从审计角度浅谈审计在激发员工信息安全意识方面的重要性
2014-03-20王家忠
王家忠
摘要:人们传递信息的工具在不断地增加。随着传播速度的加快和网罗度不断提高,人们对信息传递过程中的保密性也产生了质疑。尤其是对于商业机密的问题,关系到员工的素质,而最主要的就是对员工的思想认识的审计。所以本文试着以审计对信息安全问题的影响为重点,具体分析产生信息安全问题的原因并提出相应的建议。
关键词:审计角度 员工 信息安全意识
随着信息科学技术在当前企事业单位的广泛运用,在生产率的提高上以及总产值的增加上是显而易见的。同时也大幅度地减少了劳动时间,降低了劳动成本。信息技术对于我们越来越重要。根据马克思的观点,凡事都有两面性。信息安全问题正在不断地影响着我们的日常生活,甚至是防不胜防,所以目前的主要工作就是找出问题的症结所在,分析存在的原因,并且做好预防的工作。
信息是一种资产,是企业总资产和个人隐私的重要载体,是企业或者组织进行正常商务活动或者是管理的不可或缺的财富。信息安全在当前社会中的重要性越来越大,从宏观上讲,信息安全关系到国家的稳定;信息安全关系到组织机构的正常运作与持续发展;从微观上来说,信息安全能够保护个人隐私,关系到个人财产。
一、信息安全的内涵
信息安全有广义和狭义之分。从广义上讲,主要指在一定领域范围内,涉及到信息的保密性、可用性以及完整性、真实性、可控性等的相关理论和技术。从狭义上说,信息安全就是系统的硬件、软件以及数据的保护,预防系统和数据遭到破坏和更改,保证系统连续可靠正常地运行。信息安全可以分为两个层面,意识技术层面,防止外部用户的非法入侵;在管理层面,主要是对内部员工进行管理和培训。
当前的某些企事业单位,尤其是具有高度机密性的银行、保险等单位,他们的办公电脑设备容易成为黑客的目标并且在预防性方面仍旧存在着严重的情况。从总体上来说,信息安全问题比较普遍,并且也不是大多数企业的主要责任,他们忙于自身的关键业务,忙于市场调查,在计算机安全管理以及员工的安全意识执行力上没有过多的关注。首先,员工经常会出现在电脑上一键下载某些浏览器和办公软件,并且毫无警惕的意识,在没有相关技术人员的指导下,没有在电脑上安装阻止病毒或非法侵入的软件,又或者是病毒库没有及时更新,甚或是下载安装了不安全的软件和与工作关系不大的非授权软件;其次,对于存有机密的电脑,没有设置相应的密码,如开机密码、用户登录密码、屏保密码等等,这就增加了外界对该台电脑的入侵程度,又或者是密码设置得过于简单,要么是六个“1”,要么是六个“8”,又或者是生日、电话号码,这些都很容易被猜中;再次,没有设置相应的局域网。在某些单位,例如法院、公安局等,有些涉及到管理对象的身份信息,不能没有采取措施就直接接入互联网或者是身份不明的网站;最后一个问题是,部分员工平时没有养成良好的习惯,在下班时间忘记关电脑,随意借给别人使用,或者是设备随意乱放。
二、审计对信息安全问题的影响
我们把矛头指向了员工,是因为员工作为信息的拥有者,具有对保密性信息进行维护的义务。可以分析为员工不懂得识别信息安全风险,或者是对培训的内容和公司的制度没有认真履行,或者是相关监督部门的问题,没有做好审计工作,对于出现问题的职员没有采取有效的措施进行惩罚和遏制。但是究其根源,是员工的信息安全意识浅薄的问题。
审计对信息安全有什么影响呢?我觉得影响是多方面的:第一,如果将员工的信息安全意识问题引入到审计工作事项中,企业就会加强员工信息安全意识方面的培训,许多员工就能认识到信息安全问题的重要性。否则,他们可能处于企业的底层,没有涉及到企业的最终利益,没有深刻体会到,一个职员的行为会牵扯到一个公司的命运,没有深刻意识到,整体可能会受到局部的影响。他们可能会看到技术部通报说:公司存在客户资料泄密、黑客入侵以及机构的主机瘫痪等现象,但是在他们身上发生的很少,员工觉得这种事情的责任不会落在自己身上;第二,如果将员工的信息安全意识问题引入到审计工作事项中,信息安全的隐性价值就能更好的得到体现。信息安全是一件比较隐性的东西,它比较抽象,不能量化、直观地展示在员工面前,同时员工的受教育程度也是不同的,他们对这些问题的认识可能不会感同身受;第三,如果将员工的信息安全意识问题引入到审计工作事项中,信息安全的观念在员工中就会得到更好的传递。可能只在职工入职时,在培训课上稍微提了一下,在之后的工作中没有做好强调的工作。正因为缺乏了持续深入的信息安全传导,或者是传导的形式太刻板,没有深入员工的内心,导致员工对信息安全问题的认识是“仁者见仁,智者见智”,有些先入为主地以为这些高技术的问题由技术部解决就可以了。
三、在审计报告中,应对员工信息安全意识方面的问题多提建议
从以上内容可知,从审计的角度来提高员工信息安全意识是非常必要的。目前的信息技术是无孔不入,已经渗透到了银行、医院的各个层面,就连取票排号都是高度的自动化。同时,信息也逐渐地成为了各个企业的重要资产,特别是在金融管理领域,安全问题事关重大。一旦发生,后果不堪设想。因此,各个企业纷纷制定出相应的制度,以建立健全的信息安全体系,强化信息资产的保护。例如银行,银业员是政策、流程以及制度的具体执行者,他们的执行力直接影响到信息资产,影响到信息安全管理。
(一)在审计建议中,应将员工的信息安全意识教育与培训方面的问题考虑在内
培训和教育可以是事前的工作,也是事后的弥补工作。由于审计部门对信息安全问题比较熟悉,关注信息安全的重要性,审计人员现身说法能够得到良好的效果,所以在审计建议中,可以考虑把这些知识引入到教育与培训中。采用的教育方式可以是灵活的,比如可以是集中培训和在线培训相结合,减少时间成本,可以制作公司内部的宣传册,可以在公司的主页上多设置相关的内容。同时,有必要的话可以加入一些案例,使得分析结果更加透明和形象,对员工的说服力也更高。
(二)在审计建议中,应将员工的信息安全意识约束机制方面的问题考虑在内
众所周知,每个企业都有自己的企业文化以及品牌形象。一个企业只有拥有了企业文化,才能拧成一股绳朝着一个方向不断地努力。信息安全意识本身就是一个企业的重要内容。在信息泛滥的今天,如果快速、准确地做好决策也需要对你信息的正确有效地收集和保存。如果将信息安全文化的观念植入员工的内心,就能快速地提高其文化认同感和增强自身的责任感。因此,员工需要与公司签订相关的信息安全保证协议,以此作为公司和员工双方遵守约定的凭证,并把它当作员工的信用档案存入员工的人事档案中,在一定程度上,限制员工的胡作非为和随意散漫的行为。让员工从入职开始就意识到信息安全就在身边,意识到“保护信息安全,从我做起”,从而促使员工加强思想重视。
(三)在审计建议中,应将对员工的监督控制考虑在内
审计工作应当始终贯穿于公司的管理过程中,包括领导层面的计划、组织、指挥、领导,也包括对员工的管理过程中。审计的方法可以是多方面的。不可失阶段性的审计,可以是定期的审查,可以是突击检查。这些审计的意识一旦在员工心中形成固定的模式,他们也就会认真地去执行,久而久之,这些意识就会在潜移默化中影响到员工个人。[3]审计工作进行过程中,如果发现有问题,不能睁一只眼闭一只眼,需要严格督促其改正,同时对于严重违规或者是舞弊的行为给公司,给银行造成经济损失的,要追求他们的相关责任。
四、结束语
总而言之,审计对于信息安全非常重要,许多企业领导需要高度重视,信息安全问题涉及到每一个企业员工的具体工作,信息安全问题是企业文化建设的一个重要问题。领导者除了要抓好技术部门和信息安全部门的保密工作外,还要意识到员工的信息安全意识薄弱也是企业信息泄密或者是企业存在安全隐患的重要一环。
参考文献:
[1]万建辉.信息系统信息安全风险评估管理[J].通讯学报,2012(10)
[2]杨华娟.网络银行的信息安全问题研究[J].计算机与数字工程,2011(01)
[3]刘俊玲.网络环境下的信息安全问题 [J].中国科学,2010(03)endprint