從審計視角談員工的信息安全意識問題

摘要：隨著信息技術在商業銀行中應用的日趨廣泛和深入，其在提高效率、降低成本等方面發揮著越來越重要的作用，但隨之而來的是銀行失去了傳統的安全保護，使信息安全問題正變得日益突出，如病毒、拒絕服務攻擊、非授權訪問等。因此，如何能夠有效保障信息資產安全，已成為各商業銀行關注和研究的重要課題。下面筆者就在IT審計檢查中發現的問題及其成因進行分析，并從審計視角，談談員工的信息安全意識問題。

關鍵詞：審計視角 信息安全意識

1 發現的問題主要表現形式及成因分析

1.1 發現的問題主要表現形式

筆者曾參加對某一級分行的辦公設備審計檢查，現場隨機抽取多個部門的辦公電腦進行設備安全管理、用戶安全管理及通訊安全管理等三個方面的檢查，結果發現沒有一臺電腦在對上述安全管理的執行方面完全到位，不合規現象較普遍存在。

如電腦上未裝防病毒軟件或病毒庫更新不及時，下載并安裝了不安全軟件或與工作無關的非授權軟件，未設置用戶登錄密碼、開機密碼、屏保密碼或密碼為“111111”、“888888”等簡單數字、密碼長時間未更改過，來賓賬戶未設置禁用，擅自通過撥號（有線/無線）、ADSL等方式直接接入和訪問互聯網以及登陸不安全網站等，同時還關注到部分電腦非工作時間不關機、員工間互相借辦公電腦使用、存有重要數據的移動、設備隨意亂放等現象。

1.2 成因分析

上述普遍存在的不合規現象，究其原因，固然有員工對信息安全風險不識別、制度執行不到位及檢查監督不力、責任追究不深入等方面的因素，但是更深層次的原因還是員工信息安全意識淡薄，對信息安全風險認識不足所造成。如設置用戶開機密碼，本是一個簡單的合規操作問題，無任何復雜度可言，但是就是不執行、做不好，為什么？這恐怕就是員工的信息安全意識上的問題。

2 員工的信息安全意識薄弱的原因分析

造成員工的信息安全意識薄弱的原因是多方面的。一是信息安全價值未具體顯現。因為信息安全價值不能有效量化并分解到每一位員工，并且與員工自己的具體工作相比，信息安全不能對他們的工作成果產生直接影響，因此，在具體工作過程中，很多員工經常把信息安全管理放在次要位置，一切均為方便完成具體工作讓路。二是員工對負面影響的感受效果不明顯。盡管存在客戶資料泄密、機構主機癱瘓，黑客入侵等負面報道，但是真實事件發生在某一員工身上的很少，或者就算由于病毒入侵使該員工電腦癱瘓，但只要主要資料有備份，剩下的完全交給信息技術部門處理，因此，員工感同不深。三是信息安全傳導不到位，思想上認識不足。由于缺乏持續深入的信息安全傳導或者傳導方式、形式不夠靈活，不容易感受和接受，使員工對信息安全的認識處于較模糊的狀態，甚至認為這是領導和信息技術部門的事情，主動信息安全的風險意識不高。四是責任追究不深入，違規成本低。除了出現大的責任事故，否則對員工信息安全方面存在的問題一般處罰較輕或者不處罰。如，用戶密碼為“111111”太簡單，不合規，審計指出后，立即改正，過后又改回來。理由很充分，復雜的密碼不容易記住，又不能記在筆記本上，所以還是簡單的可靠，同時這個問題又不影響日常工作，其領導往往也不會深究，違規成本為零，也間接造成員工思想上的忽視。

3 員工具備信息安全意識的重要性

目前信息技術已經滲透到商業銀行業務的各個層面，信息也逐漸成為各商業銀行的重要資產，其安全管理也引起了金融業高管層的高度重視。為此，各商業銀行紛紛出臺政策、制度等建立健全信息安全管理體系，強化信息資產保護。而銀行員工作為政策、制度及流程的具體執行者，其執行力的高低直接決定了信息資產安全管理的強弱，而其思想上對信息資產安全的重視程度更是成為執行制度規定是否到位的關鍵因素，因此，員工信息安全意識的強弱在信息資產安全管理方面起著至關重要的作用，值得管理層關注。

4 提高員工信息安全意識的建議

4.1 加強信息安全文化建設，提高員工的認同感

一個企業需要一個文化，以提高企業員工的凝聚力，同樣，要提高員工信息安全意識也離不開其文化建設，通過強化信息安全文化建設，將信息安全文化根植于每一個員工的腦海中，以提高其認同感和責任感。

4.2 強化信息安全知識的教育和培訓，提高員工安全防范技能

靈活教育和培訓的角度、方式和形式，強化教育和培訓的全面性、針對性。如利用各種媒體在公司內部宣傳安全問題（定期刊物、公司主頁、錄像錄音、在線培訓）等，同時，為達到較高的教育和培訓效果，可以在培訓過程中插入案例，提高員工的感受度，以便更好地理解和接受。

4.3 強化書面安全策略的推行，提高員工的重視程度

如與員工簽訂遵守銀行安全政策與程序的協議、簽訂保密協議等，讓員工感受到信息安全就在身邊，“從我做起，從現在做起”，以促使員工在思想上引起重視。

4.4 加強監督與檢查，有效落實問題整改和責任認定

通過階段性審計、審查和調查等手段，強化監督與檢查的深度和頻度，并嚴格督促對發現問題的及時整改，同時，對違規、舞弊行為造成銀行信息資產損失的，堅決進行責任認定，追究相關人員責任。