隨著科學(xué)技術(shù)的進步,全球經(jīng)濟的一體化促進信息化建設(shè)的大發(fā)展。一方面,一體化的發(fā)展離不開信息化的建設(shè)與應(yīng)用,如果企業(yè)以及各經(jīng)濟組織不實行信息化管理,那么要實現(xiàn)與國際一體化的接軌是行不通的;另一方面,企業(yè)不掌握充足的信息,或不加任何整理編排,那么,企業(yè)的高層決策者就無法正常進行指揮調(diào)度,無法實現(xiàn)企業(yè)在全國乃至世界范圍內(nèi)生產(chǎn)要素的優(yōu)化配置。實踐證明,信息技術(shù)所涉及的行業(yè)在我國的發(fā)展趨勢不再局限于企業(yè)決策,經(jīng)營分析等內(nèi)容。而是把它作為一條紐帶,成為連結(jié)家庭與社會,個人與組織,成為商貿(mào)金融、娛樂、教育、科研等領(lǐng)域中必不可少的重要組成部分。同樣國外先進的信息管理和信息系統(tǒng)應(yīng)用技術(shù)和手段也在信息化建設(shè)的進程中起到示范效應(yīng)。
鑒于這種發(fā)展的大趨勢,給信息安全帶來了巨大挑戰(zhàn)。尤其對于信息管理部門應(yīng)認真研究如何抓好信息管理,控制安全風(fēng)險。
一、控制信息風(fēng)險是保證信息安全的基礎(chǔ)
風(fēng)險管理中對信息控制的要求在COSO框架以及ISO31000:2009國際標準中都給予了高度重視,企業(yè)管理中對信息的控制應(yīng)成為控制的主要內(nèi)容,同時在實施控制過程中也要強調(diào)信息以及信息反饋的重要性。COSO風(fēng)險管理框架強調(diào)了“信息與溝通”的要素管理,在COSO《企業(yè)風(fēng)險管理框架》中,企業(yè)風(fēng)險管理包括四類目標和八大要素。“信息與溝通”成為八大要素之一,其以“信息不對稱”理論為基礎(chǔ),體現(xiàn)了在內(nèi)部控制框架中的重要性,這是內(nèi)部控制運行的輸入條件,也是這個機制實現(xiàn)持續(xù)改進的牽引。值得提醒的是,這些控制過程中的信息都是“人”的行為的痕跡或記錄。
同樣,在《ISO31000:2009風(fēng)險管理原則與指南》強調(diào)了“信息與咨詢”ISO31000:2009標準在風(fēng)險管理流程中強調(diào)了“信息與咨詢”,并認為信息與咨詢是貫穿整個風(fēng)險管理全過程的活動內(nèi)容,可見“信息與咨詢”在標準中的重要程度。
降低信息不對稱同樣也是信息安全的一個客觀基礎(chǔ)。信息數(shù)據(jù)的價值在于將正確的信息在正確的時間交付到正確的人手中。因此組織內(nèi)部產(chǎn)生逆向選擇和道德風(fēng)險的最根本原因是信息不對稱。降低信息不對稱原則要求內(nèi)部控制設(shè)計從兩方面考慮:一方面,在委托人和代理人之間建立雙向信息傳遞的渠道,縮短信息傳遞環(huán)節(jié),優(yōu)化信息傳遞過程,降低人的主觀因素在信息傳遞過程中的影響。另一方面,重視建立激勵和監(jiān)督機制,確保信息的對稱性,也即是保證信息的安全完整,降低信息管理過程中的不安全因素的有效手段。
二、加強企業(yè)全面風(fēng)控管理系統(tǒng)的最優(yōu)化建設(shè)
以前的企業(yè)管理,都是靠人力物力收集信息,過程既長又繁瑣,缺少靈活性和永久性,不能適應(yīng)突變的信息或適時的查詢。而計算機信息管理技術(shù)徹底改變了傳統(tǒng)的管理和記錄的方式,她既具有及時性,又具有系統(tǒng)性,可以在短時間內(nèi)完成信息的分類和編輯,還可以及時地反饋和方便地修改,徹底地實現(xiàn)了無紙管理和系統(tǒng)規(guī)劃?,F(xiàn)代社會已經(jīng)演變?yōu)橐粋€信息化社會,大量紛繁的信息管理與計算機結(jié)合,使信息管理更加有效和實用。隨著企業(yè)經(jīng)營規(guī)模的現(xiàn)代化,對信息管理的要求越來越強烈。例如鐵路訂票系統(tǒng),就是對車票這種信息的查詢和管理系統(tǒng)。
在進入大數(shù)據(jù)的今天,數(shù)據(jù)信息的安全性更成為人們廣泛關(guān)注的焦點。美國互聯(lián)網(wǎng)數(shù)據(jù)中心指出,互聯(lián)網(wǎng)上的數(shù)據(jù)每年將增長50%,每兩年便將翻一番,而目前世界上90%以上的數(shù)據(jù)是最近幾年才產(chǎn)生的。此外,數(shù)據(jù)又并非單純指人們在互聯(lián)網(wǎng)上發(fā)布的信息,全世界的工業(yè)設(shè)備、汽車、電表上有著無數(shù)的數(shù)碼傳感器,隨時測量和傳遞著有關(guān)位置、運動、震動、溫度、濕度乃至空氣中化學(xué)物質(zhì)的變化,也產(chǎn)生了海量的數(shù)據(jù)信息?;ヂ?lián)網(wǎng)、云計算以及大數(shù)據(jù)的應(yīng)用催生出一系列新的、需要考慮的安全性問題。某些特殊行業(yè)比如金融數(shù)據(jù)、醫(yī)療信息以及政府情報等都有自己的安全標準和保密性需求。
就風(fēng)險管控而言最終落腳點是信息系統(tǒng),信息系統(tǒng)通過提供智能化的各項業(yè)務(wù)數(shù)據(jù)的分析報告,為決策人識別和判斷企業(yè)風(fēng)險提供幫助,為企業(yè)避免和減少風(fēng)險損失。因而,選擇什么樣的信息系統(tǒng)才能符合風(fēng)險控制的要求是大部分企業(yè)面臨的重要問題。企業(yè)有必要建立全面風(fēng)控管理系統(tǒng)。全面實施風(fēng)險管理可以達到與企業(yè)整體經(jīng)營戰(zhàn)略相結(jié)合的風(fēng)險可視化和可控下的最優(yōu)化,進而保護企業(yè)不致因災(zāi)害或失誤而遭受重大損失;及時和有效率的內(nèi)控可以熨平企業(yè)運營發(fā)展的波幅,增加經(jīng)營的穩(wěn)定性,并確保企業(yè)內(nèi)外部實現(xiàn)真實、可靠的增長和信息溝通。