网络信息安全调研报告范文
时间:2023-09-19 16:51:24
导语:如何才能写好一篇网络信息安全调研报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
(一)各种物理设备的安全风险。税务信息系统各种物理设备安全是税务信息系统安全的前提,包括网络设备、存储设备、计算机及各种传输介质。物理安全主要包括:一是指物理设备本身的安全,防火、防盗、防破坏;二是指在物理媒介层次上对存储和传输的信息加以保护;三是物理设备的可靠性,包括设备的质量、设备的备份,出现故障能在短时间内恢复等。
(二)各种数据信息的安全风险。一是信息的完整性。如信息的来源、去向,内容真实性等,包括数据不被病毒破坏,不被非法删除、修改等;二是信息的保密性。如信息不会被非法泄露、拷贝、窃听等;三是信息的不可否认性。操作员不得越权操作,不能否认自己所做的操作,保证系统操作无法否认。
二、基层税务机关信息安全存在的问题
(一)供电环境对信息安全的威胁。基层分局所处的电网常常是工业用电、农业用电、生活用电、办公用电混在一起,共一条主干线,共一个变压器。工业用电和农业用电的高峰期电网内电压波动较大,严重影响正常的办公用电,也对信息安全造成很大的威胁。一是农电使用乱搭、乱挂造成突然断电,给信息安全带来隐患。在部分基层分局没有配备UPS电源,有的虽然配备了UPS电源,大部分都是为了保障网络设备运行供电,不能保障接入到每一台计算机,所以大部分计算机是直接接入市电。在农村,农民乱搭、乱挂接电,造成基层分局突然断电时有发生。断电不仅影响正常工作,而且很容易造成数据丢失。二是基层用电管理缺位,造成电子设备用电混乱。哪些插座是用作计算机设备的?哪些线路出现老化现象?没有一个人清楚掌握。
(二)信息基础设施对信息安全的威胁。信息化基础设施是信息安全运行最基本的条件,也是影响信息安全的最直接的因素,现状不容乐观。一是区县级以下机房硬件设施不配套,网络设备运行环境条件差。随着信息化发展,县区级的主机房多数是在已有办公条件下由一间办公室改造而成,面积相对较小,条件较差,没有统一的规划和建设标准。农村分局普遍没有专用机房,有的网络设备架设在办税服务厅,有的网络设备架设在会计或其他人员的办公室里;有的网络设备运行环境中没有配备UPS电源,插头直接插入墙上市电插孔中,市电断电设备也就自动断电,市电来了,设备又自动开启;因为没有专用机房,在开放的设备运行环境中,没有设专门的防盗设施,安全情况不理想,人来人往,卫生环境得不到保障。二是部分电子设备老化。UPS电池和稽核服务器是县区级机房的主要设备,也是档次最高的设备,这些设备基本都是2001年金税二期建设时总局统一下发的,到目前为止已经运行8年之久,网络交换设备使用年限均超过5年。所有UPS久未更换过电池,电池老化现象严重,问题随时都可能出现。
(三)操作不规范对信息安全的威胁。一是账号、密码与人共享。操作人员保密意识不强,为方便工作,代为操作,基层用户将自己的账号、密码转借他人或与别人共享使用的情况时有发生。二是业务系统安全管理缺位。各应用系统的权限管理缺位,业务部门管理与技术部门授权之间的权限很少起到相互监督制约作用,表现在各应用系统的操作应用没有规范的岗责体系,业务部门需要什么权限就通知信息部门赋予什么权限,如果操作员越权操作、修改应用系统中信息,有时也很难发现。三是防病毒意识不强,随意将移动存储设备在内外网间拷贝数据。因为每一台计算机都安装了网络防病毒软件,并启用了实时监控系统,所以在大家的意识中,任何带病毒的数据进入系统都会被拦截。其实不然,防病毒软件主要是对已知病毒起到防护作用,经常在内外网间倒数据,容易将新病毒带入内网。从过去的情况看这种现象时有发生,一旦发生危害,程度往往比较严重。四是数据备份抗风险等级不高,数据备份的方式单一。个别单位数据备份策略不完整,数据未实行异机备份,数据备份频率偏低等。
三、问题存在的原因
一是基层信息安全管理没有引起上级的足够重视。计算机网络是税务部门的日常工作工具,其安全是税务部门安全生产的基础。这几年来,随着信息的省局集中,人才和资金也集中到省、市级,基层税务部门没有专项资金投入、没有专业人员进入、没有技术人员培训。二是信息技术人员配备不合理。我县国税局在职职工140人,下辖5个分局,8个内设股室,1个稽查局,共有计算机类设备295台,广域网接点5个,信息中心没有专业计算机管理人员。2005年引进计算机相关专业毕业生2人,已先后抽调市局信息中心工作。
二是整体信息安全认识不高。在基层广大国税干部职工的意识中,什么是信息安全,怎样做才能确保信息安全,信息安全维护平时需要做哪些工作,什么样的现象是不安全的征兆等情况没有太多的概念,也没有太高的认识。
三是资金投入严重不足。信息化建设是一项配套设施多,资金投入大,运行费用高的项目。上级拨付的人头经费除去职工工资、津贴和日常办公经费外已所剩无几。预算中金税工程专项经费太少,没有更多的投入。
四、加强基层税务部门信息安全建设的建议
(一)科学规划,统筹安排,改善运行环境
统筹规划、统一标准,突出重点、分步实施,整合资源、讲求实效,加强管理、保证安全,是多年来税务系统信息化建设实践经验的总结,作为基层税务部门应予以坚决贯彻落实。针对县区级机房硬件设施不配套,网络设备运行环境条件差的实际情况,要统一对基层单位在机房建设、防火、防雷、综合布线、服务器、UPS购置等方面,制定出统一整改方案,统一技术标准,统一采购,统一施工。这样,一方面在设计、施工、管理、维护等方面都要节省大量的人力、物力和财力;另一方面,一处出现问题对另一处也是一种提醒,促使其提前有针对性的采取预防措施。
(二)完善制度,建立信息安全运维体系
设备再先进,运行环境再好,如果没有认真负责的工作人员,没有健全的机制,也保证不了网络的正常运行。因此,要针对信息安全的薄弱环节、关键环节、易忽视的环节,制定、修改、完善具体、操作性强的制度或目标考核责任制,通过机制来强化网络信息安全。一是以区县局为单位建立和完善运维制度。要针对网络的薄弱环节、关键环节、易忽视的环节,制定、修改完善信息安全管理制度,数据异地备份制度,通过机制来强化网络、数据安全。二是建立运维的长效机制。定期对影响信息安全的设施进行检修和维护,包括聘请供电部门、防雷部门、网络专业维修公司的专业人员每年一次定期检修和保养。
(三)设立专项资金,加大基础设施建设资金投入
要改造机房,改造电路,增加防雷措施,更新老化的设备等等,只要做其中的一项,少则几万,多则几十万,作为基层税务部门,是拿不出这样大批资金来投入这些建设的。如果不设立专项资金,做到专款专用,只靠基层税务部门自筹资金,就如同杯水车薪,难以解决实质性的问题,越到后期随着设备的老化安全隐患就越严重。
篇2
当公司局域网被防火墙严密保护的同时,几页遗落在打印机旁的文件被无关人员捡到,公司的机密文档就这样被轻而易举地泄漏了。
这并不是电视剧中的情节,而是在我们身边广泛存在的现实情况,每一个缺乏文印信息安全防护的企业,都会面临这样的业务风险。之前就有调研报告显示,公司的泄密事件大部分是由内部的疏忽造成的,就像老话常说的:“堡垒最容易从内部被攻陷。”
被忽视的文印安全
由于大部分公司已经对病毒、木马、僵尸网络、间谍软件、蠕虫、网络钓鱼等安全威胁的严重性有了较为深入的认识,所以企业在这方面的防护工作做得比较到位,不管是在技术层面的防火墙,还是在管理方面对员工行为的管理都比较严格,从一定程度上避免了严重安全事故的发生。
但是虽然各个公司在数字传输方面做了比较严格的防护,但是企业内部安全防护应该不仅是在数字传输方面,传统的传输媒介——纸张,其实也会存在巨大的安全漏洞。
无论是电子文档与纸质文档互相转化带来的信息载体变化,还是新兴的BYOD(Bring Your Own Device,携带自己的个人电脑、智能手机、平板电脑等终端设备,在公司或酒店、咖啡厅等公共场所进行在线办公)办公方式所带来的大量无线打印和非企业所有的办公终端访问打印设备,都可能脱离单纯的网络数字化安全机制,小小的纸张足以让企业重金打造的安全防护措施功亏一篑,造成难以挽回的损失。
文印防护变被动为主动
由于信息载体的转换,因此文印信息安全的保护手段与一般网络安全防护有所不同,但在发展趋势上,则同样追求安全掌控的主动性与安全管理的高效性。
Lightspeed Research的一份调查报告指出,56%的员工曾经看到过遗留在打印机上的敏感文件。虽然在一些对信息保密要求较高的行业,如政府、金融等,通常都会制定关于打印文档权限及保管的规章制度,但这些建立在员工自觉性上的制度实际可控性较弱。
如果不慎发生文印信息安全事故,企业往往又会面临追查信息缺口和信息去向的障碍,这不仅使事故的补救和追责显得十分困难,更可能导致安全漏洞得以长期存在,造成更大损失。这些隐患都使企业在文印信息安全管理上处于被动地位。因此,文印信息安全的管理,必须拥有主动抵抗风险,并排除人为干扰的能力。
安全与高效兼顾
文印信息安全管理的目的是规避信息风险,保证企业健康发展,因此不能与企业发展所需的正常流程和效率相悖。这就要求任何文印信息安全机制必须能够与现有流程良好融合,并在开放性和安全性之间取得平衡。
对于一些成规模的行业用户来说,通常面临着打印设备众多、型号多样等问题,这也给安全管理的效率提出了挑战。如果没有高效的安全管理解决方案,不仅信息安全本身面临威胁,还可能使企业付出更高的成本。
文印安全之道
针对文印信息安全管理需求的趋势,众多厂商在其解决方案中以用户更具主动性,操作更便捷、更高效的文印信息安全解决方案予以诠释。无论是更具主动性的安全机制,还是更高效的安全管理,本质上来说都是让用户无需过多干预,而仅通过打印设备解决方案即可实现完善的文印信息安全管理。
解决方案提供了刷卡打印功能,用户在电脑端发送打印任务之后,需要在打印机或复合机上刷卡确认身份后才能输出打印作业。这使因文档遗留在打印设备上而造成的信息泄露可能性降为零,同时通过合法身份的识别,也能使拥有权限的员工可以使用更多移动设备进行打印任务。刷卡打印也使管理人员能够轻松进行打印权限的设定,不符合权限的员工即使刷卡也无法打印相应文档,使文印安全更多一层保障。
在封堵了数字信息向纸质文档转化的安全漏洞后,解决方案同时也为纸质文档的数字化存储提供了安全保障。现在佳能、富士施乐、理光等厂商推出的彩色数码复合机都提供了类似“发送给自己/我的文件夹”功能,在经过事先的身份认证后,可设置一键式按钮来实现扫描文档发送到自己的邮箱或者个人文件夹,确保不会发送到错误的、未经认证的地址,降低信息泄露的风险。更重要的是,无论是刷卡打印还是扫描件的指定发送功能,都无需让企业和员工经历更多步骤,而可在不影响工作流程的前提下实现文印信息安全。
篇3
专家表示,建设“智慧浙江”,主要是指广泛运用现代科技,尤其是现代信息技术全面提升浙江的发展,从而构筑起一个物联化、网络化、智能化的浙江。
目前在浙江省,杭州市、宁波市等一些城市率先启动了智慧城市的建设,并在智能交通、智能物流、智能医疗、智能办公等各个方面取得了一些进步。其中,宁波市在国内率先系统推进智慧城市建设,他们利用现代网络与信息技术加强城市管理、改善城市服务、完善城市功能,取得了智慧城市建设的初步成效。2011年9月,宁波市举办了国内首个以智慧城市为主题的“2011中国智慧城市技术与应用产品博览会”,也引起了很大的反响。
未来,浙江省将充分发挥杭州市、宁波市等一些城市的示范作用,在全省推动其他一些城镇进行智慧城市的建设,而这些城镇的智慧城市建设的进展,正是建设“智慧浙江”的重要方面。
浙江大学集成电路研究院院长严晓浪表示,支撑智慧浙江发展的一个重要技术和产品就是集成电路,在产业方面,浙江省可以率先在这个方面取得突破。据了解,集成电路对智慧电力、智慧医疗、智慧城市、智慧交通、智慧物流、智慧金融等具有重要影响,而浙江省在集成电路产业方面也有一定基础,例如杭州是国家集成电路设计产业化基地之一,浙江大学也参与其中,另外浙江大学集成电路的技术和产品的发展,为建设智慧浙江奠定了坚实基础。
但是2011年,在经过近一年的考察调研后,浙江省政协“智慧浙江”建设重点课题调研组最终形成的调研报告指出,建设“智慧浙江”还面临不少困难和挑战。
“智慧浙江”的建设融入了信息化背景下的最新科学技术和管理思想,浙江省要想在这个方面有所作为,就必须打破各种牢笼和羁绊,在体制和商业模式方面实现创新。其次,建设“智慧浙江”,浙江省必须要有一个统一的智能控制中枢,这意味着浙江省从最高端进行统一的规划,但是目前浙江省缺乏统筹规划,还没有一个省级层面的“智慧浙江”建设总体规划。另外,尽管浙江省是我国经济较为发达的地区,但是在信息化应用方面,其发展并不平衡,尤其是在广大农村地区信息化发展水平明显滞后,农业信息资源开发利用明显较弱。
篇4
本文通过对不同电子商务强度的公司做网络安全投资回报计算,进而在经济性的基础上,对采用各种主要措施来加强网络安全技术防范进行评价,从而帮助企业在投资网络安全上做有效选择,此研究无论从理论上还是实践上都具有重要的现实意义。
[关键词] 投资 网络安全 经济性
笔者所在公司的计算机网络经常会遇到各种各样的安全问题,主要包括病毒感染、恶意攻击和疏忽大意。公司内部建立了一个局域网,有400多台电脑通过一个服务器与外网连接,同时,公司有自己的OA系统和正式对外信息的网站,这些都对网络系统的安全性提出了较高要求。
几年来,我在管理公司整个网络系统安全的过程中,在为地税系统做安全服务时,参照研究了国内外一些主要从事电子商务网站的经验(主要是阿里巴巴网站和CISCO公司),并根据本企业实际情况和经常发生的安全问题,采取了一些较为适用的安全防范措施。在不断的选用和比较中,我对投资网络安全所带来的经济回报有了一定的认识。
事实上,许多企业都愿意采用一个相对通用的方案来评价在网络安全活动和过程中的投资行为,一般是由一个专门的部门用多年时间来搜集数据,然后帮助企业形成一个结构良好的通用的投资回报分析报告。处理这些通用数据需要一些步骤,如下所示:
1.分析潜在经济影响
2.明确电子商务强度
3.检验安全成本
4.计算一个通用的安全投资回报
一、分析潜在经济影响
对于病毒和入侵,企业一般面临三种类型的经济性影响――直接性经济影响、短期性经济影响和长期性经济影响。据国家公安部公共信息网络安全监察局的调查结果显示,2005年5月~2006年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。
对于一个以网络为支撑的、单一业务的企业,恶意攻击给其带来的经济性影响如表1所示。
表 1
来源: 《公安部公共信息网络安全监察局》
在提交公司的调研报告上,我参照研究了《计算机经济》上的数据,如表2所示。如果针对恶意攻击,企业没有采用足够的安全防护,那些能够预测到发生的平均经济影响。可以看出,对电子商务技术依赖的越多,恶意攻击所带来的负面经济影响就越大(表中节点数是指连接到网络上的设备)。
表2
来源:《计算机经济》
表中的结果是过去五年的历史数据所做的平均值,主要包括清除被恶意代码感染系统的成本,黑客攻击和入侵的恢复成本,收入损失和员工生产率降低。我公司属于低强度电子商务公司,有500个节点,从2005年、2006年两年的各种安全技术、设备的使用对比中发现:恶意攻击给我公司带来的经济影响要相对小于表2提供的数据,但如果算上短期经济影响,基本符合了数值取向。阿里巴巴网站算是一家高强度电子商务公司,由于其具备网上实时交易的特性,所以它的安全等级要求极高,而根据该公司曾提及的蠕虫病毒等网络攻击给其带来的损失来看,要远大于表2提供数据。
二、明确电子商务的强度
在明确一家企业电子商务强度的时候,需要考虑的、能支持该公司电子商务强度的因素如下:
1.信息系统员工岗位是否多样化
2.是否有合适的电子商务软件
3.是否有自己的网站、有多条互联网接入
4.是否用信息技术支持电子通信
5.是否有基于网络的B2B、B2C交易
6.是否通过网站进行电子数据交换
7.是否支持通过直接拨号与供应商、消费者进行电子数据交换
三、安全成本有哪些
花费在安全方面的IT预算很难确定标准。近来大部分的研究表明,多数企业在安全方面花费不足2%的IT预算。在企业内,系统的可用性、数据的完整性和保密性都极度重要,国内有些专家呼吁,企业应花费其IT预算总额的5%用于安全。
事实上,安全方面的预算支出常常是一个经验值,通过一些基础数据,逐步摸索出一个相对经济的安全防范成本。安全防范的成本可以被划分为许多子类,而且不同的企业差异也很大。
四、计算一个通用的安全投资回报
当要计算安全投资回报时,一定要考虑使用一些变量。首先应该考虑的是耗费在安全方面的资金量。其次,明确当前的威胁水平,或者至少是知道当前的威胁大概什么样。最后,还有法律、法规和安全的要求,这需要不同类型的组织采取一些有效措施来保护信息免受攻击。为达到合法、合规的目的,这些组织就需要花费成本,也许会超过平衡点,以此来帮助企业告知当前威胁水平(这点,我们企业经常会接到哈尔滨市网络安全管理局定期的网络病毒报告)。
在电子商务企业中,恶意攻击对潜在的经济影响是相当大的,这也增加企业对安全产品和相关人员的需求。
五、总结
如果能够相对清晰地计算你的投资回报,这将有利于你在网络安全方面做正确的决定,将拥有一个安全的基础来进行信息共享,可以通过电子商务来增加你的收入,可以通过提高人员效率来增加企业利润。
参考文献:
[1]张宽海:《电子商务概论》,机械工业出版社,2003年
[2]丘晓理:《部属安全的无线局域网络》,摘自《计算机世界――技术与应用》,2006年第37期
篇5
竞争情报实际上是关于竞争环境、竞争对手和竞争策略的信息研究,它即是对竞争信息的收集和分析过程,也是指由此而形成的情报或策略。以下即阐述开展竞争情报工作的具体流程和实施步骤。
具体流程
实施步骤
一、企业自身调研
企业开展竞争情报的首要工作,是设立一个专门的情报部门,情报部门的工作职责主要是通过企业所有部门的配合,统计和整理该企业具有竞争力的数据和信息,将这些信息或数据进行有效的汇总,以方便企业各个部门进行有效运用。同时,做好反情报工作,捍卫企业自身信息安全。此可谓“知己”。
二、竞争对手调研
在了解自身的基础上,同时了解企业竞争对手的动态信息。竞争情报帮助企业了解供应、客户、现有竞争者、新进入者、替代者的异动,及竞争者绩效指标、能力指标的异动,同时竞争情报帮助企业了解和跟踪与产业的基本特性相关的情报,例如产业的集中度、进入壁垒、国际化程度、管理程度、技术变化速度、品牌忠诚度、业态变化等。此可谓“知彼”。
企业的情报部门在调查竞争对手时,可采用的公开方法包括:利用各种合法手段搜索、收集各种资料,也可以留意各类出版物、权威机构的可靠信息、上市场竞争对手的股东大会,董事会等信息、参加展览(销)会,交流会,会、参加相关的论坛或讲座、通过人脉资源获得半公开的信息等。但还有些比较隐蔽性的信息或数据还是需要知道的,这时如果企业的情报部门有足够的底蕴也可以自己通过一些方法去做,但更多的企业做法是委托第三方调研信息公司提供相关所需的信息。如果企业对竞争对手的情况要求具时效性的话,第三方公司可以为企业提供每日或每周的竞争对手、相关行业信息快报,以满足该企业对实时信息的需求。与此同时,再根据该企业所需了解的一个或多个竞争对手信息,提供竞争对手调研报告和通过几个竞争对手情况进行对比分析的行业报告。
三、企业整体竞争环境调研
企业整体竞争环境包括宏观环境和市场环境。
企业的宏观环境,包含政法环境、经济环境、社会环境、技术环境的异动等,它们是企业竞争战略的长期影响要素和前提条件。此可谓“知天”。
竞争情报最重要的功能之一,是使企业免受突如其来的袭击。竞争情报有助于发现市场上的威胁和机会,给自己更多的反应时间,从而获得竞争优势。竞争情报就是企业的智囊,起到市场的导向作用,商品营销的警示作用,及做出战略决策的参谋作用。此可谓“知地”。
四、使用的分析方法
无论调研工作是该企业的情报部门还是委托第三方公司进行实施的,其分析的方法都是大同小异的。其中对竞争对手(企业竞争力)的常用分析方法包括了SWOT法、财务分析法、核心竞争力分析法(包括竞争对手价值链(即各项流程)、技术、人力、资源配置、市场情况、知识产权等进行分析)、客户满意度分析法。通过前面分析方法得出企业或竞争对手的各项指标后,再进行定性和定量的对比,或是在选出标杆企业后,将本企业与标杆企业进行定标比超分析。
五、制定竞争策略
企业可以根据情报部门或第三方公司提供的数据、报告进行再次分析后,分发到相关的部门,使之能有效地制定企业的发展战略、产品的价格定位与营销策略、流程及管理方法改进等。如果调研的是第三方公司,就应该提供相关的研究报告后,结合实际情况给予一定的策略建议以供企业参考。
篇6
然而,无论是新兴还是传统企业,向移动性转型都并非易事。Gartner报告指出,企业面临的最大挑战不是创建移动应用,而是在部署移动解决方案时会花费85%的成本和时间在企业后端应用的集成和安全性上。同样其他调研机构也拿出数据证明:超过80%的安全主管认为,企业面临的外部威胁正与日俱增,近60%的安全主管认为所在企业遇到网络安全大战将难以幸免。该调研报告针对这些调研结果给出结论:技术是解决安全问题和威胁的关键,当前的企业应该重点关注大数据、云计算和移动等技术。
先了解变化
在移动技术的强力影响下,中国企业作为全球市场中不可或缺的力量也在经历着一场重大转型。在前不久落幕的2014年亚太区企业移动高峰论坛上,IDC一项调查数据表明,中国企业级移动应用市场在2014年已经进入快速发展阶段,移动应用成为很多企业IT建设必不可少的组成部分。预计2017 年中国企业移动应用市场将形成具备一定规模的产业,企业移动解决方案市场将达到46.7亿美元。除此之外,政策的导向以及运营商的不断发力,让国内的移动应用不断涌现出向好的趋势。
借助这些力量,利用移动技术的员工及企业数量在不断增长,但只有不到半数的安全主管表示他们采用了高效的移动设备管理方法。事实上,移动和设备安全在当前已经成熟部署的技术列表上的排名极为靠后。这也造就了移动性为企业传统的安全问题带来了更多挑战的事实。以往企业的安全基本依靠传统的防火墙,今天移动应用将安全问题延伸至设备之外,直至数据消费发生的终端。想要应对移动带来的风险,企业首先需要了解这种变化,才能克服移动性产生的不断变化和日益复杂的安全问题。
新的安全问题之所以如此复杂,是因为受到了人、设备和数据访问网络的影响,这些数据包括结构化的企业信息以及如访问证书、文件和内部网本地副本在内的非结构化数据。此外,市场上的设备不断推陈出新,新设备、操作系统升级和软件升级等层出不穷,它们不断影响企业访问或者查看数据的方式。随着产品越来越容易受到恶意软件和其它攻击,应用生态系统也日益丰富。技术的复杂程度让企业的安全管理成本不断提高,于是不少保守的企业开始试图通过控制产品设备种类,降低移动办公带来的管理成本及风险。他们认为控制能够让企业有效地计划和管理风险,更重要的是,控制为企业高管和IT部门提供了保护企业最为直接的方式。而另一方的观点则认为:这无异于盲目的忽视变化的本质,而仅仅寻求了表面上的安稳。如果企业想更好地控制IT,更好地保护数据,就应该鼓励使用如BYOD等模式的新应用,并为其搭建一个安全的架构。通过把实践放到开放环境令其发挥作用,IT部门能够看到在企业内部真正发生了什么,并采取合适的方式来保护它。
积极的来看,在全面的BYOD情景下,IT部门不仅需要使用并监测被用来访问企业网络的设备,也需要实施强大的安全措施。这可能会大大提升移动管理成本,但由于设备属于员工,用户体验十分重要,个人服务和应用的性能需要不受安全措施的影响。因此从生产力角度来看,这一方面能够强化企业IT部门提升安全防范的意识,构建全新的适于发展的企业移动安全架构,另一方面用户体验的确被提高了。同时,在法律层面BYOD也不容忽视。在BYOD环境中,安全并不是单向的,如果企业不经意地访问了员工的个人数据,他们就要面临被这些员工的风险。因此在BYOD情景中,安全性既包括实施控制以保护员工的隐私,也要保障企业数据。
所以,从发展的角度来看,企业不应该以“保证安全”为名对员工使用BYOD设置障碍,而应该更好的借助现代安全的方式与技术,在全面保障企业数据安全性的基础上为员工使用设备提供全面的自由。
数据永远是重头戏
上述情况在国内更为明显,一方面是因为国内企业管理者相对保守;另一方面则是因为从国内的情况来看,中国早已成为数据大国。中国有超过6亿的互联网人口,遍布各行业的互联网经济,不断优化中的政府及企业IT系统,和爆发增长的物联网和工业互联网,这都为开展数据应用奠定了基础。而在移动技术普及的当下,如何用好并保护好数据资源,对中国的“互联网+”,以及工业 4.0 的发展意义重大。因此,对于今天的中国来说,无论企业是否已经做好了迎接挑战的准备,移动的趋势都不会改变,安全问题也永远不容忽视,其中最为重要的一环就是数据。
对企业来说,数据的重要性不亚于每一次战略调整,在移动的背景下员工的个人设备及其隐私数据的安全性也会被放大。于是企业的IT和信息安全部门还需关注两个重要问题:谁拥有这些数据和数据去向哪里?
不同的移动办公模式中,设备管理的思路和企业移动安全的整体策略是不同的。简单来说,智能手机、平板和移动应用让员工在其设备上可以轻松地使用和分享数据,而这些设备能够存储多种类型的数据,包括电子邮件、专有材料、大量图形和视频文件等。因此,在不属于企业的设备或基础架构上运行企业数据,例如BYOD模式,或者以基于员工身份的企业证书访问企业数据,但数据却被企业所控制时,将会出现数据的所有权问题。这会导致企业不能准确知道他们的数据在哪里以及谁在使用数据。
有技术专家建议,在这种情况下企业首先要认识到数据消费发生的终点,不管其在哪个部门、企业、系统,甚至其它什么地方。其次,企业必须允许这些数据消费能够发生并得以实现。同时,还要知道每一个数据消费发生的终点是否在安全可控的范围内。为此,企业需要采用不同的方式。
例如,一个把身份作为核心的集成化平台将会为企业提供强大的新功能来应对短期的移动安全性挑战,同时可以充分满足未来的移动安全需要。更值得一提的是,这种平台合并了移动应用管理和多种工具,并基于身份的安全模式,将会为企业提供严格和全面的框架来解决关键的漏洞,应对传统上以设备为中心的策略所造成诸多挑战及碎片化问题。
随着企业需要支持、管理和维护的工具越来越多,散乱的解决方案只会增加企业成本和复杂性。例如现在许多企业已经转向使用移动设备管理(MDM)、移动应用管理(MAM)和其它更专业的技术,如身份管理、安全容器、安全访问和单一登陆工具,这些工具会在企业内部形成牵引,也会让数据管理难度越来越大。但回归到是否需要控制设备的争论中,如果安全方式为员工使用移动应用和工具设置了障碍,那么这些策略对于企业来说也将适得其反。
不少分析机构也提出了移动安全性和业务增长之间的必然联系。例如,普华永道认为,如果能够及时解决手机的安全漏洞,那么企业能够提高25%的业务业绩。也就是说,面对复杂的安全及IT管理形式,企业能做的只有不断提升自己的安全技术,而无法绕过或限制其发展,毕竟数据的安全是企业信息安全的第一要务。
篇7
为进一步了解和掌握我县通信行业发展状况及服务全县经济社会发展情况,县XXX组成调研组,通过会议座谈、查看现场、发放调查问卷等方式,开展了专题调研,形成如下调研报告。
一、发展现状
(一)基本情况。截止2019年,我县通信业务总量达6.5亿元,同比增长9%,年末固定电话用户数达4.85万户,同比减少2%,年末移动用户数达73.6万户,同比增长9%,互联网宽带接入用户数达19万户,同比增长23%,累计建设基站2531个,同比增长1%,数据端口达39.6万个,同比增长6%。我县通讯行业发展总体较好,呈上升趋势(详见表1)。
表1 2019年我县通信行业业务情况
通信业务总量
年末固定电话用户数
年末移动用户数
互联网宽带接入用户数
累计建设基站
数据端口
2019
6.5亿元
48455户
73.6万户
19万户
2531个
39.6万个
同比增长
9%
-2%
9%
23%
1%
6%
(二)税收情况。我县通信行业现有5户企业(移动、电信、XXX分公司、XXXX分公司、XX公司XX分公司),均为非独立核算单位,涉税费(除房土两税外)均在市级以上单位所在地主管税务机关申报预缴(征)或汇缴,2019年度共纳税613万元,2020年(截至11月20日)共纳税169万元(详见表2)。
表22019年、2020年我县通信企业纳税情况
单位:万元
公司名称
2019年
2020年(截至11月20日)
纳税总额
县级分成
纳税总额
县级分成
电信公司
16.52
11.05
16.29
10.89
移动公司
578.85
150.75
141.56
37.92
联通公司
11.31
9.52
5.11
3.32
铁塔公司
1.44
0.94
1.44
0.94
光电公司
5.78
3.73
5.39
3.58
合计
613.88
175.98
169.79
56.65
二、主要成绩
(一)基础设施不断完善。我县通过实施“云视XX”、“宽带乡村”项目,实现了村村通宽带、村村通4G,目前全县村民小组“组组通”宽带率99.2%以上,超过泸州市96.01%的平均水平。深入推进“四网合一”,全县已有3个新建小区宽带建设达到国家、省级光纤到户建设标准。建设通信基站2531个,实现城区、乡镇、交通干线、行政村100%覆盖率。互联网出口带宽100兆,居全省第二。
(二)应急保障能力增强。我县制定了较为完善的应急抢险预案,各通讯公司配备了应急通信保障专业队伍,24小时值班值守,较好完成了我县各重大活动和突发事件的应急通信保障工作。我县举办XX节、XXX鉴会、XX庙会等重大活动,市、县通讯公司派出通讯应急车现场保障人流激增导致通讯不畅问题。每遇暴风雨气候,各通讯公司网络维护中心及时启动汛期应急预案,开展应急抢险,及时恢复受损的通讯设施。
(三)5G建设有序推进。5G基站建设方面,我县围绕“2020年-2022年分批次建设5G基站200个,实现全县主城区5G信号覆盖,其他镇街逐步推进实施,带动全县经济社会快速发展”的目标任务,大力实施5G网络建设,截止目前,全县主干道路已完成5G基站建设4个,在建48个,另有142个正在规划设计中,主要覆盖主城区重点道路。5G+应用工程建设方面,XX工业园区、XX经济园区、XX农业园区企业强化在数字化应用、智能化生产线等方面加速数字融合应用,打造“5G+智能制造”“5G+智慧工厂”“5G+智慧农业”示范集群;加快县城小区5G建设,打造“5G+智慧小区”应用示范;加快医院、学校的5G布局,打造“5G+智慧教育” “5G+智慧医疗”应用示范;加快XX、XX、XX景区5G发展,打造“5G+智慧休闲旅游”应用示范。
三、存在问题
(一)基础设施建设方面
一是通讯设施建设不均衡。通讯行业企业追求成本控制和经济效益,在偏远山区通讯基础设施建设投入不足,部分山区村社信号较弱甚至存在信号盲区,不利于群众生产生活。二是通讯设施规划建设不尽合理。通讯设施规划建设由省集团公司直接招投标,存在电杆架设不规范、管线乱拉乱接等现象,影响市容市貌,且部分存在安全隐患。同时,市、县级分公司缺少话语权,难以尽监管验收责任。三是通讯设施修复不及时。故意或过失破坏通讯基础设施问题时有发生,但难以得到及时修复。如XX工业园区通讯管道在施工中被挖断后,已过一年有余,虽然经济商务科技局、临港工业园区多次协调,至今未修复。四是部分群众不支持通讯设施建设。虽然有《XX省电信设施建设和保护条例》为通讯设施建设保驾护航,但仍存在部分群众不支持或要求高价赔付的情况。如XXX局为解决XX古镇景区人流量大时对通信信号的需求,曾组织通信公司会同XX镇、XX公司在XX古镇景区内选址建站,开工后即被周围群众阻工,无法建设;XX镇XX村一铁塔建成5年,被周围群众阻挠无法开通使用;XX小区楼顶基站因居民阻止基站被拆除等。五是协调沟通难。通信行业发展的相关政策需要各行业多部门具体落实,受制于各部门自身政策、管理规定等约束,协调沟通难度较大,部分项目建设落地困难,政策无法真正落实,企业得不到真正的实惠和扶持。
(二)通信行业服务质量方面
通讯公司仍存在重营销、轻维护,重业绩、轻管理的现象,侵害消费者权益。资费信息含糊不清,用户难以查询和获取消费明细情况,大部分用户不清楚收费项目、计费标准、计费方式;套餐业务不透明,未标示或含糊标示消费年限、附加条款等,公示标准与实际执行情况不符。调查问卷显示:23%被调查者对话费计算不满意、13%非常不满意;业务取消难、变更难,甚至不能取消、变更,以至于部分用户直接选择销卡来结束业务。如办理部分套餐取消和变更业务等,申请时,可以电话办理,也可以手机app办理,但是要取消、变更时,就需用户带上身份证亲自到营业厅或号码所在地营业厅办理,有时候一次还无法取消;行业内部存在一定的恶性竞争,如对用户携号转网设置门槛,转网难,又如XX商贸城目前只有移动一家公司进入服务,排斥其他公司进入,形成行业壁垒,客户需求得不到满足。
(三)安全隐患治理方面
主要表现在管线布局不合理,电杆、拉线冗杂,易发安全事故。特别是老旧场镇、城区老旧小区,电杆随意穿插于场镇路口,几家通信公司均在此拉接线路,线路混乱,容易造成安全隐患;通信设施随意搭建,现成的通讯设施许多立于人行横道及其他交通路口,电杆沿公路排布较多,且还存在部分横跨公路,对过往的车辆和行人造成通行障碍和严重的安全隐患;废弃设备拆除不及时,随着通信技术的发展和不断更新换代,新设备不断增加,废弃的设备未及时拆除,导致废弃赘余设备多,存在安全隐患;电信网络安全、信息安全仍存在漏洞,存在号码泄露的情况,不利于隐私保护,且电信诈骗电话较多,易造成人民财产损失。
(四)监管方面
一是监管脱节。现行体制下,通讯公司的行业监管职能部门主要在省级,地方政府部门缺乏监管能力,不能对其进行有效的监管,只能依靠企业的自律行为。二是重视不够。通讯发展实施主体虽然是通讯公司,但更是一项共用事业,事关群众的生产生活需求,相关部门和镇街重视不够,没有做到主动配合、依法作为。三是缺少工作抓手。各通信企业均为央企,县级公司需服从省市公司管理,缺少话语权和主动权。主管部门至今未能找到约束通讯企业的“抓手”,难以履行监管职能。
四、几点建议
(一)强化思想认识,积极履职作为。在信息社会,通讯行业是数字经济的有效载体,是加快经济社会发展的基础产业,也是群众生活的基本需要。通信行业在前期线路站点规划时要充分尊重当地党委政府的属地管理,加强沟通协调,积极配合地方规划建设,共同将这项惠民工程、服务工程落地落实;镇街要将通信工作作为政府工作的重要部分,主动介入,积极推进;相关职能部门要将通信设施建设纳入规划,科学设计、科学验收;加强政府、通信企业之间沟通联络,建立会商机制,做到通信规划要科学、通信建设均知晓、通信隐患要杜绝。
(二)强化设施建设,保障通讯需求。一要紧抓加强5G建设的契机,积极争取投资,合理规划布局,特别是针对偏远地区、重要景区、经济开发区加大基站建设力度,为数字经济发展提供强有力的保障。二要加强上争上报力度,通过加强与省市通信发展办公室的汇报沟通,争取项目资金,加大我县通信基础设施建设投入力度;三要督促通信运营商采取多样化多途径,加强偏远山区和盲区通信信号覆盖,不断改善通信质量。
(三)强化服务意识,提升服务水平。通讯企业应合理分布基层站点,对有关业务不能以承包代管理,要加强对商的监督和管理。第二应转变观念,通讯事业是公用事业,在追求经营利润的同时要强化服务意识,主动服务群众,服务全县经济社会的发展。第三应加强员工的职业道德、法律知识培训,提高员工整体素质和法律意识。要加强员工业务培训,在宣传资费套餐上向老百姓解释清楚,杜绝误导消费、捆绑销售现象,真正提升通讯行业服务水平。
(四)强化监督管理,加大惩处力度。经科局、应急局和市场监管局等相关部门应当组成监管队伍加强对通信行业的综合管理,禁止恶性竞争行为,营造良好的市场环境,切实将通信这项民生事业落到实处。并建立严格的惩罚机制,对于消费不透明、号码泄露等突出问题进行专项整治,严厉打击,还广大消费者一个干净透明的通讯环境。同时督促通讯企业及时解决安全隐患,在老旧小区、场镇进行一次彻底的安全排查,及时拆除废旧设备,规范管线线路等。
篇8
最近商务部调研报告指出:今后三年,8成以上跨国公司将扩大在中国的产业和研发上的投资。这次调查对象以《商业周刊》全球1000强企业为主。82%的调查对象将继续扩大对华投资,无论是生产、销售、技术开发的投资规模与速度,都将逐步提高。其中,35%的跨国公司处于投资准备阶段,计划开展新一轮对华投资。商务部认为,这些跨国公司未来的投资将有三方面特点:第一,加速基础产业向中国的转移;第二,扩大销售与售后服务的投资;第三,加强技术转让。报告指出,61%的跨国公司明确表示在未来三年内将继续扩大在华研发方面的投资。非核心技术转移到中国研发,并在中国并购其他研发机构将是主要投资方向。引人注目的是,大部分公司的投资倾向于独资,包括产业独资和研发独资,比例达到57%。在研发投资中,有46%的企业倾向于建立独立的研发中心。商务部外资研究院人士表示,中国市场规模和开放程度是吸引跨国公司扩大对华投资的关键因素。而选择独资,更多是基于利于自主管理、保护知识产权等方面的考虑。
我国信息化的发展方向
国务院信息化工作办公室常务副主任曲维枝,最近在“中国经济形势报告会”上透露,我国将在今年8月份以前完成国家信息化发展战略,而“十一五”信息化规划也将在同一时期完成。今后的信息化建设,主要是6个方面:
第一是抓紧制定国家信息化发展战略和“十一五”专项规划。国家信息化发展战略将破解信息化如何带动工业化的难题,走中国特色的信息化道路,密切跟踪全球信息化新进展、新情况,提出中国信息化的战略目标、战略任务、战略重点、战略步骤和战略措施。而这项工作今年8月份以前完成。解决了这个问题,也就解决中国的信息化发展的中长期的规划问题,同时也给制定“十一五”的信息化发展指出了原则和方向。第二是持续推动信息技术在传统产业改造中的应用。还是要突出重点,抓住信息技术和传统产业结合,增强自主创新能力和核心竞争力,推动在冶金、石化、建材、造纸等行业运用信息技术节能、节水的改造,围绕现代农业加快推进农业现代化。第三是扎实推动电子政务。主要是促进部门间信息共享,促进部门间的业务协同,提高效率和监管能力,提高政府的公共服务能力。第四是大力推进企业信息化、加快发展电子商务,重点放在节能、节材。第五是加强信息资源开发和利用。重点要解决政府信息资源公开和跨部门共享的问题,促进经营性的信息资源的市场化开放、培育和繁荣信息资源市场、促进信息资源产业的发展。第六是加强网络信息安全。特别是涉及到社会稳定、社会政治安全、社会经济安全的问题要特别的引起重视。
国家将从5个方面促进现代物流业发展
今年中国将从5个方面加快现代物流业的发展。
(1)制订出台《关于促进中国现代物流业发展的意见》,促进我国现代物流业发展。(2)加快物流诚信体系建设。物流是服务性产业,是最需要诚信体系的行业,但目前诚信方面的问题还相当多。今后要把诚信体系建设作为行业自律的一项重要内容,形成物流的服务标准,并成为物流标准体系的核心。(3)鼓励整合、改造和提升现有物流资源。根据现代物流发展的规律,结合中国国情,大力抓好物流功能、企业物流、区域物流、基础设施、物流信息、人力资源和管理体制等方面的整合,用科学的发展观指导现代物流的发展。打破物流资源的部门分割和地区封锁,鼓励物流企业跨部门、跨地区整合现有物流资源。尽可能多地利用现有的仓储、运输条件和业务网络进行改组、改造和提升。(4)做大做强物流企业。做大做强物流企业,关键是要明确市场定位,在专业领域创新管理和服务,形成规模效益和核心竞争力,尽快提高中国物流服务的供给能力。(5)密切关注国际物流的发展趋势。外企在资金、管理、技术、研发及品种结构上具有比较优势。关注和学习国外企业的经验和技术,发挥自身优势,尽快提高物流能力和服务水平,缩短与外资企业的差距。
上海优化微小型企业
创业环境做法
为改善创业条件,上海今年将重点突破资金、场地、能力三大瓶颈。通过完善小额贷款担保运作机制,做大贷款担保规模,切实缓解开业者“融资难”;通过开发创业园区,实现“一区(县)一园”的目标,有效缓解开业者“场地缺”问题;通过建立以实训为核心的创业培训机制,建立人本化的培训模式,努力解决部分开业者“能力弱”的问题。今年上海还将构建“网上创业”平台,重点扶持大学毕业生等青年知识群体创业。
象山建立外来民工
讨薪“绿色通道”
象山县法律援助中心积极为外来民工讨薪建立“绿色通道”,指定专人负责农民工申请法律援助的接待工作。对来电来访的农民工讨薪,尽可能联系用工者,通过非诉讼方式使欠薪问题得到解决。对于不能通过协商解决,确需通过诉讼途径解决的案件,农民工因经济困难申请法律援助的,对于符合援助条件的尽快办理有关手续并指派法律服务人员。对群体性案件的农民工和因工致残的农民工优先接待、优先办理。对确因情况特殊无法提供身份证明或者经济困难证明的农民工,有事实证明为保障自己的合法权益需要法律援助,情况紧急,不及时处理有可能引发严重事件,或者即将超过仲裁时效或诉讼时效的,或者属于涉及人数众多的群体性案件,暂不进行经济困难条件审查,及时受理并先行指派法律服务人员提供法律援助,允许受援人事后补交有关证明材料,保证农民工获得及时的法律援助。
为改善创业条件,上海今年将重点突破资金、场地、能力三大瓶颈。通过完善小额贷款担保运作机制,做大贷款担保规模,切实缓解开业者“融资难”;通过开发创业园区,实现“一区(县)一园”的目标,有效缓解开业者“场地缺”问题;通过建立以实训为核心的创业培训机制,建立人本化的培训模式,努力解决部分开业者“能力弱”的问题。今年上海还将构建“网上创业”平台,重点扶持大学毕业生等青年知识群体创业。
天津提高利用
篇9
这是一个以1%~2%决胜负的商业时代,一个信息可能左右企业的成败。你公司的秘密被泄露了,你知道吗?办公设备危机
1.打印机――10秒延迟带来信息漏洞。
即使是激光打印机,也有10秒以上的延迟,如果你不在第9秒守在打印机的旁边,第一个看到文件的人可能就不是你了。
2.打印纸背面――好习惯换取的大损失。
节约用纸是很多公司的好习惯。其实,将拥有这种习惯公司的“废纸”收集在一起,你会发现打印、复印造成的废纸所包含公司机密竟然如此全面,废纸记载了比公司里的工作日记更全面具体的内容。
3.传真机――你总是在半小时后才拿到发给你的传真。
总有传真是“没有人领取”的,每周一定有人收不到重要的传真。人们总是“惊奇地”发现,自己传真纸的最后一页是别人的开头,而你的开头却怎么也找不到了。
电脑的潜在风险
1.电脑易手――新员工真正的入职导师。
我们相信,所有的职业经理人都有过这样的经历:如果自己新到一家公司工作,在自己前任的电脑里漫游是了解新公司最好的渠道。在一种近似“窥探”的状态下,公司里曾经发生过的事情“尽收眼底”,公司以往的客户记录、奖惩制度,甚至你还有幸阅读前任的辞呈。如果是其他部门的电脑,自然也是另有一番乐趣。
2.共享――做好文件再通知窃取者。
局域网中的共享是获得公司内部机密最好通道。人们习惯的方式是在开放式办公间的这边对着另一边的同事喊:“我放在共享里了,你来拿吧。”没错,会有人去拿的,却远不止你期望的人。
3.公用设备――不等于公用信息。
在小型公司或者一个独立的部门里,人们经常公用U盘、软盘或手提电脑。如果有机会把U盘借给公司的新会计用,也就有可能在对方归还的时候轻易获得本月的公司损益表。
4.摄像头――不经意间断送的竞标机会。
总部在上海的一家国内大型广告公司出现了一次信息泄露,导致竞标前一天,广告创意被竞争对手窃取。原因竟然是主创人员的QQ上安装了视频,不经意间断送的或许并不仅仅是一次合作的机会。
5.压缩软件――对信息安全威胁最大的软件。
ZIP、RAR是威胁企业信息安全最大的软件。压缩软件可以把大型的WORD文件轻松打包转移。
6.光盘刻录――资料在备份过程中流失。如果想要拿走公司的资料,最好的办法是申请光盘备份,把文件做成特定的格式,交给网络管理员备份,然后声称不能正常打开,要求重新备份,大多情况下,留在光驱里的“废盘”就可以在下班后大大方方带出公司。
7.邮箱――信息窃取的中转站。
利用电子邮件转移窃取的公司资料占所有信息窃取的八成以上。很多企业不装软驱、光驱、USB接口,却没有办法避免员工通过电子邮件窃取信息。
8.隐藏分区――长期窃取公司资料必备手法。
长期在公司内搜集资料,用来出售或保留,总是件危险的事情。于是隐藏在硬盘分区就成了最佳选择,本来有C、D、E三个虚拟分区,可以把E隐藏起来,只有自己可以访问。
9.私人电脑一大量窃取资料常用手段。
压缩软件的作用毕竟是有限的,如果把自己的笔记本电脑拿到单位来,连上局域网,只要半小时,就是有1个G的文件也可以轻松带走。
文字会说话
1.会议记录――被忽视的公司机密。
秘书往往把会议记录看得很平常,他们不知道一次高层的会议记录对于竞争对手意味着什么。公司里经常可以看见有人把会议记录当成废纸丢来丢去,任由公司最新的战略信息在企业的任何角落出现。
2.未被采纳的策划案――放弃也是一种选择。
策划人员知道被采纳的策划是公司机密,却往往不知道被放弃的策划也是公司机密。有时还会对客户或媒体谈起,而竞争对手可以轻松判断:你没有做这些,就一定选择做了那些!
3.指数对比――聪明反被。
在传统的生产型企业之间,经常要推测竞争对手的销售数量、生产数量。于是,人们为了隐藏自己的实际数量,而引入了统计学里的指数,通过对实际数量的加权,保护自己的机密信息。唯一让人遗憾的是,公司通常采取的简单基期加权,如果被对方了解到几年内任何一个月的真实数量,所有的真实数量就一览无余地出现在竞争对手的办公桌上了。
4.产品痕迹――靠“痕迹”了解你的未来。
在市场调查领域,分析产品痕迹来推断竞争对手行销效果和行销策略是通用的方法。产品的运输、仓储、废弃的包装,都可以在竞争对手购买的调研报告中出现,因为“痕迹分析”已经是商业情报收集的常规手段。
防人之心不可无
1.招聘活动――你的公司竟然在招聘总监?
在招聘过程中,成熟的企业不会把需要招人的职位登在一张广告里,因为那无异于告诉你的竞争对手:刚刚发生过人力震荡,人力匮乏。
2.培训――信息保卫战从此被动。
新员工进入公司,大部分的企业会对新员工坦诚相见。
但事实上,总有超过20%的员工会在入职三个月以后离开公司。同时,他们中的大部分没有离开现在从事的行业,或许正在向你的竞争对手眉飞色舞地描述你公司的一草一木。
3.入职后一星期――新人在第一个星期里收集的资料是平时的5倍。
只有在这一个星期里,他是随时准备离开的,他时刻处在疯狂的拷贝和传送状态。提防你的新员工,无论你多么欣赏他。
4.解聘后半小时――不要给他最后的机会。
如果被解雇的员工是今天才得到这个消息,那么,不要让他再回到他的电脑旁。半个小时的时间,刚好可以让他收拾自己的用品,和老同事做简短的告别。半小时足够了,为了离职员工的清白,更为了信息安全。
5.离职后30天――危险来自公司以外。
一般情况下,一个为企业服务半年以上的员工,离职后30天之内会和公司现有员工保持频繁的联系,并且对公司的资料和状况表现出极度的热情。如果是被限时离开,那么,在离职30天内通过老同事窃取公司信息的可能性就更大。
6.客户――你的机密只是盟友的谈资。
经常可以在网络上看到著名咨询公司的客户提案,这些精心制作的:PPT,凝聚了咨询公司团队的汗水和无数个不眠之夜,在一些信用较差的客户手里可能只是一些随意传播的谈资。
7.合作后半个月――竞争对手窃取情报的惯用手法是:假冒客户。
在初次合作的半个月里,你对信息安全的谨慎只能表明企业做事的严谨,可以赢得大部分客户的谅解和尊敬。除非,他是你的竞争对手。
8.招标前两分钟――最后的底价总是在最后“出炉”。
如果投标的底价内部公开越早,出现泄露的风险越大,在招标开始前两分钟,面对关掉手机的参会者,可以公布底价了!
机密保卫战
1.明确对外提案原则――能不留东西的就不给打印稿,能不给电子档的就尽量给打印稿,能用电子书就不用通用格式。
2.保密协议――无论作用大小,和员工签定清晰的保密协议还是必要的。
无规矩不成方圆,明确什么是对的,人们才可以杜绝错的。保密协议的内容越详细越好,如果对方心胸坦白,自然会欣然同意。
3.责任分解一明确每个人对相关信息的安全责任。
所有的机密文件如果出现泄露,可以根据规定找到责任人,追究是次要的,相互监督和防范才是责任分解的最终目的。
4.设立信息级别――对公司的机密文件进行级别划分。
比如合同、客户交往、股东情况列为一级,确定机密传播的范围,让所有人了解信息的传播界限,避免因为对信息的不了解而导致的信息安全事故。
5.异地保存一别把鸡蛋放在同一个篮子里。
所有备份资料尽量做到异地保存,避免因为重大事故(如:火灾、地震、战争等)对企业信息带来致命的打击。
篇10
【关键词】 信息系统; 审计; 审计目标
2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》,加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异,导致了企业信息系统审计与公共部门信息系统审计的不同特点。
一、增强国有企业信息系统的可信性
审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定,审计机关对国有企业财务收支的真实、合法、效益,依法进行审计监督。显然,真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标,决定了国有企业信息系统审计的目标。国有企业审计的真实性目标,必然要求国有企业信息系统提供真实性的信息,这意味着,审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。
根据相关法律的规定,注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定,“公司应当在每一会计年度终了时编制财务会计报告,并依法经会计师事务所审计。”而且,2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定,“履行出资人职责的机构根据需要,可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计,或者通过国有资本控股公司的股东会、股东大会决议,由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计,维护出资人权益。”大家知道,依据注册会计师执业审计准则的规定,会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明,注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的,因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标,决定了注册会计师对国有企业信息系统审计的可信性目标。
同样的审计对象,不同的审计主体,导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现,无论是审计机关还是注册会计师对国有企业进行审计,其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定,审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则,对国有企业信息系统审计的目标是可信性。那么,什么是真实性?什么是可信性?这两种目标之间有什么样的联系和区别?为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢?
(一)真实性与可信性的基本涵义
我国审计法强调真实性,根据2010年9月颁布的中华人民共和国国家审计准则(以下简称国家审计准则)的规定,“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么,什么是真实性呢?真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的,但是不够完整或者披露不及时,仍然不能满足信息使用者的需要,甚至会导致错误的投资决策。事实上,就真实性本身而言,由于会计估计、核算方法等因素的影响,会计信息的真实性也只是相对的,而不是绝对的。所以,把真实性作为审计目标,具有一定的局限性。所谓可信性,从国际审计准则第200号(ISA200)可以看出,当编制的财务报表公允表达(presented fairly)或真实公允(true and fair)时,它才是可信性的。从字面上讲,公允(fair)或公平的要求,强调了财务报表各种使用者之间的利益平衡。从理论上讲,公允表达或真实公允的概念比真实性概念具有更多的内涵,涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号(ISA200)中,公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制,“公允”还意味着超出财务报告框架所要求披露范围的必要性,以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架,主要是指适用的会计法律法规、会计准则、会计制度等。大家知道,我国会计法强调“保证会计资料真实、完整”。根据会计法的要求,我国的财务报表不仅要具有真实性,而且还要具有完整性。总的来说,可信性并不否认真实性,真实性是可信性的必要前提之一,但真实的并不一定是可信的,可信性的内涵更加丰富,真实性是对财务信息质量的最低要求,可信性反映了对财务信息质量更高的要求。
(二)可信性目标反映了注册会计师审计发展的新阶段
一般认为,受社会需求变化、自身技术手段及审计风险等因素的影响,注册会计师审计目标的发展演变至今经历了四个阶段,即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段,及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标,然而从历史发展演变的角度看,真实性只是注册会计师审计的早期目标,当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展,是更高级发展阶段的目标。
(三)可信性目标比“真实公允”具有更加广泛的适用性
20世纪90年代后期,传统的财务报表审计成为更为广义的概念――“保证业务”(Assurance Service)的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》,2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》,2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式,主要包括:当鉴证对象为财务业绩或状况时(如历史或预测的财务状况、经营成果和现金流量),鉴证对象信息是财务报表;当鉴证对象为非财务业绩或状况时(如企业的运营情况),鉴证对象信息可能是反映效率或效果的关键指标;当鉴证对象为物理特征时(如设备的生产能力),鉴证对象信息可能是有关鉴证对象物理特征的说明文件;当鉴证对象为某种系统和过程时(如企业的内部控制或信息技术系统),鉴证对象信息可能是关于其有效性的认定;当鉴证对象为一种行为时(如遵守法律法规的情况),鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出,传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同,也从财务报表审计中按照适用的财务报表编制框架,如编制财务报表所使用的会计准则和相关会计制度,扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看,鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标,可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性,而且还适用于非财务信息(绩效信息)的可信性。对财务报表来说,如果它是真实公允的,即在所有重大方面是按照适用的财务报表框架编制的,它就是可信性;对于其他鉴证信息来说,如果它是符合适用的鉴证标准,就是可信性的。企业内部的信息系统,现在已不仅仅是财务信息系统,还包括各种业务和管理信息系统。与此同时,为满足企业的业务需求,信息系统所提供的信息也不局限于财务信息,而且还包括许多非财务信息。所以,在国有企业信息系统审计中,把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。
(四)可信性目标反映了审计理论的深化和发展
可信性不是一个孤立的术语,它是新审计理论(或一组新的相互联系的审计概念)中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务,传统的审计理论也得到了深化和发展。大家知道,审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论,即审计动因论,是建立在传统的审计三方关系之上的。然而,在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系,即注册会计师、责任方和预期使用者。在新的审计三方关系中,被审计人与审计授权或委托人之间责任关系的含义更加丰富,除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中,预期使用者应包括企业所有的利益相关者,除了传统受托责任关系中的股东外,还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表,但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系,可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性,实际上是减少了信息提供者与预期使用者之间的信息不对称,鉴于预期使用者的广泛性,在市场经济条件下,将有利于完善市场机制,提高市场资源配置效率,从而拓展了审计的社会功能。可信性不是一个空洞的概念,鉴证对象信息是否具有可信性,需要执行一定的业务程序。审计师在收集证据的基础上,依据一定的标准,检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后,才能为鉴证对象信息的可信性提供一定程度的保证,从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证,鉴证对象信息被划分为财务信息和非财务信息,其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一,相比之下,真实性概念在新的审计理论中却没有相应的理论地位。
(五)可信性目标反映了国家审计的发展趋势
在世界审计组织(INTOSAI)的道德准则(Code of Ethics)中,强调了信赖(trust)、信任(confidence)、信誉(credibility)对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言:“Auditing to build public confidence”,即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出,要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出,国家审计是国家治理的一个组成部分。孔子曰:“足食,足兵,民信之矣”,“民无信不立”,说明了信任、守信在国家治理中的重要性。我们知道,“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力,增强整个社会的诚信。从国家治理的角度看,可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。
经过上述真实性和可信性两种审计目标含义的对比,不难发现,虽然真实性目标是国有企业审计的传统目标之一,但是可信性比真实性的涵义更为丰富,可信性目标中不但包含了真实性目标,而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求,国家审计对信息质量的要求不应低于注册会计师审计。因此,笔者认为,尽管现行的审计法规定了国有企业信息系统审计的真实性目标,但是,从理论上讲以及从未来发展趋势看,审计机关应当选择可信性作为国有企业信息系统审计的目标,即国有企业信息系统审计应当促进企业信息系统提供可信的信息。
二、促进国有企业信息系统的遵循性
最高审计机关国际组织(INTOSAI)在审计基本原则(ISSAI-100)中,把政府审计业务分为两大类,即合规审计(regularity audit)和绩效审计(performance audit),并制定了相应的审计执行指南,即财务审计执行指南(Implementation Guidelines on Financial Audit)、遵循审计执行指南(implementation guidelines on compliance audit)和绩效审计执行指南(Implementation Guidelines on Performance Audit)。在这个准则指南框架中,合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》(ISA250)中,非遵循(non-compliance),是指被审计单位不履行法律法规责任或者违反法律法规的犯罪,故意地或者非故意地,与执行的法律或法规对立的行为。在COSO内部控制框架中,遵循性(compliance)作为内部控制的目标之一,是指符合适用的法律法规。由此看来,在上述准则指南中,遵循性,就是我国国家审计中的合法性。但是,在本文中,作为国有企业信息系统审计的目标之一,遵循性与合法性不同。
为满足业务需求,对信息系统提供的信息有一般性的要求,在IT治理框架COBIT4.1中,这些要求也被称之为信息标准(information criteria)。遵循性(compliance)作为其中的标准之一,是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性,即外部的强制要求和内部政策的遵循性。”⑤在本文中,遵循性作为国有企业信息系统审计的目标之一,采用COBIT4.1中遵循性的概念,即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求(合法性),而且还应符合国有企业内部制定的各种规定的要求。
我国审计机关对国有企业的财务收支的真实、合法和效益,依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容,信息系统审计应当促进国有企业信息系统的合法性。那么,为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢?企业内部如何制定关于其信息系统的规定是企业自己的事情,似乎审计机关不应干预,但是,效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益,这些内部规定,如内部控制、管理和治理等,也应纳入国有企业信息系统审计的遵循性目标范围。
三、改善国有企业信息系统的绩效性
绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务,为开展信息系统绩效审计提供了审计标准。
(一)企业信息系统绩效性的概念
当企业信息化发展水平达到一定程度后,信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段,信息系统主要应用于企业的财务会计领域,这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题,相应的措施主要集中在内部控制方面,强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高,信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域,与此同时,信息系统的建设投入和运行成本显著提高。这时人们发现,大量的信息化投入并不一定能够带来预期的收益,而且还带来巨大的潜在风险,个别企业甚至因高投入造成利润下降或财务危机,有的企业因业务流程改造滞后,还会导致管理混乱。在这种情况下,人们对信息系统关注的焦点,逐渐从“投入”转向“产出”,从技术和内部控制问题转向管理和治理问题,在企业内部出现了专门的IT管理部门,IT管理和IT治理逐渐从企业的一般管理和治理中独立出来,而“绩效”是描述信息系统投入产出、管理和治理的核心概念。
信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源,通过IT流程,提供企业信息服务,以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。
(二)绩效性目标的可行性
从我国企业信息化发展阶段看,目前信息系统的绩效问题已经成为关注的焦点。2011年2月,工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段,分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段,如图1所示。
该报告认为,目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是,2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面,企业基本完成了信息技术在各业务领域的应用覆盖,已逐渐开始深度关注企业业务发展需求,着力提升信息技术的应用价值。”提高信息系统的绩效,也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标,符合我国企业信息化发展的现状,在现实中具有可行性。
(三)绩效性是IT管理和IT治理的重要内容
IT管理目的在于如何降低成本,以更好的弹性及更快的响应速度,向组织内外部顾客提供高质量的IT服务,提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性,即经济性、效率性和效果性。
信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500(组织的信息技术治理)中规定了“绩效”原则,即IT应适合于支持组织的目的并提供服务,服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征:以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中,绩效测评是IT治理的关键,并且指出,“多项调研已经表明,IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域,提高透明度主要通过绩效测评来实现。”⑥
(四)绩效审计的参照标准
IT管理和IT治理从企业管理和治理中独立出来,为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样,企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务,则为开展信息系统绩效审计提供了审计标准,也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有:ISO/1EC20000(信息技术――服务管理)、ITIL(信息技术基础库)、ISO/IEC38500(组织的信息技术治理)、COBIT4.1(信息及其相关技术控制目标)等。
四、维护国有企业信息系统的安全性
维护国有企业信息系统的安全,对于维护国家经济安全至关重要。随着信息技术的发展和应用,人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义,对于开展信息系统安全性审计具有重要的意义。
(一)安全性目标的重要性
根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》,维护计算机信息系统的安全性,就是要保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行⑦。从这里可以看出,信息系统的安全包括:信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言,信息是核心,系统设施设备及其运行环境是保障,信息本身的安全是目的,系统设施设备的安全及其运行环境的安全是手段。
国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行,2010年12月,公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计,截至2010年5月,已有89.6%的中央企业开展了信息安全等级保护工作,中央企业总计建成投入使用的信息系统有16 092个,已定级14 539个,占比90.3%;应向公安机关备案的系统(二级及以上)有11 370个,已备案8 113个,占应备案系统的71.4%;列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%,第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明,国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定,“国家采取措施,推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中,优化国有经济布局和结构,推进国有企业的改革和发展,提高国有经济的整体素质,增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域,如电信、电力、石油、石化等重要行业,其重要信息系统已成为国家关键基础设施,是国民经济命脉之命脉,保护国有企业信息系统的安全稳定运行,对于维护国家经济安全和社会稳定具有重要的意义。
(二)信息安全概念的演变
根据我国计算机信息系统安全保护条例中的定义,计算机信息系统的安全性,包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中,信息本身的安全,即信息安全,是信息系统安全的核心和目的。那么,究竟什么是信息安全呢?
人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐渐被普遍接受。在2002年的国际标准ISO/IEC17799:2000《信息技术――信息安全管理业务规范》中明确规定,信息安全,是指保护:“保密性(confidentiality),即确保信息只能够由获得授权的人访问;完整性(integrity),即保护信息的正确性和完整性以及信息处理方法;可用性(availability),即保证经授权的用户可以访问到信息,如果需要的话,还能够访问相关资产。”然而,在2005年的该国际标准修订版即ISO/IEC17799:2005中,信息安全的定义,包括了七种安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他属性,如真实性(authenticity)、责任性(accountability)、不可抵赖性(non-repudiation)、可靠性(reliability)等,而且,这种修订后的信息安全定义,被2007年的国际标准ISO/IEC27001(《信息安全管理体系――规范与使用指南》)引用。在学术界,有人认为,信息安全的特性还应进一步包括可控性(controllability)、可预测性(predictability)、可审计性(auditability)、遵循性(compliance)等。
随着信息技术的发展与应用,信息安全的内涵越来越丰富,从最初的信息保密性发展到保密性、完整性和可用性,进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地,对企业信息安全的考虑,也从最初关注企业信息安全技术层面,发展到关注企业信息安全控制、管理和治理等层面。
(三)正确理解信息安全涵义需要注意的几个问题
1.信息安全与信息保密不同。从信息安全概念的涵义可以看出,信息保密与信息安全是两个不同的概念,信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定,但是保密法不能代替信息安全法。目前,我国对信息安全的立法仍然比较滞后,尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。
2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑,系统环境包括物理环境和社会环境。从社会环境看,主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说,微观层面单个组织的信息系统安全,还离不开宏观层面国家信息安全保障体系的构建。与此同时,微观层面的信息安全是基础,没有微观层面的信息安全,也就没有宏观层面的信息安全。
3.授权管理的重要性。信息安全的概念有三个核心涵义:保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素,即“授权”。保密性意味着只有获得授权才能访问;完整性意味着没有授权不得对信息进行删除或修改;可用性意味着拥有授权者随时可以使用。这表明,授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统,授权管理主要涉及对人员行为的安全管理。
4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出,信息系统的安全性目标不同于其遵循性、绩效性和可信性目标,但是,安全性与它们之间又是相互联系的。首先,安全性必须满足遵循性的要求,信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下,特别是各种信息安全法律法规、保密法,以及知识产权、个人隐私权方面的法律法规;其次,信息安全没有绝对的安全,所有的信息安全都是风险可接受条件下的安全,高水平的安全保护需要大量的投入成本,因而需要在成本、收益、风险和安全之间进行权衡,即安全性与绩效性的联系;最后,在信息安全技术层面,可信计算技术是信息安全技术的一个重要研究领域,从而表明安全性与可信性之间也有内在的联系。
笔者认为,目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准,无论是在理论概念还是在操作实务方面,对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准,同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时,在对国有企业信息系统的安全性进行审计时,还要立足我国实际,由于我国国有企业信息系统是国民经济命脉之命脉,事关国家经济安全和社会稳定,在重视企业本身信息系统安全的同时,还应当从宏观上揭示国有企业信息系统的安全风险,维护国家经济安全。
最后应当指出的是,在审计实践中,根据具体情况,单个审计项目可以选取上述可信性、绩效性和安全性目标中的一个或多个作为审计目标。
- 上一篇:网络安全专业服务
- 下一篇:工程建设项目的全过程管理
相关期刊
精品范文
10网络监督管理办法