企业信息安全内部控制探讨.docx

上传人:h**** 文档编号:1356546 上传时间:2019-02-12 格式:DOCX 页数:6 大小:23.95KB
下载 相关 举报
企业信息安全内部控制探讨.docx_第1页
第1页 / 共6页
企业信息安全内部控制探讨.docx_第2页
第2页 / 共6页
企业信息安全内部控制探讨.docx_第3页
第3页 / 共6页
企业信息安全内部控制探讨.docx_第4页
第4页 / 共6页
企业信息安全内部控制探讨.docx_第5页
第5页 / 共6页
点击查看更多>>
资源描述

1、企业信息安全内部控制探讨 【摘 要】 我国 “ 互联网 +” 背景下,企业信息安全问题凸显,亟需加强信息安全内部控制。为保障信息安全,中国平安信息安全部门从威胁企业信息安全的信息存储、信息传输和信息使用三个层面制定了基于 DLP计划的信息安全内部控制机制,对 “ 人 ” 和设备进行有效控制,为我国企业信息安全工作树立了一个典范。我国企业应在此基础上不断创新,构建符合自身特色的信息安全屏障。 下载 【关键词】 信息安全 ; 内部控制 ; 中国平安 ; DLP 计划 中图分类号: F233 文献标识码: A 文章编号: 1004-5937( 2016)03-0052-04 一、我国企业信息安全内部

2、控制现状 随着我国 “ 互联网 +” 时代的到来,企业信息安全问题凸显。 2012 年末“ 三通一达 ” (中通、申通、圆通和韵达)等多家快递公司客户信息惨遭泄漏,造成包含客户电话、快递单号、客户地址等内容的数百万条信息在网上叫卖 ;2013 年初,我国领先的 IT 服务供应商东软集团 20 余名核心技术员工涉嫌泄漏公司核心机密被公安机关批捕,造成东软集团价值约 4 000 万元的经济损失 ;2014 年末, 12306 网站用户信息泄漏,包括用户名、密码、身份证号码和邮箱等 内容的约 13 万余条用户信息在网络上疯传 信息安全问题在各个领域引起了高度重视。我国企业信息安全现状堪忧,很多企业对

3、信息的保护措施远远不够。 信息安全不但包括电子信息安全,而且包括实物性信息安全(周卫华,2014)。电子信息方面,据我国信息安全部门的调查统计,在企业网络中安装防火墙的约为 68%,约 59%的企业部署了互联网安全防御措施 ;在信息安全策略和管理方面,引入信息安全技术架构并建立相应的流程和标准的企业仅占 34%,制定灾难性电子信息数据恢复计划或者持续运营方案的企业约占33%,均远远低于国际平 均水平。相比电子信息,实物性信息在我国企业中往往更容易被忽视。很多关于信息安全的文献几乎千篇一律地在谈对电子信息的保护,很少涉及实物性信息保护。但是,实物性信息(如,弃置物品)也可能附带公司的重要信息,倘

4、若不对此加以保护,同样会对企业造成难以预料的经济损失。因此,不论是电子信息安全还是实物性信息安全都应该引起企业管理者的重视。本文依据中国平安信息安全总监谭宪维先生在媒体中对其信息安全内部控制建设的介绍,就中国平安 DLP计划中对信息安全防护案例加以阐述,力图为我国企业做好信息安全工作提供一个可供参考的典范,也 为企业信息安全方面的研究提供一些思路。 二、中国平安 DLP 计划简介 DLP( Data Leakage Prevention)又称 “ 信息丢损防护 ” ,这一概念源于国外,是目前世界公认的信息安全防御手段。它是通过采取一系列的信息安全防护措施为防止企业特定数据或信息以 “ 非法 ”

5、 形式流出企业或遭到破坏,影响原始信息完整性、真实性和保密性而制定的策略。据中国平安保险(集团)股份有限公司信息安全总监谭宪维介绍,中国平安早在五年前就已经作了大量针对信息安全问题的工作,并结合本公司实际状况专门制定了一套 DLP计划。该计划从威胁企业信息安全的信息存储、信息传输和信息使用三个层面对涉及公司信息的各个方面加以严格控制,包括对人和终端的控制,着重强调对 “ 人 ” 的控制。该计划认为,提高员工的信息安全意识非常重要。中国平安首先制定出一系列信息安全制度,并通过平安晨会、平安报、内部信息网站和知识竞答等途径告知员工公司正在采取举措监控他们的行为以及监控他们的原因,并让员工明白自己怎

6、么做才不违规。其次是针对服务器、职场设备、 BYOD 和用户端口等终端的控制。通过加强这两个方面的工作,做到安全使用的数据尽量最多,把信息安全威胁尽量降 到最低。 同时,谭宪维认为,没有任何一个信息安全防护策略是百分之百有效的(翟艳、黄鲜宇, 2014)。因此,信息数据防护不是一个单一的方案就可以的,它是一个涉及整体的工作。 DLP 计划不是一蹴而就的事情,而是一个运动的、不断优化的过程。因此,中国平安在信息安全工作中秉承 “ 只有变才是不变的 ” 理念,倡导准确识别公司内外部环境的变化,顺应市场发展的潮流,树立前瞻性视野,做到防患于未然的信息安全,以支撑企业的稳健发展。 三、基于中国平安 D

7、LP 计划的信息安全控制 2007 年,中国平安成立了独 立于 IT 部门的信息安全部。该部门之所以开拓性地脱离 IT 部门独立成部,主要源于其关于企业信息安全控制的前瞻性思想:信息安全应该是兼顾人、流程和技术三个领域的保障形态。因此,该公司的信息安全控制在信息存储、信息传输和信息使用中均兼顾了这些领域(谭宪维, 2014)。具体如下: (一)信息存储 1.建立备份数据中心 数据备份的意义在于当信息遭受破坏之后,通过备份的数据,完整、快速、简捷、可靠地恢复到原有的数据保存状态,使公司现有业务能够迅速恢复至正常运营。高效的数据备份要同时做到资源配 置和运营管理两个方面的备份,既能保证原始信息的完

8、整性,又能满足信息还原的及时性要求,因此,是一个公司信息安全最根本、最基础的保障措施。为了保证公司整个信息系统的稳定运行,中国平安在上海和深圳两地建立起了两大互为备份的数据中心。这两个数据中心均采用了国际先进的 NCPI 和模块化设计思想,不论是在资源的有效配置方面,还是数据的运营管理方面都能实现可靠性、完整性、灵活性和可扩展性等要求。除此之外,自 2004 年数据中心建立之后,中国平安在国内率先制定了 “IT 灾难恢复计划 ” ,并做到每年进行一次实战演练,对这些管理体系不 断地进行更新和完善,提高公司在一个数据中心遭到破坏之后快速恢复关键信息系统的能力,为信息服务的可靠性和连续性提供有力保

9、障。 2.服务器保护 服务器承担着数据的存储、转发、发布等关键任务,是各类基于客户机/服务器( C/S)模式网络中不可或缺的重要组成部分,是每个公司信息系统的核心组件之一。信息泄漏事件很大程度上都是源于黑客对服务器的攻击。服务器存在的安全漏洞为黑客提供了攻击的机会,他们利用这些漏洞植入恶意软件、木马程序和病毒等,窃取或破坏公司重要信息。中国平安在应对服务器攻击方面不再按照传 统的 “ 亡羊补牢 ” 防御模式,而是依据ISO27001 信息安全管理体系中的 PDCA 模型(图 1)进行主动、全面的未雨绸缪式的安全管理。它将整个防御过程划分为计划( Plan)、实施( Do)、检视( Check)

10、和处理( Act)四个持续循环的阶段,从制度着手,制定出全面、严谨的服务器信息安全控制制度,依据该制度严格执行,并在此期间不断进行检视,对存在问题和隐患的地方及时进行处理。 3.对大数据的安全措施 大数据是近年来继云计算之后出现并得以迅速推广的全样本数据分析工具,通常被定义为无法用现有的软件工具提 取、存储、搜索、共享、分析和处理的海量的、复杂的数据集合,具有数量巨大、类型各样、价值密度低、处理速度快等特点,数据更加集中。因此,相对于传统数据而言,大数据被泄漏的风险更大。大数据包括结构性数据和非结构性数据。由于结构性信息包括了生产、交易、客户信息等,对其保密性要求相对较高,而对于非结构性信息,

11、由于其数据来源本来就公开,因此对其保密性要求也就相对较低。中国平安在大数据的管理方面仍然处于研究阶段,对大数据的保护主要关注结构性信息。针对这些数据,中国平安采取了名为 “ 微度漂白 ” 的管理策略。其思路就是把客户的敏 感信息(如,客户个人信息、银行账号、交易信息等)和这些数据的关联实体相分离,即只保留了不影响数据分析的关联性信息,即便是公司内部的数据分析员也不知晓数据的关联实体,从而达到对大数据保护的目的。 (二)信息传输 信息传输方面主要分为电子信息(如,电子协议、电子印章和电子邮件等)传输和实物信息(纸质文件、行销资料等)传输。 1.电子信息传输 公司内部(包括总公司和子公司之间)电子

12、信息的传输主要通过公司内网提供的内部邮箱在互联网中经由加密传输通道 VPN实现,同时,使用微软公 司的 OUTLOOK软件管理个人邮件。为了防止内部员工有意或无意通过邮箱向无关的外部泄漏内部信息,公司给予每个邮箱使用者不同的权限。主要业务在公司内部的部门(如,企划部、财务部等)邮箱使用者只有内部收发和接收外部邮件的权限,而没有向公司外部发送邮件的权限。对于需要与外部沟通较多的部门(如,采购部等),则仅开通个别用户外发邮件的权限,而且外发的邮件必须抄送至相关部门长,否则将受到不同程度的惩处。此外,相对于对外网资源要求较多的 QQ 等即时传输工具,中国平安的邮箱文化更具有可控性和可存储性。同时,在

13、网络通讯环境中建 造一个邮件监察策略,扫描电子邮件中的敏感信息,识别可能涉密的邮件。考虑到检测工具的判别并不是百分之百准确,因此,还要辅以人工识别,以兼顾监测的效率和效果。 2.实物性信息传输 近年来,物流公司泄漏客户信息的案件层出不穷。对于实物性信息的传输控制方面,如公司重要的纸质文件、行销资料及运营设备等在公司内部或母子公司间传输过程中,若使用外部物流将会导致信息泄漏风险大大增加,尤其是对于涉及公司关键经营决策的信息泄漏可能引起难以估量的经济损失,鉴于这些考虑,中国平安建立了自己的名为 “ 箱包 ” 的内部物 流。对于价值密度高、信息泄漏风险大的实物信息均采用内部 “ 箱包 ” 的形式进行

14、传递。同时,考虑到内部物流成本较高等因素,对于价值密度较低的基础性实物,由于其信息泄漏不会对公司经营产生较大影响,则可以考虑采用外部物流进行传递。对于数量较小的纸质文件,即便采用内部物流也难免存在丢失等风险,因此,这部分文件采用传真传输的方式更能保证其安全和完整。 (三)信息使用 1.制度宣导 信息安全存在的最大问题还是 “ 人 ” 的问题,归根到底是每一个公司员工的责任。几乎每一个员工都或多或少地掌握公司部门信息 ,他们很容易有意或无意间将信息泄漏出去。因此,必须在员工心里树立一个分辨敏感信息的判断标准。中国平安独创性地把 “ 人 ” 当作一种资产,而不是像其他公司当作资源进行管理。这样就要

15、对进入公司的员工的行为负责,能够更准确地衡量其操作风险。中国平安在公司内部建立了专门的信息安全内部控制部门,他们不是信息安全的实施者,而是推动实施者进行信息安全管理工作,每年都会通过信息服务网、晨会、平安报刊、知识竞赛等活动平台为本公司内部人员组织大量信息安全知识培训,让他们不断地接收新的知识和理念,并通过案例讲解其中的利害关系,以此改善 信息安全状况,提高公司中每个员工的防御意识和能力,组建一个 “ 全民皆兵 ” 的防御战线。同时,通过建立制度并强化公司内部信息安全形态、提供咨询顾问服务、进行审计监督等一系列持续不断的工作,推动信息安全的稳健发展。 2.办公职场设备控制 办公职场设备是公司员

16、工日常办公、维持公司业务正常运营的基础设施。公司员工对这些设备接触最多,也最为熟悉,同时也比较容易导致员工的疏忽大意,也许一个普通员工不经意间的行为就可能导致公司重要信息的泄漏或破坏。因此,这是公司信息安全方面最容易出现问题的地方之一。中国平 安对办公职场设备的管理主要是针对电脑、电话、打印机和传真机等的管理。具体如下:( 1)电脑,电脑是中国平安员工最重要的办公设备,它是访问公司数据库信息的入口,是存储办公资料的仓库,是员工交流的工具,几乎储存了一个员工日常工作涉及的所有信息。因此,首先就是要控制登录入口。每个员工分配一个 UM 账号,并由员工自行设定一个包含字母、数字和特殊符号的密码与之匹

17、配。为了保证密码的可靠性,每个员工必须在每三个月至少更改一次密码。其次是对其访问的站点进行控制。每台电脑根据员工的岗位类别只可以访问与自己工作密切相连的站点,而不能访问工作以外的站点。如,税务会计只能访问公司财务系统、国(地)税局网站,而不能链接到新浪网、搜狐网等。此外,一般禁止自行安装非制定软件(如, QQ 等)程序。若确实有需求,需在部门长审批之后由 IT 部门负责调试。最后,为了保证用户离开座位期间的信息安全,电脑在长时间未操作的情况下会自动锁定。( 2)电话,电话通讯的控制主要体现在对通话时间、时长和通话对象的监测方面。公司会定期对员工的可疑通话进行记录和检查,确保员工电话通讯安全。(

18、 3)打印机,打印机是每一个员工都要用到的数据输出设备,直接由每个部门长对该部门的打印 机负责。涉密文档的打印必须事先发送至部门长备份方可打印,并由打印者对打印文件的去向负责。此外, IT 部门定期对每个部门打印机的打印数量、打印时间和打印内容进行检查。( 4)传真机,由于传真机具有向公司外部发送数据的功能,因此,对其管理较为严格。一般每个部门由部门长直接负责,传输的内容需由部门长备份,并传送至上级部门,使用完毕,立即清除机内存储的数据。同时,由 IT 部门不定期进行抽查。 3.BYOD 控制 伴随着智能终端和移动互联技术的迅速发展,便携式计算机、智能手机和平板电脑等移动设备在日常办公中得 以

19、普遍推广和应用,越来越多的员工将移动设备引入到工作环境中,自带终端上班 BYOD( Bring Your Own Device)已经成为一种潮流。中国平安 2011 年就开始制定 BYOD 政策,以便更安全、可靠地利用这一不可逆转的趋势为企业创造价值。但是,近年来由于智能操作系统漏洞、刷机风险和木马程序的存在,使得移动终端设备不断面临威胁。据移动威胁检查数据显示,目前平均每秒钟就有 3.5个安全威胁产生。针对移动终端设备的安全问题不容小觑。 针对这些问题,中国平安依然先从 “ 人 ” 的角度着手,制定出一些列BYOD 管理制度。根据这些制度,员工应学习个人设备用于工作环境时应该准守的规则,签订

20、信息安全协议,并允许 IT 专员为其设备部署控制措施。此外,技术方面做到将个人使用与 BYOD 办公严格区分,建立一套包含以下方面的信息安全防护策略:( 1)认证设备, BYOD 设备要接入企业网络需要认证设备使用者的身份信息并确认授权 ;( 2)按要求配置设备, BYOD 设备经授权确认后需要按照信息安全规则实施密码标准和失败、尝试限制、安全锁定等管理配置要求 ;( 3)企业数据保护, BYOD 设备一般只能访问企业数据而不能下载储存,若必需保存企业数据时,应 做到企业数据与个人数据的明确分离 ;( 4)数据弃置,当 BYOD 设备脱离公司(如,员工离职或设备丢失)时,应做到可远程清除设备上

21、的企业数据。 4.内外网端口控制 对内外网端口的控制主要针对 USB 接口、 U 盘(包括移动硬盘等存储设备)、蓝牙和 WIFI 等内外设备联通端口的管理。具体控制措施如下:( 1)USB 端口是公司内外部数据传输最为便捷的路径,也是电子信息泄漏风险最大的出口。为了加强对 USB端口的控制,中国平安严格限制员工电脑端口的传输权限,即,禁用普通用户通过 USB端口拷出资料的权限,而只能拷 入与工作内容相关的文档和图片数据,对文档和图片以外格式的文件和程序则没有权限访问和使用。但是,日常工作中难免会遇到必须拷入和拷出的情形,为了保证日常工作的正常进行,公司在 IT 部门预留两个具有完全权限的 US

22、B端口,普通员工使用该端口前需提前向部门长提出申请,并向端口负责人备份存档。( 2) U 盘等存储设备,由部门长指定专人负责其存在性和安全性,即,防止其丢失和及时清除敏感数据,并由部门长不定时抽检。( 3)蓝牙和 WIFI,公司对蓝牙的应用较少,因此全部处于关闭状态。此外,由于中国平安在 2015年初推出了一个全国热点 区域 “ 免费平安 WIFI计划 ” ,因此, WIFI 主要是对员工休闲娱乐的福利,与办公网络(有限网络)采用完全分离的线路,保证了二者互不干涉。 5.日志审查 为了进一步监管员工在工作中对电子信息数据的处理,记录所有用户的全部操作,同时也为了在员工具有泄密嫌疑时及时拿出有力

23、的证据,中国平安建立了一套电子信息数据日志审查制度。该制度要求 IT 部门对每位员工的日常操作进行实时抽检、跟踪和记录,一旦侦查到敏感信息的交换时要及时提出预警,提示信息安全管理部门及时加以关注,并回溯该用户的操作历史进行综合评估, 以达到降低普通用户操作风险的目的。 6.丢弃文档和弃置物品控制 丢弃文档和弃置物品具有公司最容易忽略的信息安全风险。一张随手扔掉的废纸可能记载了重要的客户信息,一个丢弃的打印机可能储存有打印过的会议资料。因此,对丢弃文档和弃置物品的控制具有很重要的意义。中国平安对此要求也十分明确,不论是丢弃的纸质文档还是弃置物品均需事先 “ 毁掉 ” 其附带的信息。每个部门丢弃的

24、文档和弃置物品必须打包并列示清单,报至部门长审批销毁,并由两人或两人以上监销人在销毁清单上签字。 四、结语 伴随着 科学技术的不断进步和商务模式的日益复杂,信息安全问题开始困扰我国企业的稳健发展。本文在我国全面深化经济体制改革的背景下,通过对中国平安 DLP计划进行分析,为我国企业加强信息保护方面的工作提供一个可供参考的案例,同时希望对企业信息安全工作的深入研究有所帮助。正如中国平安信息安全部总监谭宪维先生所言,企业信息安全是我国企业亟需面对而且不断发展变化的问题,需要每一个企业用发展的眼光结合自身实际情况搭建个性化的信息安全屏障。 【参考文献】 周卫华 .信息化环境下内部控制实施流程优化研究 J.财务 与会计,2014( 11): 56-58. 翟艳,黄解宇 .上市公司内部控制的风险评估解析 J.会计之友, 2014( 19): 67-70. 谭宪维 .DLP 计划助力企业数据防泄漏 EB/ 宋建琦 .基于会计信息化的企业内部控制优化研究 J.会计之友, 2013( 24): 83-85. 张同建,吕宝林 .信息化创新、内部控制和操作风险控制的相关性研究J.软科学, 2010( 12): 13-18.

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文资料库 > 毕业论文

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。