识管理与技术关系的基础上，就需要从制度、流程、人三个方面构建企业信息安全管理体系。

　　1.加强信息安全意识的培训，首先是企业领导要认识到信息安全的重要性，还要对技术人员加强培训，统一认识。

　　2.配合着商业秘密保护，成立相应的专业机构，纳入公司整体的商业秘密保护工作中，同集团的管理机构相结合。

　　3.在具体工作上明确信息安全等级，根据各个应用系统的不同特点来定位需要哪种安全服务种类。并不是所有信息都要严格地实时传输，比如邮箱的信息在传输过程中可以有几个小时的中断，这就不一定都要采用最高安全级别，这样划分等级的话也可以降低企业在信息安全上的投资。

　　4.制定信息安全的管理制度。比如在为用户分配账户、密码的同时，可以再加上令牌、钥匙盘、key等硬件方面的认证手段，甚至配合级别更高的虚拟认证。另外，要制定健全的信息安全管理制度，为用户设置不同的权限，用户的账户密码必须在使用一定时间后进行修改。

　　5.在前面的基础上做好人员和技术上的预防措施。人员是实施信息安全的操作者，对人员的预防措施更要考虑周到；同时，还不能完全信赖技术，在采用一些技术手段的同时，还要做好最坏的打算，防患于未然。

　　由于缺乏专业的信息安全知识，企业的管理者与信息化部门不了解信息安全的威胁在哪里，所以就产生了信息安全风险评估的潜在需求，风险评估的必要性已经具备。对于信息安全风险评估的可行性，还需要在国家政策、行业标准、关键技术以及秘密保护(商业诚信)等方面进行推动。

　　企业信息安全管理体制的建立归根结底是要根据企业的应用需求，企业财务、销售、生产等不同流程的不同要求才是信息安全体制建立的最根本动力和目的。

　　督导落实信息安全

　　信息安全工作是企业商业秘密保护的重要组成部分，是一个涉及每个公司、每个部门甚至每个员工的系统工程。企业在制定完备的制度时，应加强对企业信息安全的督导和落实，根据企业各部门职责将专业指导分工与监督落实相结合。

　　根据各公司、各部门的职责分工为企业落实信息安全保护措施提供专业性指导，形成完整的商业秘密保护体系；与商业秘密保护相关的专业机构要加强监督检查，及时发现和分析企业商业秘密保护工作中出现的问题，对信息安全工作进行补充完善，并总结、推广先进的做法和成功的经验，努力探索企业商业秘密保护的有效途径。

　　审计部门要把信息安全工作(商业秘密保护工作)审计作为日常审计工作的内容之一，形成正式的审计报告，提交公司决策层、管理层，促进信息安全工作。