本篇文章版权由ECF和HP所有
作者:梁德力
如果和企业管理者谈到信息安全的事情,一些管理者首先会想到自己企业的信息是否被盗,如何防止内部员工拷贝一些关键的信息,往往会不在意业务处理过程中的信息安全性,他们忽略了信息的录入、修改和删除的过程。他们或许不知道这些过程中的信息安全也是很重要的,这也是内部审计的一个重要环节。
信息的修改和删除,这是企业信息处理过程中经常遇到的行为,一些企业信息录入错了,他们没有一个严谨的流程来约束信息的修改,有时处理起来很随意,甚至一个人就会直接处理了;有时一些企业会把已经录入的订单删除,自己重新录入一个新的订单。表面上系统反应的数据正确,但是订单对应的主人已经物是人非了,一些人以权谋私的过程也被掩盖了。财务部门的红字冲销原则已经告诉我们,对于错误的处理,必须采取红字冲销,并在备注中说明原因,而这个冲销过程反映出数据处理的真实过程。其实信息系统的数据处理过程,也是这样一个过程,在处理订单错误时,希望通过冲销处理,再重新录入一个正确订单,这样系统即可准确体现业务过程,同时冲销的处理,也会体现当初人员的行为,以利于后续工作改进。
信息系统的数据安全管理本身并不复杂,处理业务过程也很明确和简单,但是在一个企业里要约束企业的业务人员处理信息的行为,没有明确制度约束是无法实现的。仅仅靠IT部门去管理这个过程是很难的,IT部门对业务行为的约束,是以企业的行为准则为前提的。只有完善了企业的行为准则,将行为准则灌输给每个业务部门,并将其落实到业务过程中,企业的信息安全才会得到保证。
本篇文章版权由ECF和HP所有
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/25389417/viewspace-695011/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/25389417/viewspace-695011/