從審計角度淺談審計在激發員工信息安全意識方面的重要性

王家忠

摘要：人們傳遞信息的工具在不斷地增加。隨著傳播速度的加快和網羅度不斷提高，人們對信息傳遞過程中的保密性也產生了質疑。尤其是對于商業機密的問題，關系到員工的素質，而最主要的就是對員工的思想認識的審計。所以本文試著以審計對信息安全問題的影響為重點，具體分析產生信息安全問題的原因并提出相應的建議。

關鍵詞：審計角度 員工 信息安全意識

隨著信息科學技術在當前企事業單位的廣泛運用，在生產率的提高上以及總產值的增加上是顯而易見的。同時也大幅度地減少了勞動時間，降低了勞動成本。信息技術對于我們越來越重要。根據馬克思的觀點，凡事都有兩面性。信息安全問題正在不斷地影響著我們的日常生活，甚至是防不勝防，所以目前的主要工作就是找出問題的癥結所在，分析存在的原因，并且做好預防的工作。

信息是一種資產，是企業總資產和個人隱私的重要載體，是企業或者組織進行正常商務活動或者是管理的不可或缺的財富。信息安全在當前社會中的重要性越來越大，從宏觀上講，信息安全關系到國家的穩定；信息安全關系到組織機構的正常運作與持續發展；從微觀上來說，信息安全能夠保護個人隱私，關系到個人財產。

一、信息安全的內涵

信息安全有廣義和狹義之分。從廣義上講，主要指在一定領域范圍內，涉及到信息的保密性、可用性以及完整性、真實性、可控性等的相關理論和技術。從狹義上說，信息安全就是系統的硬件、軟件以及數據的保護，預防系統和數據遭到破壞和更改，保證系統連續可靠正常地運行。信息安全可以分為兩個層面，意識技術層面，防止外部用戶的非法入侵；在管理層面，主要是對內部員工進行管理和培訓。

當前的某些企事業單位，尤其是具有高度機密性的銀行、保險等單位，他們的辦公電腦設備容易成為黑客的目標并且在預防性方面仍舊存在著嚴重的情況。從總體上來說，信息安全問題比較普遍，并且也不是大多數企業的主要責任，他們忙于自身的關鍵業務，忙于市場調查，在計算機安全管理以及員工的安全意識執行力上沒有過多的關注。首先，員工經常會出現在電腦上一鍵下載某些瀏覽器和辦公軟件，并且毫無警惕的意識，在沒有相關技術人員的指導下，沒有在電腦上安裝阻止病毒或非法侵入的軟件，又或者是病毒庫沒有及時更新，甚或是下載安裝了不安全的軟件和與工作關系不大的非授權軟件；其次，對于存有機密的電腦，沒有設置相應的密碼，如開機密碼、用戶登錄密碼、屏保密碼等等，這就增加了外界對該臺電腦的入侵程度，又或者是密碼設置得過于簡單，要么是六個“1”，要么是六個“8”，又或者是生日、電話號碼，這些都很容易被猜中；再次，沒有設置相應的局域網。在某些單位，例如法院、公安局等，有些涉及到管理對象的身份信息，不能沒有采取措施就直接接入互聯網或者是身份不明的網站；最后一個問題是，部分員工平時沒有養成良好的習慣，在下班時間忘記關電腦，隨意借給別人使用，或者是設備隨意亂放。

二、審計對信息安全問題的影響

我們把矛頭指向了員工，是因為員工作為信息的擁有者，具有對保密性信息進行維護的義務。可以分析為員工不懂得識別信息安全風險，或者是對培訓的內容和公司的制度沒有認真履行，或者是相關監督部門的問題，沒有做好審計工作，對于出現問題的職員沒有采取有效的措施進行懲罰和遏制。但是究其根源，是員工的信息安全意識淺薄的問題。

審計對信息安全有什么影響呢？我覺得影響是多方面的：第一，如果將員工的信息安全意識問題引入到審計工作事項中，企業就會加強員工信息安全意識方面的培訓，許多員工就能認識到信息安全問題的重要性。否則，他們可能處于企業的底層，沒有涉及到企業的最終利益，沒有深刻體會到，一個職員的行為會牽扯到一個公司的命運，沒有深刻意識到，整體可能會受到局部的影響。他們可能會看到技術部通報說：公司存在客戶資料泄密、黑客入侵以及機構的主機癱瘓等現象，但是在他們身上發生的很少，員工覺得這種事情的責任不會落在自己身上；第二，如果將員工的信息安全意識問題引入到審計工作事項中，信息安全的隱性價值就能更好的得到體現。信息安全是一件比較隱性的東西，它比較抽象，不能量化、直觀地展示在員工面前，同時員工的受教育程度也是不同的，他們對這些問題的認識可能不會感同身受；第三，如果將員工的信息安全意識問題引入到審計工作事項中，信息安全的觀念在員工中就會得到更好的傳遞。可能只在職工入職時，在培訓課上稍微提了一下，在之后的工作中沒有做好強調的工作。正因為缺乏了持續深入的信息安全傳導，或者是傳導的形式太刻板，沒有深入員工的內心，導致員工對信息安全問題的認識是“仁者見仁，智者見智”，有些先入為主地以為這些高技術的問題由技術部解決就可以了。

三、在審計報告中，應對員工信息安全意識方面的問題多提建議

從以上內容可知，從審計的角度來提高員工信息安全意識是非常必要的。目前的信息技術是無孔不入，已經滲透到了銀行、醫院的各個層面，就連取票排號都是高度的自動化。同時，信息也逐漸地成為了各個企業的重要資產，特別是在金融管理領域，安全問題事關重大。一旦發生，后果不堪設想。因此，各個企業紛紛制定出相應的制度，以建立健全的信息安全體系，強化信息資產的保護。例如銀行，銀業員是政策、流程以及制度的具體執行者，他們的執行力直接影響到信息資產，影響到信息安全管理。

（一）在審計建議中，應將員工的信息安全意識教育與培訓方面的問題考慮在內

培訓和教育可以是事前的工作，也是事后的彌補工作。由于審計部門對信息安全問題比較熟悉，關注信息安全的重要性，審計人員現身說法能夠得到良好的效果，所以在審計建議中，可以考慮把這些知識引入到教育與培訓中。采用的教育方式可以是靈活的，比如可以是集中培訓和在線培訓相結合，減少時間成本，可以制作公司內部的宣傳冊，可以在公司的主頁上多設置相關的內容。同時，有必要的話可以加入一些案例，使得分析結果更加透明和形象，對員工的說服力也更高。

（二）在審計建議中，應將員工的信息安全意識約束機制方面的問題考慮在內

眾所周知，每個企業都有自己的企業文化以及品牌形象。一個企業只有擁有了企業文化，才能擰成一股繩朝著一個方向不斷地努力。信息安全意識本身就是一個企業的重要內容。在信息泛濫的今天，如果快速、準確地做好決策也需要對你信息的正確有效地收集和保存。如果將信息安全文化的觀念植入員工的內心，就能快速地提高其文化認同感和增強自身的責任感。因此，員工需要與公司簽訂相關的信息安全保證協議，以此作為公司和員工雙方遵守約定的憑證，并把它當作員工的信用檔案存入員工的人事檔案中，在一定程度上，限制員工的胡作非為和隨意散漫的行為。讓員工從入職開始就意識到信息安全就在身邊，意識到“保護信息安全，從我做起”，從而促使員工加強思想重視。

（三）在審計建議中，應將對員工的監督控制考慮在內

審計工作應當始終貫穿于公司的管理過程中，包括領導層面的計劃、組織、指揮、領導，也包括對員工的管理過程中。審計的方法可以是多方面的。不可失階段性的審計，可以是定期的審查，可以是突擊檢查。這些審計的意識一旦在員工心中形成固定的模式，他們也就會認真地去執行，久而久之，這些意識就會在潛移默化中影響到員工個人。[3]審計工作進行過程中，如果發現有問題，不能睜一只眼閉一只眼，需要嚴格督促其改正，同時對于嚴重違規或者是舞弊的行為給公司，給銀行造成經濟損失的，要追求他們的相關責任。

四、結束語

總而言之，審計對于信息安全非常重要，許多企業領導需要高度重視，信息安全問題涉及到每一個企業員工的具體工作，信息安全問題是企業文化建設的一個重要問題。領導者除了要抓好技術部門和信息安全部門的保密工作外，還要意識到員工的信息安全意識薄弱也是企業信息泄密或者是企業存在安全隱患的重要一環。

參考文獻：

[1]萬建輝.信息系統信息安全風險評估管理[J].通訊學報，2012（10）

[2]楊華娟.網絡銀行的信息安全問題研究[J].計算機與數字工程，2011（01）

[3]劉俊玲.網絡環境下的信息安全問題 [J].中國科學，2010（03）endprint