企业信息安全内部控制的探讨.docVIP

企业信息安全内部控制的探讨 　　【摘 要】 我国“互联网+”背景下，企业信息安全问题凸显，亟需加强信息安全内部控制。为保障信息安全，中国平安信息安全部门从威胁企业信息安全的信息存储、信息传输和信息使用三个层面制定了基于DLP计划的信息安全内部控制机制，对“人”和设备进行有效控制，为我国企业信息安全工作树立了一个典范。我国企业应在此基础上不断创新，构建符合自身特色的信息安全屏障。 　　【关键词】 信息安全; 内部控制; 中国平安; DLP计划 　　中图分类号：F233 文献标识码：A 文章编号：1004-5937（2016）03-0052-04 　　一、我国企业信息安全内部控制现状 　　随着我国“互联网+”时代的到来，企业信息安全问题凸显。2012年末“三通一达”（中通、申通、圆通和韵达）等多家快递公司客户信息惨遭泄漏，造成包含客户电话、快递单号、客户地址等内容的数百万条信息在网上叫卖;2013年初，我国领先的IT服务供应商东软集团20余名核心技术员工涉嫌泄漏公司核心机密被公安机关批捕，造成东软集团价值约4 000万元的经济损失;2014年末，12306网站用户信息泄漏，包括用户名、密码、身份证号码和邮箱等内容的约13万余条用户信息在网络上疯传……信息安全问题在各个领域引起了高度重视。我国企业信息安全现状堪忧，很多企业对信息的保护措施远远不够。 　　信息安全不但包括电子信息安全，而且包括实物性信息安全（周卫华，2014）。电子信息方面，据我国信息安全部门的调查统计，在企业网络中安装防火墙的约为68%，约59%的企业部署了互联网安全防御措施;在信息安全策略和管理方面，引入信息安全技术架构并建立相应的流程和标准的企业仅占34%，制定灾难性电子信息数据恢复计划或者持续运营方案的企业约占33%，均远远低于国际平均水平。相比电子信息，实物性信息在我国企业中往往更容易被忽视。很多关于信息安全的文献几乎千篇一律地在谈对电子信息的保护，很少涉及实物性信息保护。但是，实物性信息（如，弃置物品）也可能附带公司的重要信息，倘若不对此加以保护，同样会对企业造成难以预料的经济损失。因此，不论是电子信息安全还是实物性信息安全都应该引起企业管理者的重视。本文依据中国平安信息安全总监谭宪维先生在媒体中对其信息安全内部控制建设的介绍，就中国平安DLP计划中对信息安全防护案例加以阐述，力图为我国企业做好信息安全工作提供一个可供参考的典范，也为企业信息安全方面的研究提供一些思路。 　　二、中国平安DLP计划简介 　　DLP（Data Leakage Prevention）又称“信息丢损防护”，这一概念源于国外，是目前世界公认的信息安全防御手段。它是通过采取一系列的信息安全防护措施为防止企业特定数据或信息以“非法”形式流出企业或遭到破坏，影响原始信息完整性、真实性和保密性而制定的策略。据中国平安保险（集团）股份有限公司信息安全总监谭宪维介绍，中国平安早在五年前就已经作了大量针对信息安全问题的工作，并结合本公司实际状况专门制定了一套DLP计划。该计划从威胁企业信息安全的信息存储、信息传输和信息使用三个层面对涉及公司信息的各个方面加以严格控制，包括对人和终端的控制，着重强调对“人”的控制。该计划认为，提高员工的信息安全意识非常重要。中国平安首先制定出一系列信息安全制度，并通过平安晨会、平安报、内部信息网站和知识竞答等途径告知员工公司正在采取举措监控他们的行为以及监控他们的原因，并让员工明白自己怎么做才不违规。其次是针对服务器、职场设备、BYOD和用户端口等终端的控制。通过加强这两个方面的工作，做到安全使用的数据尽量最多，把信息安全威胁尽量降到最低。 　　同时，谭宪维认为，没有任何一个信息安全防护策略是百分之百有效的（翟艳、黄鲜宇，2014）。因此，信息数据防护不是一个单一的方案就可以的，它是一个涉及整体的工作。DLP计划不是一蹴而就的事情，而是一个运动的、不断优化的过程。因此，中国平安在信息安全工作中秉承“只有变才是不变的”理念，倡导准确识别公司内外部环境的变化，顺应市场发展的潮流，树立前瞻性视野，做到防患于未然的信息安全，以支撑企业的稳健发展。 　　三、基于中国平安DLP计划的信息安全控制 　　2007年，中国平安成立了独立于IT部门的信息安全部。该部门之所以开拓性地脱离IT部门独立成部，主要源于其关于企业信息安全控制的前瞻性思想：信息安全应该是兼顾人、流程和技术三个领域的保障形态。因此，该公司的信息安全控制在信息存储、信息传输和信息使用中均兼顾了这些领域（谭宪维，2014）。具体如下： 　　（一）信息存储 　　1.建立备份数据中心 　　数据备份的意义在于当信息遭受破坏之后，通过备份的数据，完整、快速、简捷、可靠地恢复到原有的数据保存状