随着科学技术的进步,全球经济的一体化促进信息化建设的大发展。一方面,一体化的发展离不开信息化的建设与应用,如果企业以及各经济组织不实行信息化管理,那么要实现与国际一体化的接轨是行不通的;另一方面,企业不掌握充足的信息,或不加任何整理编排,那么,企业的高层决策者就无法正常进行指挥调度,无法实现企业在全国乃至世界范围内生产要素的优化配置。实践证明,信息技术所涉及的行业在我国的发展趋势不再局限于企业决策,经营分析等内容。而是把它作为一条纽带,成为连结家庭与社会,个人与组织,成为商贸金融、娱乐、教育、科研等领域中必不可少的重要组成部分。同样国外先进的信息管理和信息系统应用技术和手段也在信息化建设的进程中起到示范效应。
鉴于这种发展的大趋势,给信息安全带来了巨大挑战。尤其对于信息管理部门应认真研究如何抓好信息管理,控制安全风险。
一、控制信息风险是保证信息安全的基础
风险管理中对信息控制的要求在COSO框架以及ISO31000:2009国际标准中都给予了高度重视,企业管理中对信息的控制应成为控制的主要内容,同时在实施控制过程中也要强调信息以及信息反馈的重要性。COSO风险管理框架强调了“信息与沟通”的要素管理,在COSO《企业风险管理框架》中,企业风险管理包括四类目标和八大要素。“信息与沟通”成为八大要素之一,其以“信息不对称”理论为基础,体现了在内部控制框架中的重要性,这是内部控制运行的输入条件,也是这个机制实现持续改进的牵引。值得提醒的是,这些控制过程中的信息都是“人”的行为的痕迹或记录。
同样,在《ISO31000:2009风险管理原则与指南》强调了“信息与咨询”ISO31000:2009标准在风险管理流程中强调了“信息与咨询”,并认为信息与咨询是贯穿整个风险管理全过程的活动内容,可见“信息与咨询”在标准中的重要程度。
降低信息不对称同样也是信息安全的一个客观基础。信息数据的价值在于将正确的信息在正确的时间交付到正确的人手中。因此组织内部产生逆向选择和道德风险的最根本原因是信息不对称。降低信息不对称原则要求内部控制设计从两方面考虑:一方面,在委托人和代理人之间建立双向信息传递的渠道,缩短信息传递环节,优化信息传递过程,降低人的主观因素在信息传递过程中的影响。另一方面,重视建立激励和监督机制,确保信息的对称性,也即是保证信息的安全完整,降低信息管理过程中的不安全因素的有效手段。
二、加强企业全面风控管理系统的最优化建设
以前的企业管理,都是靠人力物力收集信息,过程既长又繁琐,缺少灵活性和永久性,不能适应突变的信息或适时的查询。而计算机信息管理技术彻底改变了传统的管理和记录的方式,她既具有及时性,又具有系统性,可以在短时间内完成信息的分类和编辑,还可以及时地反馈和方便地修改,彻底地实现了无纸管理和系统规划。现代社会已经演变为一个信息化社会,大量纷繁的信息管理与计算机结合,使信息管理更加有效和实用。随着企业经营规模的现代化,对信息管理的要求越来越强烈。例如铁路订票系统,就是对车票这种信息的查询和管理系统。
在进入大数据的今天,数据信息的安全性更成为人们广泛关注的焦点。美国互联网数据中心指出,互联网上的数据每年将增长50%,每两年便将翻一番,而目前世界上90%以上的数据是最近几年才产生的。此外,数据又并非单纯指人们在互联网上发布的信息,全世界的工业设备、汽车、电表上有着无数的数码传感器,随时测量和传递着有关位置、运动、震动、温度、湿度乃至空气中化学物质的变化,也产生了海量的数据信息。互联网、云计算以及大数据的应用催生出一系列新的、需要考虑的安全性问题。某些特殊行业比如金融数据、医疗信息以及政府情报等都有自己的安全标准和保密性需求。
就风险管控而言最终落脚点是信息系统,信息系统通过提供智能化的各项业务数据的分析报告,为决策人识别和判断企业风险提供帮助,为企业避免和减少风险损失。因而,选择什么样的信息系统才能符合风险控制的要求是大部分企业面临的重要问题。企业有必要建立全面风控管理系统。全面实施风险管理可以达到与企业整体经营战略相结合的风险可视化和可控下的最优化,进而保护企业不致因灾害或失误而遭受重大损失;及时和有效率的内控可以熨平企业运营发展的波幅,增加经营的稳定性,并确保企业内外部实现真实、可靠的增长和信息沟通。