祸起萧墙,企业风险防范重在内控

标签:重磅推荐专栏企业管理

访客:17253  发表于:2012-02-28 15:08:42

信息安全的风险因素很多,相形之下,内因会多于外因。在工作重点上,基于一定的外在安全保障情况下,我们的精力需要主要放置在内控制度的设计与执行方面。

内控的关键点在于状态变化时候的策略切换。状态变化包含这样几个情形:

一是人员及岗位异动时,信息权限的调整。一方面包括本公司的人员,另外一方面也包括项目实施方的人员,不管是传统软件项目还是云计算项目,一般都有测试帐号,这些帐号往往是超级权限。为了方便日后的维护,这些帐号的管理相对比较松懈。公司员工离职之后,帐号不及时清理,亦有隐患。有一个通讯公司,就是这个原因,充值卡程序被盗用,损失了上千万。岗位变化之后,亦需要根据角色进行重新赋权。

二是应用环境变化后,需要更新安全策略。这点在《大隐隐于市的安全观》里面有一些说明,核心意图是不同环境“携带”不同的锁,包括在公共网络、家庭网络的情形,也包括在PC、智能手机、PAD等终端情形之下的安全配置。

内控管理,网络安全软件及服务器配置虽然可以发挥作用,但是往往是技术特性的,属于“硬约束”。我们还是需要在企业文化、职业道德等方面形成“软约束”。鼓励职员自觉维护信息安全,检视可能出现的制度性漏洞。对于风险的控制,牢牢树立“道德防火墙”的概念。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");