隨著科學技術的進步�����,全球經(jīng)濟的一體化促進信息化建設的大發(fā)展�。一方面,一體化的發(fā)展離不開信息化的建設與應用�����,如果企業(yè)以及各經(jīng)濟組織不實行信息化管理�,那么要實現(xiàn)與國際一體化的接軌是行不通的;另一方面�,企業(yè)不掌握充足的信息,或不加任何整理編排��,那么�����,企業(yè)的高層決策者就無法正常進行指揮調(diào)度,無法實現(xiàn)企業(yè)在全國乃至世界范圍內(nèi)生產(chǎn)要素的優(yōu)化配置�����。實踐證明�����,信息技術所涉及的行業(yè)在我國的發(fā)展趨勢不再局限于企業(yè)決策��,經(jīng)營分析等內(nèi)容�。而是把它作為一條紐帶,成為連結(jié)家庭與社會����,個人與組織,成為商貿(mào)金融���、娛樂����、教育、科研等領域中必不可少的重要組成部分��。同樣國外先進的信息管理和信息系統(tǒng)應用技術和手段也在信息化建設的進程中起到示范效應��。
鑒于這種發(fā)展的大趨勢���,給信息安全帶來了巨大挑戰(zhàn)�����。尤其對于信息管理部門應認真研究如何抓好信息管理����,控制安全風險���。
一、控制信息風險是保證信息安全的基礎
風險管理中對信息控制的要求在COSO框架以及ISO31000:2009國際標準中都給予了高度重視����,企業(yè)管理中對信息的控制應成為控制的主要內(nèi)容,同時在實施控制過程中也要強調(diào)信息以及信息反饋的重要性���。COSO風險管理框架強調(diào)了“信息與溝通”的要素管理�,在COSO《企業(yè)風險管理框架》中,企業(yè)風險管理包括四類目標和八大要素�����。“信息與溝通”成為八大要素之一���,其以“信息不對稱”理論為基礎���,體現(xiàn)了在內(nèi)部控制框架中的重要性,這是內(nèi)部控制運行的輸入條件�����,也是這個機制實現(xiàn)持續(xù)改進的牽引�。值得提醒的是,這些控制過程中的信息都是“人”的行為的痕跡或記錄���。
同樣����,在《ISO31000:2009風險管理原則與指南》強調(diào)了“信息與咨詢”ISO31000:2009標準在風險管理流程中強調(diào)了“信息與咨詢”����,并認為信息與咨詢是貫穿整個風險管理全過程的活動內(nèi)容,可見“信息與咨詢”在標準中的重要程度。
降低信息不對稱同樣也是信息安全的一個客觀基礎�����。信息數(shù)據(jù)的價值在于將正確的信息在正確的時間交付到正確的人手中�����。因此組織內(nèi)部產(chǎn)生逆向選擇和道德風險的最根本原因是信息不對稱�����。降低信息不對稱原則要求內(nèi)部控制設計從兩方面考慮:一方面�����,在委托人和代理人之間建立雙向信息傳遞的渠道�����,縮短信息傳遞環(huán)節(jié)����,優(yōu)化信息傳遞過程��,降低人的主觀因素在信息傳遞過程中的影響。另一方面���,重視建立激勵和監(jiān)督機制����,確保信息的對稱性����,也即是保證信息的安全完整,降低信息管理過程中的不安全因素的有效手段����。
二、加強企業(yè)全面風控管理系統(tǒng)的最優(yōu)化建設
以前的企業(yè)管理���,都是靠人力物力收集信息�����,過程既長又繁瑣�����,缺少靈活性和永久性�,不能適應突變的信息或適時的查詢。而計算機信息管理技術徹底改變了傳統(tǒng)的管理和記錄的方式����,她既具有及時性,又具有系統(tǒng)性�����,可以在短時間內(nèi)完成信息的分類和編輯�,還可以及時地反饋和方便地修改,徹底地實現(xiàn)了無紙管理和系統(tǒng)規(guī)劃?,F(xiàn)代社會已經(jīng)演變?yōu)橐粋€信息化社會,大量紛繁的信息管理與計算機結(jié)合����,使信息管理更加有效和實用。隨著企業(yè)經(jīng)營規(guī)模的現(xiàn)代化��,對信息管理的要求越來越強烈��。例如鐵路訂票系統(tǒng)�,就是對車票這種信息的查詢和管理系統(tǒng)����。
在進入大數(shù)據(jù)的今天�,數(shù)據(jù)信息的安全性更成為人們廣泛關注的焦點����。美國互聯(lián)網(wǎng)數(shù)據(jù)中心指出,互聯(lián)網(wǎng)上的數(shù)據(jù)每年將增長50%����,每兩年便將翻一番,而目前世界上90%以上的數(shù)據(jù)是最近幾年才產(chǎn)生的�。此外,數(shù)據(jù)又并非單純指人們在互聯(lián)網(wǎng)上發(fā)布的信息��,全世界的工業(yè)設備�、汽車、電表上有著無數(shù)的數(shù)碼傳感器����,隨時測量和傳遞著有關位置、運動�����、震動�、溫度、濕度乃至空氣中化學物質(zhì)的變化���,也產(chǎn)生了海量的數(shù)據(jù)信息����。互聯(lián)網(wǎng)��、云計算以及大數(shù)據(jù)的應用催生出一系列新的����、需要考慮的安全性問題。某些特殊行業(yè)比如金融數(shù)據(jù)����、醫(yī)療信息以及政府情報等都有自己的安全標準和保密性需求。
就風險管控而言最終落腳點是信息系統(tǒng)�����,信息系統(tǒng)通過提供智能化的各項業(yè)務數(shù)據(jù)的分析報告���,為決策人識別和判斷企業(yè)風險提供幫助�,為企業(yè)避免和減少風險損失����。因而��,選擇什么樣的信息系統(tǒng)才能符合風險控制的要求是大部分企業(yè)面臨的重要問題。企業(yè)有必要建立全面風控管理系統(tǒng)���。全面實施風險管理可以達到與企業(yè)整體經(jīng)營戰(zhàn)略相結(jié)合的風險可視化和可控下的最優(yōu)化�����,進而保護企業(yè)不致因災害或失誤而遭受重大損失���;及時和有效率的內(nèi)控可以熨平企業(yè)運營發(fā)展的波幅,增加經(jīng)營的穩(wěn)定性���,并確保企業(yè)內(nèi)外部實現(xiàn)真實���、可靠的增長和信息溝通。
