從精益管理的角度思考信息安全細(xì)節(jié)的重要性

目前，煙草行業(yè)信息化建設(shè)處于快速發(fā)展的階段，但發(fā)展仍不健全，存在很多需要解決的問題。如隨著網(wǎng)絡(luò)發(fā)展帶來信息量的猛增，計算機(jī)病毒的威脅、人員素質(zhì)較低、黑客入侵、竊聽或攔截企業(yè)重要數(shù)據(jù)源等信息安全性處于高危險狀態(tài)。只有把精益管理的精髓融入到安全管理中，抓好信息安全管理的各個細(xì)節(jié)，才能確保信息更加安全。如何從精益管理的角度加強(qiáng)行業(yè)信息的安全呢？筆者認(rèn)為可從以下幾個方面實施：

一、從管理源頭追求精益求精，是精益管理的重點

按照精益管理的原則和要求，我們可以把信息安全的維護(hù)流程看成金字塔，塔尖是信息安全策略，它負(fù)責(zé)信息安全的總方向；中間是信息安全設(shè)備、手段，它們是實現(xiàn)信息安全策略的技術(shù)支持；再下面一層是信息維護(hù)人員水平，人員水平的高低決定著信息科技手段能否完全實現(xiàn)；底層就是公司所有員工對信息安全的認(rèn)識，這是信息數(shù)據(jù)安全穩(wěn)定的基礎(chǔ)。

精益管理的過程是追求完美的持續(xù)改善，不斷消除隱患、不斷挖掘價值，以及不斷增強(qiáng)企業(yè)活力。因此，通過精益管理來發(fā)掘平常不注意的信息安全細(xì)節(jié)才是信息安全發(fā)展的關(guān)鍵！

二、從細(xì)節(jié)追求精益求精，是精益管理的中心

筆者整理并列舉了一些經(jīng)常碰到同事在操作中發(fā)生的細(xì)節(jié)，這些事看上去只是小事，卻有可能影響信息安全。

1.打印機(jī)

我們經(jīng)常把打印機(jī)、復(fù)印機(jī)等設(shè)備放在一個相對獨立的打印室里。各部門之間的文件通常是從自己電腦傳到打印室，而等我們趕到打印室拿文件時，某些機(jī)密文件可能已經(jīng)被其他人員事先查看過。

2.打印紙背面

節(jié)約用紙是好習(xí)慣，很多同事會拿使用過的文件紙背面打草稿，寫完后直接丟掉。其實，把這些“廢紙”收集在一起，你會它們包含的公司機(jī)密竟如此全面。

3.電腦易手

各崗位人員調(diào)動時，都有過這樣的經(jīng)歷：來到新崗位時，面前的電腦里裝滿了前任同事的資料、工作計劃，甚至私人照片，我們可以在一種近似“窺探”的狀態(tài)下查看各種我們想要的信息。

4.共享

局域網(wǎng)中的共享是獲得公司內(nèi)部機(jī)密的好通道。經(jīng)常有同事為了省事，把自己要發(fā)送的重要文件直接共享，再通知收件人來拷貝。實際上，共享的風(fēng)險非常大。我們只需要在自己的網(wǎng)絡(luò)共享中查看局域網(wǎng)中的共享文件，就能發(fā)現(xiàn)各種各樣的共享文件夾。

5.郵箱

據(jù)調(diào)查表明：利用電子郵件轉(zhuǎn)移竊取的公司資料占所有信息竊取的七成以上。很多員工的電子郵箱和自己進(jìn)入公司的工作系統(tǒng)（如業(yè)務(wù)系統(tǒng)、專賣系統(tǒng)）的密碼完全一樣；或者打開郵箱后又把電腦借給他人使用，致使有心者很容易侵入自己的郵箱，泄露各種信息。

6.會議記錄

很多員工把會議記錄看得很平常，他們不知道一次重要的會議記錄對于對手意味著什么。筆者經(jīng)?？匆娪腥税褧h記錄當(dāng)成廢紙亂丟，任由行業(yè)最新的決策信息在企業(yè)的任何角落出現(xiàn)。

諸如以上種種可能造成的疏忽還有很多，通過精益管理去梳理我們的工作流程，相信還能發(fā)現(xiàn)更多的安全細(xì)節(jié)需要改善。

三、從安全策略追求精益求精，是精益管理的重要步驟

信息安全策略是信息安全項目的基石，它反映一個企業(yè)的安全目標(biāo)，以及企業(yè)為保障信息安全而制訂的管理策略。它包含這些方面： ①范圍。即信息安全策略涉及企業(yè)內(nèi)所有信息、系統(tǒng)、設(shè)施、程序、數(shù)據(jù)、網(wǎng)絡(luò)和技術(shù)用戶，絕無例外；②信息分類。即信息安全策略應(yīng)當(dāng)提供特定內(nèi)容的，而不是一般化的“機(jī)密”或“限制”；③其他管理要求和補充文檔的策略布置；④用于參考的證明文件。如流程、技術(shù)標(biāo)準(zhǔn)、程序、指南等；⑤對企業(yè)范圍內(nèi)行之有效的安全要求和規(guī)范的具體規(guī)定。如對任何計算系統(tǒng)的所有訪問都要求身份確認(rèn)和驗證，不能共享個人的認(rèn)證機(jī)制。

上述清單足以保證信息安全策略的完整性，當(dāng)然其前提條件是，規(guī)定具體安全措施的責(zé)任要在“輔助文檔”和“責(zé)任”部分進(jìn)行定義和描述。

四、結(jié)論

日常工作的每個細(xì)節(jié)都存在泄露行業(yè)信息數(shù)據(jù)的風(fēng)險，只有通過精益管理思想的契機(jī)，編纂詳細(xì)的信息安全策略、提高行業(yè)全體員工對信息安全的認(rèn)識，做好每一個安全細(xì)節(jié)，才能更好地構(gòu)筑行業(yè)信息安全架構(gòu)。

（作者單位：江西省煙草公司）