王家忠

摘要：人們傳遞信息的工具在不斷地增加。隨著傳播速度的加快和網(wǎng)羅度不斷提高，人們對信息傳遞過程中的保密性也產(chǎn)生了質(zhì)疑。尤其是對于商業(yè)機密的問題，關(guān)系到員工的素質(zhì)，而最主要的就是對員工的思想認識的審計。所以本文試著以審計對信息安全問題的影響為重點，具體分析產(chǎn)生信息安全問題的原因并提出相應(yīng)的建議。

關(guān)鍵詞：審計角度 員工 信息安全意識

隨著信息科學(xué)技術(shù)在當(dāng)前企事業(yè)單位的廣泛運用，在生產(chǎn)率的提高上以及總產(chǎn)值的增加上是顯而易見的。同時也大幅度地減少了勞動時間，降低了勞動成本。信息技術(shù)對于我們越來越重要。根據(jù)馬克思的觀點，凡事都有兩面性。信息安全問題正在不斷地影響著我們的日常生活，甚至是防不勝防，所以目前的主要工作就是找出問題的癥結(jié)所在，分析存在的原因，并且做好預(yù)防的工作。

信息是一種資產(chǎn)，是企業(yè)總資產(chǎn)和個人隱私的重要載體，是企業(yè)或者組織進行正常商務(wù)活動或者是管理的不可或缺的財富。信息安全在當(dāng)前社會中的重要性越來越大，從宏觀上講，信息安全關(guān)系到國家的穩(wěn)定；信息安全關(guān)系到組織機構(gòu)的正常運作與持續(xù)發(fā)展；從微觀上來說，信息安全能夠保護個人隱私，關(guān)系到個人財產(chǎn)。

一、信息安全的內(nèi)涵

信息安全有廣義和狹義之分。從廣義上講，主要指在一定領(lǐng)域范圍內(nèi)，涉及到信息的保密性、可用性以及完整性、真實性、可控性等的相關(guān)理論和技術(shù)。從狹義上說，信息安全就是系統(tǒng)的硬件、軟件以及數(shù)據(jù)的保護，預(yù)防系統(tǒng)和數(shù)據(jù)遭到破壞和更改，保證系統(tǒng)連續(xù)可靠正常地運行。信息安全可以分為兩個層面，意識技術(shù)層面，防止外部用戶的非法入侵；在管理層面，主要是對內(nèi)部員工進行管理和培訓(xùn)。

當(dāng)前的某些企事業(yè)單位，尤其是具有高度機密性的銀行、保險等單位，他們的辦公電腦設(shè)備容易成為黑客的目標(biāo)并且在預(yù)防性方面仍舊存在著嚴重的情況。從總體上來說，信息安全問題比較普遍，并且也不是大多數(shù)企業(yè)的主要責(zé)任，他們忙于自身的關(guān)鍵業(yè)務(wù)，忙于市場調(diào)查，在計算機安全管理以及員工的安全意識執(zhí)行力上沒有過多的關(guān)注。首先，員工經(jīng)常會出現(xiàn)在電腦上一鍵下載某些瀏覽器和辦公軟件，并且毫無警惕的意識，在沒有相關(guān)技術(shù)人員的指導(dǎo)下，沒有在電腦上安裝阻止病毒或非法侵入的軟件，又或者是病毒庫沒有及時更新，甚或是下載安裝了不安全的軟件和與工作關(guān)系不大的非授權(quán)軟件；其次，對于存有機密的電腦，沒有設(shè)置相應(yīng)的密碼，如開機密碼、用戶登錄密碼、屏保密碼等等，這就增加了外界對該臺電腦的入侵程度，又或者是密碼設(shè)置得過于簡單，要么是六個“1”，要么是六個“8”，又或者是生日、電話號碼，這些都很容易被猜中；再次，沒有設(shè)置相應(yīng)的局域網(wǎng)。在某些單位，例如法院、公安局等，有些涉及到管理對象的身份信息，不能沒有采取措施就直接接入互聯(lián)網(wǎng)或者是身份不明的網(wǎng)站；最后一個問題是，部分員工平時沒有養(yǎng)成良好的習(xí)慣，在下班時間忘記關(guān)電腦，隨意借給別人使用，或者是設(shè)備隨意亂放。

二、審計對信息安全問題的影響

我們把矛頭指向了員工，是因為員工作為信息的擁有者，具有對保密性信息進行維護的義務(wù)。可以分析為員工不懂得識別信息安全風(fēng)險，或者是對培訓(xùn)的內(nèi)容和公司的制度沒有認真履行，或者是相關(guān)監(jiān)督部門的問題，沒有做好審計工作，對于出現(xiàn)問題的職員沒有采取有效的措施進行懲罰和遏制。但是究其根源，是員工的信息安全意識淺薄的問題。

審計對信息安全有什么影響呢？我覺得影響是多方面的：第一，如果將員工的信息安全意識問題引入到審計工作事項中，企業(yè)就會加強員工信息安全意識方面的培訓(xùn)，許多員工就能認識到信息安全問題的重要性。否則，他們可能處于企業(yè)的底層，沒有涉及到企業(yè)的最終利益，沒有深刻體會到，一個職員的行為會牽扯到一個公司的命運，沒有深刻意識到，整體可能會受到局部的影響。他們可能會看到技術(shù)部通報說：公司存在客戶資料泄密、黑客入侵以及機構(gòu)的主機癱瘓等現(xiàn)象，但是在他們身上發(fā)生的很少，員工覺得這種事情的責(zé)任不會落在自己身上；第二，如果將員工的信息安全意識問題引入到審計工作事項中，信息安全的隱性價值就能更好的得到體現(xiàn)。信息安全是一件比較隱性的東西，它比較抽象，不能量化、直觀地展示在員工面前，同時員工的受教育程度也是不同的，他們對這些問題的認識可能不會感同身受；第三，如果將員工的信息安全意識問題引入到審計工作事項中，信息安全的觀念在員工中就會得到更好的傳遞?？赡苤辉诼毠と肼殨r，在培訓(xùn)課上稍微提了一下，在之后的工作中沒有做好強調(diào)的工作。正因為缺乏了持續(xù)深入的信息安全傳導(dǎo)，或者是傳導(dǎo)的形式太刻板，沒有深入員工的內(nèi)心，導(dǎo)致員工對信息安全問題的認識是“仁者見仁，智者見智”，有些先入為主地以為這些高技術(shù)的問題由技術(shù)部解決就可以了。

三、在審計報告中，應(yīng)對員工信息安全意識方面的問題多提建議

從以上內(nèi)容可知，從審計的角度來提高員工信息安全意識是非常必要的。目前的信息技術(shù)是無孔不入，已經(jīng)滲透到了銀行、醫(yī)院的各個層面，就連取票排號都是高度的自動化。同時，信息也逐漸地成為了各個企業(yè)的重要資產(chǎn)，特別是在金融管理領(lǐng)域，安全問題事關(guān)重大。一旦發(fā)生，后果不堪設(shè)想。因此，各個企業(yè)紛紛制定出相應(yīng)的制度，以建立健全的信息安全體系，強化信息資產(chǎn)的保護。例如銀行，銀業(yè)員是政策、流程以及制度的具體執(zhí)行者，他們的執(zhí)行力直接影響到信息資產(chǎn)，影響到信息安全管理。

（一）在審計建議中，應(yīng)將員工的信息安全意識教育與培訓(xùn)方面的問題考慮在內(nèi)

培訓(xùn)和教育可以是事前的工作，也是事后的彌補工作。由于審計部門對信息安全問題比較熟悉，關(guān)注信息安全的重要性，審計人員現(xiàn)身說法能夠得到良好的效果，所以在審計建議中，可以考慮把這些知識引入到教育與培訓(xùn)中。采用的教育方式可以是靈活的，比如可以是集中培訓(xùn)和在線培訓(xùn)相結(jié)合，減少時間成本，可以制作公司內(nèi)部的宣傳冊，可以在公司的主頁上多設(shè)置相關(guān)的內(nèi)容。同時，有必要的話可以加入一些案例，使得分析結(jié)果更加透明和形象，對員工的說服力也更高。

（二）在審計建議中，應(yīng)將員工的信息安全意識約束機制方面的問題考慮在內(nèi)

眾所周知，每個企業(yè)都有自己的企業(yè)文化以及品牌形象。一個企業(yè)只有擁有了企業(yè)文化，才能擰成一股繩朝著一個方向不斷地努力。信息安全意識本身就是一個企業(yè)的重要內(nèi)容。在信息泛濫的今天，如果快速、準(zhǔn)確地做好決策也需要對你信息的正確有效地收集和保存。如果將信息安全文化的觀念植入員工的內(nèi)心，就能快速地提高其文化認同感和增強自身的責(zé)任感。因此，員工需要與公司簽訂相關(guān)的信息安全保證協(xié)議，以此作為公司和員工雙方遵守約定的憑證，并把它當(dāng)作員工的信用檔案存入員工的人事檔案中，在一定程度上，限制員工的胡作非為和隨意散漫的行為。讓員工從入職開始就意識到信息安全就在身邊，意識到“保護信息安全，從我做起”，從而促使員工加強思想重視。

（三）在審計建議中，應(yīng)將對員工的監(jiān)督控制考慮在內(nèi)

審計工作應(yīng)當(dāng)始終貫穿于公司的管理過程中，包括領(lǐng)導(dǎo)層面的計劃、組織、指揮、領(lǐng)導(dǎo)，也包括對員工的管理過程中。審計的方法可以是多方面的。不可失階段性的審計，可以是定期的審查，可以是突擊檢查。這些審計的意識一旦在員工心中形成固定的模式，他們也就會認真地去執(zhí)行，久而久之，這些意識就會在潛移默化中影響到員工個人。[3]審計工作進行過程中，如果發(fā)現(xiàn)有問題，不能睜一只眼閉一只眼，需要嚴格督促其改正，同時對于嚴重違規(guī)或者是舞弊的行為給公司，給銀行造成經(jīng)濟損失的，要追求他們的相關(guān)責(zé)任。

四、結(jié)束語

總而言之，審計對于信息安全非常重要，許多企業(yè)領(lǐng)導(dǎo)需要高度重視，信息安全問題涉及到每一個企業(yè)員工的具體工作，信息安全問題是企業(yè)文化建設(shè)的一個重要問題。領(lǐng)導(dǎo)者除了要抓好技術(shù)部門和信息安全部門的保密工作外，還要意識到員工的信息安全意識薄弱也是企業(yè)信息泄密或者是企業(yè)存在安全隱患的重要一環(huán)。

參考文獻：

[1]萬建輝.信息系統(tǒng)信息安全風(fēng)險評估管理[J].通訊學(xué)報，2012（10）

[2]楊華娟.網(wǎng)絡(luò)銀行的信息安全問題研究[J].計算機與數(shù)字工程，2011（01）

[3]劉俊玲.網(wǎng)絡(luò)環(huán)境下的信息安全問題 [J].中國科學(xué)，2010（03）endprint