祸起萧墙,企业风险防范重在内控
2011-10-13 13:19
218 查看
本篇文章版权由ECF和HP所有
作者:王甲佳
信息安全的风险因素很多,相形之下,内因会多于外因。在工作重点上,基于一定的外在安全保障情况下,我们的精力需要主要放置在内控制度的设计与执行方面。
内控的关键点在于状态变化时候的策略切换。状态变化包含这样几个情形:
一是人员及岗位异动时,信息权限的调整。一方面包括本公司的人员,另外一方面也包括项目实施方的人员,不管是传统软件项目还是云计算项目,一般都有测试帐号,这些帐号往往是超级权限。为了方便日后的维护,这些帐号的管理相对比较松懈。公司员工离职之后,帐号不及时清理,亦有隐患。有一个通讯公司,就是这个原因,充值卡程序被盗用,损失了上千万。岗位变化之后,亦需要根据角色进行重新赋权。
二是应用环境变化后,需要更新安全策略。这点在《大隐隐于市的安全观》里面有一些说明,核心意图是不同环境“携带”不同的锁,包括在公共网络、家庭网络的情形,也包括在PC、智能手机、PAD等终端情形之下的安全配置。
内控管理,网络安全软件及服务器配置虽然可以发挥作用,但是往往是技术特性的,属于“硬约束”。我们还是需要在企业文化、职业道德等方面形成“软约束”。鼓励职员自觉维护信息安全,检视可能出现的制度性漏洞。对于风险的控制,牢牢树立“道德防火墙”的概念。
本篇文章版权由ECF和HP所有
作者:王甲佳
信息安全的风险因素很多,相形之下,内因会多于外因。在工作重点上,基于一定的外在安全保障情况下,我们的精力需要主要放置在内控制度的设计与执行方面。
内控的关键点在于状态变化时候的策略切换。状态变化包含这样几个情形:
一是人员及岗位异动时,信息权限的调整。一方面包括本公司的人员,另外一方面也包括项目实施方的人员,不管是传统软件项目还是云计算项目,一般都有测试帐号,这些帐号往往是超级权限。为了方便日后的维护,这些帐号的管理相对比较松懈。公司员工离职之后,帐号不及时清理,亦有隐患。有一个通讯公司,就是这个原因,充值卡程序被盗用,损失了上千万。岗位变化之后,亦需要根据角色进行重新赋权。
二是应用环境变化后,需要更新安全策略。这点在《大隐隐于市的安全观》里面有一些说明,核心意图是不同环境“携带”不同的锁,包括在公共网络、家庭网络的情形,也包括在PC、智能手机、PAD等终端情形之下的安全配置。
内控管理,网络安全软件及服务器配置虽然可以发挥作用,但是往往是技术特性的,属于“硬约束”。我们还是需要在企业文化、职业道德等方面形成“软约束”。鼓励职员自觉维护信息安全,检视可能出现的制度性漏洞。对于风险的控制,牢牢树立“道德防火墙”的概念。
本篇文章版权由ECF和HP所有
相关文章推荐
- ERP与企业内部控制风险防范
- IT企业法律风险防范 --你准备好了吗?
- IT企业法律风险防范 -----你准备好了吗?
- 企业年金投资需防范五大风险
- 防范项目中人员频繁变动的风险
- 关于ShellShock对企业网络服务器的攻击以及防范手段
- 防范AJAX风险
- 第四部分 个人理财风险防范1.家庭理财:一慢二看三通过
- 第四部分 个人理财风险防范13.聚焦民间借贷
- 如何防范与化解联保联贷风险
- 企业在线ERP系统与内控控制因素管理
- 老板对管理的漠视给企业带来的风险 推荐
- 电力企业防范敏感数据外泄
- 话里话外:企业内控的灵魂——企业文化
- Android 应用安全风险与防范
- 微小外贸企业在线交易化解汇率风险
- 对印贸易风险防范
- 规范企业流程,加强风险控制,从OA到协同再到流程管理
- 企业内部控制应用指引之一:发展战略之战略风险