祸起萧墙，企业风险防范重在内控

本篇文章版权由ECF和HP所有

作者：王甲佳

信息安全的风险因素很多，相形之下，内因会多于外因。在工作重点上，基于一定的外在安全保障情况下，我们的精力需要主要放置在内控制度的设计与执行方面。

内控的关键点在于状态变化时候的策略切换。状态变化包含这样几个情形：

一是人员及岗位异动时，信息权限的调整。一方面包括本公司的人员，另外一方面也包括项目实施方的人员，不管是传统软件项目还是云计算项目，一般都有测试帐号，这些帐号往往是超级权限。为了方便日后的维护，这些帐号的管理相对比较松懈。公司员工离职之后，帐号不及时清理，亦有隐患。有一个通讯公司，就是这个原因，充值卡程序被盗用，损失了上千万。岗位变化之后，亦需要根据角色进行重新赋权。

二是应用环境变化后，需要更新安全策略。这点在《大隐隐于市的安全观》里面有一些说明，核心意图是不同环境“携带”不同的锁，包括在公共网络、家庭网络的情形，也包括在PC、智能手机、PAD等终端情形之下的安全配置。

内控管理，网络安全软件及服务器配置虽然可以发挥作用，但是往往是技术特性的，属于“硬约束”。我们还是需要在企业文化、职业道德等方面形成“软约束”。鼓励职员自觉维护信息安全，检视可能出现的制度性漏洞。对于风险的控制，牢牢树立“道德防火墙”的概念。

本篇文章版权由ECF和HP所有