公務(wù)員期刊網(wǎng) 精選范文 國家信息安全的重要性范文

國家信息安全的重要性精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的國家信息安全的重要性主題范文,僅供參考,歡迎閱讀并收藏。

國家信息安全的重要性

第1篇:國家信息安全的重要性范文

[關(guān)鍵詞]中國電子;CEC;信息安全

1引言

中國電子信息產(chǎn)業(yè)集團有限公司是“共和國的長子”,也是電子信息產(chǎn)業(yè)的“國家隊”。三年前,為改變制約集團公司科學發(fā)展的重大結(jié)構(gòu)性問題,進一步提升中國電子對國家經(jīng)濟的貢獻力,中國電子集團黨組審時度勢,科學謀劃,果斷做出實施“新型顯示、信息安全、信息服務(wù)”三大系統(tǒng)工程的戰(zhàn)略決策部署。中國電子集團聚集團之力,積極開展戰(zhàn)略合作,周密組織、大力協(xié)同、聯(lián)合攻關(guān),履行央企的政治責任、經(jīng)濟責任與社會責任,體現(xiàn)了中國電子集團領(lǐng)導班子超前戰(zhàn)略謀劃的眼界、組織高度復雜系統(tǒng)工程的能力和中國電子人強國惠民的自覺擔當。三年布局,如今已開花結(jié)果,三大系統(tǒng)工程建設(shè)成果喜人,各項經(jīng)營指標連創(chuàng)歷史新高,企業(yè)核心競爭力得到明顯增強。近年來,信息技術(shù)的無孔不入帶來了人類生產(chǎn)生活和思維方式的改變,同時也引發(fā)了人們對信息安全問題的擔憂?!八怪Z登事件”后,信息安全問題更是成為影響全球的重大課題。指出,網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題,沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。中國電子集團董事長、黨組書記芮曉武指出:中國電子集團作為電子信息產(chǎn)業(yè)國家隊,在保障國家信息安全方面責無旁貸,我們要準確把握總書記作出的戰(zhàn)略判斷,深刻認識信息安全工作的極端重要性,因勢而謀,應勢而動,順勢而為,將“信息安全系統(tǒng)工程”推向深入,同時聯(lián)合產(chǎn)業(yè)力量,共同鑄造我國網(wǎng)絡(luò)安全新長城,托起中國信息安全強國夢。

2審時度勢戰(zhàn)略先行,筑起國家安全屏障

進入互聯(lián)網(wǎng)時代,國家已經(jīng)從傳統(tǒng)的領(lǐng)土、領(lǐng)海、領(lǐng)空、太空四大疆域延伸到網(wǎng)絡(luò)空間。維護國家網(wǎng)絡(luò),關(guān)鍵在于保障國家網(wǎng)絡(luò)安全。黨的十報告首次明確了網(wǎng)絡(luò)安全的戰(zhàn)略地位,提出要高度關(guān)注網(wǎng)絡(luò)空間安全。事實上,我國正面臨著嚴峻的信息安全形勢。中國電子集團掌門人芮曉武董事長意識到肩上的責任重大。中央企業(yè)作為“共和國的長子”、黨執(zhí)政的重要基礎(chǔ)、中國特色社會主義的重要支柱和全面建成小康社會的重要力量,必須在維護國家利益方面勇于擔重任、挑大梁。中國電子集團有自主可控的安全芯片、安全整機、基礎(chǔ)軟件和應用系統(tǒng),關(guān)鍵時刻要替國分憂,扛起信息安全產(chǎn)業(yè)國家隊的重任?;谛酆竦漠a(chǎn)業(yè)基礎(chǔ),和對國家網(wǎng)絡(luò)安全需求的深刻理解,2011年,中國電子集團便著力布局信息安全領(lǐng)域,提出實施“信息安全系統(tǒng)工程”的戰(zhàn)略舉措,即中國電子集團二號工程。圍繞信息安全產(chǎn)業(yè)進行戰(zhàn)略轉(zhuǎn)型,通過內(nèi)部整合及充分組織社會資源,以“4106”布局為藍圖,發(fā)展“安全芯片、整機、基礎(chǔ)軟件、安全應用產(chǎn)品”4類信息安全基礎(chǔ)產(chǎn)品,實施10項信息安全系統(tǒng)工程,建立健全“信息安全運維、集成、咨詢、災備、培訓、測評”6項信息安全服務(wù)能力,逐步構(gòu)建可發(fā)現(xiàn)、可防范、可替代的國家信息安全產(chǎn)業(yè)體系,形成和諧共生的產(chǎn)業(yè)生態(tài)圈,鑄造我國信息安全“長城”。芮曉武董事長說,作為中央企業(yè),一定要首先學好政治經(jīng)濟學。因為中國特色社會主義市場經(jīng)濟條件下,行業(yè)變化、市場變化、產(chǎn)業(yè)變化均與國家政策導向有極其密切的關(guān)系。必須把中央政策吃準,吃透,才能有超前的戰(zhàn)略眼光,對未來作出準確研判,先于市場啟動布局,牢牢把握發(fā)展先機。從事信息安全系統(tǒng)工程,體現(xiàn)了中國電子集團的戰(zhàn)略價值。我們能夠在國家信息安全領(lǐng)域有所作為,有重大項目支撐,就是由于中國電子集團早期卡準定位、提前布局、果斷實施的結(jié)果,如果沒有當初前瞻性的產(chǎn)業(yè)布局,就沒有今天的一系列發(fā)展成果。

3勇?lián)厝尾蝗枋姑?,夯實安全防護能力

三年來,中國電子集團為了國家安全的目標,面對困難不畏縮,歷經(jīng)挫折不氣餒,保持定力不動搖,牢牢把握信息安全產(chǎn)業(yè)這個主攻方向,堅持戰(zhàn)略取勝,積聚實力,苦練內(nèi)功,在國家需要的時候挺身而出,參與了一系列國家信息安全重大項目的實施。在實現(xiàn)自身轉(zhuǎn)型升級目標的同時,培養(yǎng)了人才,鍛煉了隊伍,凝練了精神,建立了核心能力,取得了豐碩成果,“國家隊”的影響力不斷增強。在我國信息安全核心關(guān)鍵技術(shù)薄弱、企業(yè)力量分散的情況下,自2011年起,中國電子集團在工信部支持下,依托國家核高基重大科技專項和安全可靠軟硬件應用推廣工作,組織了國內(nèi)30多家基礎(chǔ)軟硬件廠商、集成商、測試機構(gòu)、科研機構(gòu),成立了工信部“安全可靠軟硬件聯(lián)合技術(shù)攻關(guān)基地”,共同推進國產(chǎn)化的關(guān)鍵技術(shù)攻關(guān),全力推進國產(chǎn)軟硬件一體化平臺的研發(fā)及產(chǎn)業(yè)化工作。該攻關(guān)基地創(chuàng)新了國家重大科技專項的組織方式,推動了基礎(chǔ)軟硬件產(chǎn)品的完善與適配,開展6項關(guān)鍵技術(shù)攻關(guān),填補了自主技術(shù)體系空白。幾十家合作單位經(jīng)過反復磨合、調(diào)整、適配,對國產(chǎn)化應用系統(tǒng)進行集成優(yōu)化,目前已經(jīng)使整體性能提升5倍以上。為改變自主可控的計算機軟硬件系統(tǒng)磨合效率偏低的現(xiàn)狀,中國電子集團在最核心的CPU芯片方面布局,選擇“聯(lián)合開發(fā)、彎道超車”的全新技術(shù)路線,實現(xiàn)既自主可控,又與國際接軌?;贏RM芯片綠色、低耗、完全開放、應用廣的特點,采用自主的核心設(shè)計,既保障了信息安全,又實現(xiàn)了國際通用,同時適合云計算技術(shù),由此走在世界前列。WindowsXP停止服務(wù)后,中國電子集團及時推出“白細胞”操作系統(tǒng)免疫平臺,利用以密碼為基礎(chǔ)的信任鏈傳遞,使用可信計算技術(shù)的靜態(tài)度量、動態(tài)度量、訪問控制等技術(shù),實現(xiàn)計算機識別“非己”的程序、數(shù)據(jù)等,從而排斥進入計算機的病毒、木馬、惡意程序等抗原物質(zhì),維持計算機的健康?!鞍准毎弊悦庖呦到y(tǒng)實現(xiàn)了主動防御的革命性目標,徹底扭轉(zhuǎn)了計算機系統(tǒng)只能依靠“殺毒、打補丁”等技術(shù)進行被動防御的局面。工業(yè)和信息化部副部長楊學山對此給予高度評價,“白細胞”操作系統(tǒng)免疫平臺的使可信技術(shù)取得了實質(zhì)性的進展。在全球激烈的網(wǎng)絡(luò)競爭中,我國保障網(wǎng)絡(luò)信息安全要想“站得住”,必須形成“國家隊”的力量。2014年4月,在中國電子集團等60家單位發(fā)起和推動下,中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟正式成立。中國電子集團作為理事長單位,對于推動可信計算產(chǎn)業(yè)發(fā)展作出了應有貢獻??尚庞嬎愕暮诵乃枷胧峭ㄟ^在硬件上引入可信芯片,構(gòu)建可信鏈條,從根本上解決計算機體系結(jié)構(gòu)的安全問題,改變傳統(tǒng)的“封堵查殺”等“被動應對”的防護模式,形成“主動防御”能力,實現(xiàn)“進不來、拿不走、改不了、看不懂、賴不掉”的安全效果。中國工程院院士沈昌祥寄語說,要通過創(chuàng)新推動,使聯(lián)盟成為國內(nèi)產(chǎn)業(yè)聯(lián)盟創(chuàng)新典范,成為建設(shè)自主可控、安全可信網(wǎng)絡(luò)安全保障體系的主力軍?;厥淄拢菚晕涠麻L認為這三年的辛苦是完全值得的。中國的信息安全面臨很多難題,是一塊“硬骨頭”。中國電子集團作為央企和國家隊,基于長期的技術(shù)產(chǎn)業(yè)積累,勇于啃這塊“硬骨頭”。我們要廣泛聯(lián)合科研、企業(yè)、應用單位眾多力量,加快技術(shù)創(chuàng)新、加快應用推廣、加快產(chǎn)業(yè)發(fā)展,并建立高效協(xié)調(diào)的行政、技術(shù)、保障支持系統(tǒng),為國家實現(xiàn)自主可控、安全可信的網(wǎng)絡(luò)安全多做貢獻。

4凝聚力量共譜新篇,鑄造信息安全長城

中國電子集團的信息安全系統(tǒng)工程已進入新階段,但芮曉武董事長說這并不意味未來就一帆風順了,更苦、更累、更艱巨的工作還在后面。中國電子集團已在謀劃新的布局,開啟新的篇章。芮曉武董事長認為,做好信息安全工作,最重要的還是聯(lián)合。任何一家企業(yè),都無法獨立擔當國家信息安全的重任,必須聯(lián)合產(chǎn)業(yè)的力量團結(jié)協(xié)作,合力推進,進一步形成國家防護能力。中國電子集團自2012年起便動作頻頻,逐步完善內(nèi)部組織保障體系:成立了中國信息安全研究院,賦予其技術(shù)總體和市場運作平臺職能;與國家??仃犖槁?lián)合組建中電長城網(wǎng)際系統(tǒng)應用有限公司,作為“8+2”重點行業(yè)和智慧城市信息安全解決方案的服務(wù)商;組建了深圳中電長城信息安全系統(tǒng)有限公司,承擔自主可控計算機、服務(wù)器和網(wǎng)絡(luò)交換設(shè)備的研發(fā)和推廣;收購了盛科網(wǎng)絡(luò)(蘇州)有限公司,該公司是IP/以太網(wǎng)核心芯片及系統(tǒng)自主研發(fā)商,提升了中國電子集團的信息安全芯片能力;并購了廣州鼎甲計算機科技有限公司,致力于容災備份軟件領(lǐng)域,為數(shù)據(jù)安全提供完美可靠的數(shù)據(jù)保護方案。這一系列的舉措不僅豐富和完善了中國電子集團整個信息安全的業(yè)務(wù)體系,也增加了企業(yè)內(nèi)外部的協(xié)同能力。三年來,中國電子集團始終把自主創(chuàng)新、開放合作作為提升產(chǎn)業(yè)競爭力和企業(yè)可持續(xù)發(fā)展能力的關(guān)鍵手段。中國電子集團相繼與國防科技大學、北京郵電大學、西安電子科技大學、中科院信息工程研究所、中國信息安全測評中心、中興通訊股份有限公司等單位和機構(gòu)簽訂數(shù)十余份戰(zhàn)略合作協(xié)議,與神華集團、航天科技、中國石油等建立了戰(zhàn)略合作關(guān)系。目前,中國電子集團已為神華集團、中國石油、新華社、中國航信等重要機構(gòu)和部門,以及地方省市提供了信息化建設(shè)總體安全體系設(shè)計咨詢和基于信息安全的云服務(wù)平臺,更多更深入的合作正在逐步展開。為了進一步加快產(chǎn)業(yè)聯(lián)合,中國電子集團積極打造國際先進水平的未來科技城信息安全產(chǎn)業(yè)基地,為國家信息安全保障體系提業(yè)支撐。信息安全產(chǎn)業(yè)基地總規(guī)劃建筑面積30萬平方米,其中項目一期建筑面積16萬平方米,于2014年投入使用,未來將在基地內(nèi)培育信息安全技術(shù)與產(chǎn)品的科研開發(fā)、生產(chǎn)制造、評測認證、人才培養(yǎng)和規(guī)模市場等較為完整的國內(nèi)一流信息安全產(chǎn)業(yè)化體系,力爭在較短的時間內(nèi)把基地建設(shè)成為我國重要的信息安全研發(fā)、服務(wù)和成果產(chǎn)業(yè)化中心。通過集聚資源、重點突破,積極打造以可替代、可發(fā)現(xiàn)、可防護為目標的信息安全核心方案、產(chǎn)品和技術(shù),中國電子集團為國家重要信息系統(tǒng)穿上“防彈衣”,提高“免疫力”,為國家信息安全保障體系建設(shè)提供有力支撐,從根本上解決了我國網(wǎng)絡(luò)安全的心腹之患。

5結(jié)語

第2篇:國家信息安全的重要性范文

模式;信息;信息化;建設(shè)

[中圖分類號]F552[文獻標識碼]A [文章編號]1009-9646(2011)03-0069-02

一、模式是對現(xiàn)實事物的內(nèi)在機制及事物之間的關(guān)系的直觀和簡潔的描述,是再現(xiàn)現(xiàn)實的一種理論性的簡化形式,可以向人們提供某一事物的整體形象和簡明信息。

二、德福勒模式是信息交流的一種模式,又稱為大眾傳播雙循環(huán)模式,該模式在申農(nóng)的通信系統(tǒng)模型的基礎(chǔ)上強調(diào)了信息交流的雙向性和信息干擾的多途徑,指出信息交流是一個螺旋上升的循環(huán)系統(tǒng),尤其是反饋的提出使人們對信息交流有了更深的認識。

德福勒模式是在“7W”模式上產(chǎn)生的,“7W”即誰、說了什么、通過什么渠道、對誰、產(chǎn)生什么效果、在什么情況下、為了什么目的。與之不同的是首次提出了反饋,反饋是信息交流過程中信息接收者對信息發(fā)出者發(fā)出的信息的反應。這就把信息交流的過程描述得更加完整。

三、我國提出走新型工業(yè)化道路,新型工業(yè)化道路的含義有以信息化帶動工業(yè)化,以工業(yè)化促進信息化,這就要求抓緊信息化建設(shè),信息化是指培養(yǎng)、發(fā)展以計算機為主的智能化工具為代表的新生產(chǎn)力,并使之造福于社會的歷史過程。那么德福勒信息交流模式對信息化建設(shè)有什么啟示意義呢?這就要從該模式的各個環(huán)節(jié)說起。實現(xiàn)信息化就要構(gòu)筑和完善7個要素:開發(fā)利用信息資源、建設(shè)國家信息網(wǎng)絡(luò)、推進信息技術(shù)應用、發(fā)展信息技術(shù)和產(chǎn)業(yè)、培育信息化人才、制定和完善信息化政策、建設(shè)國家信息安全保障體系。德福勒模式能夠起到指導作用。

1.開發(fā)利用信息資源

開發(fā)利用信息資源是信息化建設(shè)中的重要環(huán)節(jié),而信息資源不同于別的資源,該模式強調(diào)了在信息交流的各個環(huán)節(jié)中都存在噪音,這就說明信息不是穩(wěn)定不變的,信息在發(fā)出者與接收者之間存在差別,注意到這一問題,就會在獲取信息的過程中明確哪些是有效的信息并能夠成為資源。這就有利于建立和完善信息資源開發(fā)利用體系,推進國家基礎(chǔ)信息庫的建設(shè),拓展相關(guān)應用服務(wù)。充分發(fā)揮信息資源開發(fā)利用對節(jié)約資源、能源和提高效益的作用,促進經(jīng)濟發(fā)展方式由粗放型向集約型轉(zhuǎn)變和資源節(jié)約型社會的建設(shè)。

2.建設(shè)國家信息網(wǎng)絡(luò)

該模式說明信息交流是一個螺旋上升的循環(huán)系統(tǒng),它對信息交流的全過程概括地較為完整,這對建設(shè)完整的國家信息網(wǎng)絡(luò)具有啟示意義,尤其是反饋的提出,體現(xiàn)了信息交流的雙向性,有利于國家各個部門的信息化建設(shè),使各個部門聯(lián)系更為緊密,信息交流更為便捷,從而成為一個整體的信息網(wǎng)絡(luò)。

3.推進信息技術(shù)應用,發(fā)展信息技術(shù)和產(chǎn)業(yè)

信息交流的目的是促進信息的應用和在生,這就產(chǎn)生了信息技術(shù)和產(chǎn)業(yè)。該模式突出了信息交流的重要性,有利于在信息化建設(shè)的過程中通過信息交流和反饋的過程實現(xiàn)信息技術(shù)關(guān)鍵領(lǐng)域的自主創(chuàng)新,提高國民信息技術(shù)應用能力,開展形式多樣的信息化知識和技能普及活動,提高國民受教育水平和信息能力。重視交流與反饋,走信息的“引進來,走出去”戰(zhàn)略,培育有核心競爭能力的信息產(chǎn)業(yè),建設(shè)創(chuàng)新型國家。

4.培育信息化人才

明確了信息交流的模式之后,為了實現(xiàn)信息的有效交流和推進國家的信息化建設(shè)就需要健全信息化人才培養(yǎng)體系,鼓勵各類專業(yè)人才掌握信息技術(shù),培養(yǎng)復合型人才。

5.制定和完善信息化政策

信息交流是一個完整的過程,這就需要制定相應的信息化政策來保障信息交流的正常運行。目前我國正隨著世界的科技發(fā)展趨勢步入一個信息化時代,面對這一趨勢,為了加快信息化進程,必須制定和完善相應的信息化政策。

6.建設(shè)國家信息安全保障體系

既然該模式說明在信息交流過程中存在噪音,一些關(guān)系到國家安全的信息就不免受到危害,這就存在信息安全問題。這就要求全面加強國家信息安全保障體系建設(shè),主動應對信息安全挑戰(zhàn),實現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展,建立和完善維護國家信息安全的長效機制。

四、總之,推進我國信息化建設(shè)就是在國家統(tǒng)一規(guī)劃和組織下,在農(nóng)業(yè)、工業(yè)、科學技術(shù)、國防及社會生活各個方面應用現(xiàn)代信息技術(shù),深入開發(fā)廣泛利用信息資源,加速實現(xiàn)國家現(xiàn)代化進程,充分利用信息技術(shù),開發(fā)利用信息資源,促進信息交流和知識共享,提高經(jīng)濟增長質(zhì)量,推動經(jīng)濟社會發(fā)展轉(zhuǎn)型。這需要充分理解德福勒信息交流模式,使之對我國的信息化建設(shè)起到指導作用。

[1]信息化baike.省略/view/27.htm2008.11.29.

[2]我國信息化發(fā)展的戰(zhàn)略重點 zhidao. baidu . com /question/ 17504883 . html? si=32008.11.29.

第3篇:國家信息安全的重要性范文

北京東方通科技股份有限公司是國產(chǎn)中間件的開拓者和領(lǐng)導者,在中間件領(lǐng)域已經(jīng)耕耘了21年。長期以來,東方通堅持追求“四個一”,即“一流人才,一流技術(shù),一流服務(wù),一流效率”。在人才培養(yǎng)方面,東方通制定了一套吸引、培養(yǎng)、激勵人才的機制,為公司發(fā)展積聚了一批懂管理、技術(shù)精的優(yōu)秀人才。依托一流的人才,東方通的技術(shù)創(chuàng)新進展迅速,成功開發(fā)出一系列創(chuàng)新型產(chǎn)品,引領(lǐng)著國產(chǎn)中間件的創(chuàng)新之路。同時,東方通積極開展服務(wù)創(chuàng)新,不斷完善服務(wù)內(nèi)容和技術(shù)支持服務(wù)網(wǎng)絡(luò),快速響應用戶的服務(wù)需求,為行業(yè)信息化建設(shè)提供貼身服務(wù)。此外,東方通還積極向管理要效率,通過管理機制的不斷優(yōu)化,形成了促進公司茁壯成長的強大推力。

東方通在行業(yè)信息化領(lǐng)域不斷攻城掠地,其產(chǎn)品已廣泛應用于金融、電信、電子政務(wù)、交通等眾多行業(yè),市場份額連續(xù)多年位居國產(chǎn)中間件廠商首位。正是憑借著突出的發(fā)展成就,東方通受到了國家、用戶、業(yè)界的廣泛認可,先后獲得了“國家科學技術(shù)進步獎”、“國家規(guī)劃布局內(nèi)重點軟件企業(yè)”、“中國中間件軟件市場年度成功企業(yè)”、“中國IT用戶滿意度綜合第一”’等榮譽,并多次參加國際標準制定工作,譜寫出中國中間件產(chǎn)業(yè)發(fā)展的輝煌篇章。

早在東方通創(chuàng)立之初,董事長張齊春就和年輕的團隊一起確定了公司的愿景――“做一個偉大公司”。中間件具有技術(shù)門檻高、市場壁壘高等特點,當時的基礎(chǔ)軟件領(lǐng)域完全被國外公司壟斷,因此,很多人對國內(nèi)從事基礎(chǔ)軟件業(yè)務(wù)的企業(yè)并不看好。然而,東方通矢志不渝。如今東方通不但成為了中國中間件行業(yè)的領(lǐng)軍企業(yè),并且擁有了與國際巨頭在市場上一爭高下的實力。

第4篇:國家信息安全的重要性范文

信息安全不僅深刻影響著一個國家的政治、經(jīng)濟和國防安全,是國家安全的重要組成部分.而且還是 個關(guān)系國家、社會穩(wěn)定、文化侵蝕的重要問題、國防的現(xiàn)代化、個人經(jīng)濟與社會生活的自由開展、企業(yè)的各項經(jīng)濟與社會活動的正常開展都離不開信息安全的保證。黨和政府高度重視我國信息安全問題 主席主持召開中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組第一次會議時提出“沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化”。主席還強調(diào) 建設(shè)網(wǎng)絡(luò)強國,要把人才資源匯聚起來,建設(shè)一支政治強、業(yè)務(wù)精、作風好的強大隊伍 由此可見信息安全問題不容忽視,我國需要加強信息安全保障工作,而信息安全專業(yè)人才的培養(yǎng)是信息安全保障工作的必備基礎(chǔ)和先決條件。

我國信息安全專業(yè)人才缺口很大,處于供不應求的態(tài)勢。未來,隨著信息化高速發(fā)展,社會對信息安全專業(yè)人才的需求量還會大量增加。為了改善信息安全專業(yè)人才缺失的現(xiàn)狀,不讓人才的缺失成為制約我國信息安全發(fā)展的瓶頸,信息安全專業(yè)人才培養(yǎng)需要優(yōu)化。

現(xiàn)狀

我國對信息安全專業(yè)人才的培養(yǎng)十分重視 了多項政策支持。2003年中辦發(fā)[2003]27號文件《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》,明確提出信息安全重要性,強調(diào)信息安全人才培養(yǎng)。2005年教育部下達了《教育部關(guān)于進一步加強信息安全學科、專業(yè)和人才培養(yǎng)工作的意見》的文件,提出“不斷加強信息安全學科、專業(yè)建設(shè) 盡快培養(yǎng)高素質(zhì)的信息安全人才隊伍,成為我國經(jīng)濟社會發(fā)展和信息安全體系建設(shè)中的一項長期性、全局性和戰(zhàn)略性的任務(wù)”。2007年,“教育部信息安全類專業(yè)教學指導委員會”成立。2012年國發(fā)[2012]23號文件《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》中,提出了信息安全人才培養(yǎng)的政策。政策支持信息安全與保密學科師資隊伍、專業(yè)院系、學科體系、重點實驗室建設(shè),推廣信息安全宣傳教育培訓,要求加快培養(yǎng)創(chuàng)新型,應用型專業(yè)人才。

我國最早的信息安全人才培養(yǎng)可以追溯到七十年代,有少數(shù)軍事專業(yè)院校設(shè)置了信息安全相關(guān)專業(yè)――密碼學專業(yè)。1989年,中國科技大學研究生院建立了“信息安全國家重點實驗室”。該實驗室是國家級信息安全實驗室,承擔國家信息安全重大科研工作,重點培養(yǎng)具備高層次專業(yè)水平的信息安全高級人才。1998年經(jīng)教育部批準北京理工大學、長春光學精密機械學院、電子科技大學以及西安電子科技大學4所高校首先設(shè)置了信息對抗技術(shù)本科專業(yè)。2001年,武漢大學第一批正式設(shè)立了信息安全本科專業(yè),開始招生。自此之后,教育部又先后批準了西安電子科技大學、上海交通大學、北京郵電大學等18所高校設(shè)立信息安全專業(yè)。

國務(wù)院學位委員會、教育部于2002年下發(fā)了《關(guān)于做好博士學位授予一級學科范圍內(nèi)自主設(shè)置學科、專業(yè)工作的幾點意見》(學位[2002]47號)。各大高校積極響應,北京工業(yè)大學、北京理工大學、武漢大學、北京郵電大學、華中科技大學、信息工程大學、中國科學院軟件所、國防科技大學、哈爾濱工業(yè)大學等一些知名高校,掛靠相近的一級學科,分別在計算機科學與技術(shù)、信息與通信工程、電子工程及數(shù)學等一級學科下,自主設(shè)置了信息安全相關(guān)的二級學科博士點、碩士點。博士點、碩士點的設(shè)立,促進了信息安全專業(yè)的建設(shè),為我國培養(yǎng)出一批高層次的信息安全專業(yè)人才、

根據(jù)武漢大學中國科學評價研究中心統(tǒng)計,截至2014年,全國共有77所高校開設(shè)了信息安全專業(yè),17所高校開設(shè)了信息對抗技術(shù)專業(yè)。

問題

在國家多項政策的指導下,我國信息安全教育體系已經(jīng)初步建成,為國家培養(yǎng)了一批批信息安全專業(yè)人才,但是不可否認目前我國信息安全專業(yè)人才培養(yǎng)仍然存在許多問題。

(一)社會成員缺乏信息安全意識

有“世界頭號黑客”之稱的Kevin Mitnick曾說過一句話 “人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測系統(tǒng)、生物鑒別設(shè)備,可只要有人給毫無戒心的員工打個電話……”。由此可見,人是信息安全體系的最關(guān)鍵因素.信息安全意識薄弱是最大的安全隱患。目前.我國社會成員普遍缺乏信息安全意識,有的企業(yè)愿意投資在安全技術(shù)和產(chǎn)品上,但是不愿意投入在員工信息安全意識培養(yǎng)上,有些個人不重視個人或企業(yè)信息的保護,甚至認為信息安全只是信息安全技術(shù)人員的工作,與自己無關(guān)。根據(jù)上海社會科學院信息研究所對上海市民進行的個人安全意識調(diào)研,結(jié)果顯示市民主動學習個人信息安全知識的意愿不強,對個人信息安全法律法規(guī)的認知一般,了解網(wǎng)站和機構(gòu)的個人信息安全保護政策的意愿較弱,甚至在個人信息安全受到侵害后,80%以上的受訪者選擇不予理睬或自行解決。

(二)學科建設(shè)存在問題

我國信息安全學科建設(shè)初見成效,由最初僅有幾所軍事院校開設(shè)有密碼學專業(yè).到如今已經(jīng)發(fā)展成近百所高校均開設(shè)有信息安全相關(guān)的本科、??疲⑶叶嗨咝TO(shè)置了信息安全專業(yè)的博士、碩士點,形成了學士、碩士、博士的完整教育體系。但是由于信息安全學科不是一級學科,研究生、博士生培養(yǎng)專業(yè)目錄中沒有與之對應的學科。各高校只能掛靠在與之相近的一級學科下,自主設(shè)置了信息安全相關(guān)的二級學科。相近的學科畢竟存在差異,基礎(chǔ)理論、教學側(cè)重、研究方向均不相同,將直接影響我國信息安全人才培養(yǎng) 另一方面,信息安全不是一級學科導致信息安全學科規(guī)模受到影響,師資、招生數(shù)量、相關(guān)基礎(chǔ)設(shè)施配套情況均受到限制,制約我國信息安全人才培養(yǎng) 導致我國信息安全人才缺乏。中國工程院院士,國家信息化專家咨詢委員會委員,著名信息系統(tǒng)工程專家,沈昌祥曾院士多次建議將“信息安全”設(shè)置為一級學科。

(三)人才供需失衡

作為信息產(chǎn)業(yè)中最重要的環(huán)節(jié),信息安全與社會發(fā)展密切相關(guān),各行業(yè)各領(lǐng)域信息化建設(shè)都離不開信息安全,近年來,我國信息產(chǎn)業(yè)發(fā)展迅速,對信息安全專業(yè)人才的需求顯著增大,特別是金融、證券交通通訊、工業(yè)等重點領(lǐng)域。據(jù)統(tǒng)計,全國的信息安全人才市場缺口超過50萬人,2013年僅上海信息安全人才缺口就達10萬人。就目前情況來看,社會各行業(yè)需求量大約每年增加1.2萬人左右,而每年我國信息安全專業(yè)畢業(yè)生不足1萬人,信息安全專業(yè)人才的供給和需求處于嚴重失衡狀態(tài)。教育部和國家信息安全工作協(xié)調(diào)主管部門已經(jīng)把信息安全人才培養(yǎng)納入特殊行業(yè)緊缺人才培養(yǎng)計劃。

建議

隨著社會信息化發(fā)展,信息化水平的高低已成為衡量一個國家現(xiàn)代化程度、綜合國力、國際競爭力經(jīng)濟增長能力的重要標準。信息安全問題受到社會廣泛關(guān)注,信息安全地位日益提升。

作為信息安全保障的基礎(chǔ),信息安全專業(yè)人才培養(yǎng)也在各國受到重視。我國經(jīng)過多年努力,信息安全教育體系已經(jīng)基本成形,但是同時也存在一些問題制約了我國信息安全發(fā)展。我國目前信息安全人才市場缺口較大,信息安全專業(yè)人才培養(yǎng)現(xiàn)狀不能滿足我國飛速發(fā)展信息化進程的巨大需求。

綜合上述分析,對我國信息安全人才建設(shè)提出以下幾點建議:

一是出臺信息安全人才頂層規(guī)劃 從國家層面制定戰(zhàn)略.統(tǒng)一部署.組織做好信息安全人才頂層規(guī)劃,制定信息安全人才教育培養(yǎng)計劃.建立信息安全人才保障體系。各個部門配合共同推進信息安全人才建設(shè)進程。

第5篇:國家信息安全的重要性范文

金融信息化是一個熱點話題,關(guān)系金融行業(yè)的穩(wěn)定性和發(fā)展。所謂金融信息化,是構(gòu)建在由通信網(wǎng)絡(luò)、計算機、信息資源和人力資源等四要素組成的國家信息基礎(chǔ)框架之上,由具有統(tǒng)一技術(shù)標準,能以不同速率傳送數(shù)據(jù)、語音、圖形圖像、視頻影像的綜合信息網(wǎng)絡(luò),將具備智能交換和增值服務(wù)的多種以計算機為主的金融信息系統(tǒng)互連在一起,創(chuàng)造金融經(jīng)營、管理、服務(wù)新模式的長期系統(tǒng)工程。

當今世界經(jīng)濟全球化趨勢日益明顯,經(jīng)濟全球化,首先是信息全球化,隨著人類社會進入信息時代,金融信息化進程加快,因特網(wǎng)在信息全球化中扮演著非常重要的角色。通信、計算機技術(shù)等高科技手段在銀行業(yè)廣泛運用,外資銀行大舉進入,網(wǎng)絡(luò)銀行迅速發(fā)展,給人們帶來方便的同時,利用信息網(wǎng)絡(luò)技術(shù)犯罪也在迅速增長。曾幾何時,銀行存折和信用卡明明在自己手里,銀行支票和印章明明鎖在保險柜里,計算機操作密碼慎之又慎,賬戶上的存款卻不翼而飛。

安全是金融信息系統(tǒng)的生命。在金融信息系統(tǒng)日益發(fā)展,信息越來越向上集中,規(guī)模越來越大,金融業(yè)對它的依賴性不斷增加的同時,金融信息化系統(tǒng)安全的重要性也與日俱增。它關(guān)系到金融機構(gòu)的生存和經(jīng)營的成敗,所以,應把金融信息化系統(tǒng)的安全視同資金的安全一樣作是金融機構(gòu)的生命。金融信息系統(tǒng)的安全不僅是金融行業(yè)本身的問題,它與我國的經(jīng)濟安全、社會安全和國家安全緊密相連,是保障金融業(yè)穩(wěn)定發(fā)展、增強競爭力和生存能力的重要組成部分,金融信息系統(tǒng)的安全已成為我國金融信息化建設(shè)中具有戰(zhàn)略意義的關(guān)鍵問題。

鑒于金融信息化安全的重要性,對陽泉市農(nóng)村信用社信息化建設(shè)進行了初步調(diào)查,發(fā)現(xiàn)存在以下幾方面的安全問題:

(1)內(nèi)網(wǎng)與外網(wǎng)沒有安全隔離。

目前,我們的業(yè)務(wù)網(wǎng)絡(luò)與外網(wǎng)沒有完全隔離,并未采取有效的安全措施、運行業(yè)務(wù)系統(tǒng)的計算機在沒有相應安全措施的情況下與外網(wǎng)進行連接。

(2)一些拓展服務(wù)沒有相應的安全保障措施。

我們的一些拓展服務(wù),沒有相應的安全措施。如網(wǎng)上對賬系統(tǒng),服務(wù)器運行于外網(wǎng)環(huán)境中,沒有相應的安全措施,那么可能造成客戶信息的泄密;對賬系統(tǒng)運行于HTTP協(xié)議下,此協(xié)議不具備數(shù)據(jù)加密等要求,同樣在數(shù)據(jù)傳輸中可能造成客戶信息的泄密。

(3)員工信息化安全意識淡薄。

員工對業(yè)務(wù)系統(tǒng)、計算機密碼的設(shè)置、保管、更換沒有引起高度的重視。很多人的密碼較簡單,還有很多人的密碼為系統(tǒng)預設(shè)密碼。

(4)計算機外設(shè)的使用沒有安全保障措施。

對于大多數(shù)的計算機外設(shè)的使用,我們沒有相應的安全制度和措施。外設(shè)的隨意使用,可能造成我們信息的泄密,如:移動硬盤。

針對以上問題,經(jīng)過分析研究,覺得以下幾方面的措施,可以有力的保障信息安全:

(1) 內(nèi)網(wǎng)與外網(wǎng)進行有效隔離。

針對內(nèi)網(wǎng)與外網(wǎng)有效隔離,可以采取運行內(nèi)網(wǎng)業(yè)務(wù)計算機上安裝殺毒軟件、防火墻,并及時更新病毒庫、定時查殺;對計算機進行定期掃描系統(tǒng)及應用漏洞;避免安裝未知軟件,軟件均由內(nèi)網(wǎng)FTP服務(wù)器下載;外網(wǎng)出口架設(shè)硬件防火墻,并配置訪問控制列表,防止計算機被攻擊、下馬。

(2) 拓展業(yè)務(wù)采取安全保障措施。

對于拓展業(yè)務(wù)采取相應的安全保障措施。接入外網(wǎng)的服務(wù)器,安裝殺毒軟件、防火墻,并及時更新病毒庫、定時查殺;進行定期掃描系統(tǒng)及應用漏洞;禁止安裝非業(yè)務(wù)相關(guān)軟件;外網(wǎng)出口架設(shè)硬件防火墻,并配置訪問控制列表,除業(yè)務(wù)應用外所有端口封閉;WEB應用采用安全的傳輸模式,如HTTPS,制作訪問證書,并對相應客戶頒發(fā)相應的訪問證書,否則無法訪問到業(yè)務(wù)服務(wù)器,并對證書進行定期撤銷、更新;修改應用及數(shù)據(jù)庫常用端口、避免端口被掃描及攻擊;WEB應用的用戶名密碼采取MD5方式加密,該加密方式為不可逆,防止客戶用戶名與密碼被竊取;

(3)加強員工信息安全培訓。

分批、分級對員工進行信息安全培訓,加強員工對信息安全的重視程度、培養(yǎng)信息安全方面的基礎(chǔ)知識。

第6篇:國家信息安全的重要性范文

【關(guān)鍵詞】相似矩陣;因子分析;關(guān)鍵詞詞頻

1.研究背景

隨著信息網(wǎng)絡(luò)的發(fā)展,我國網(wǎng)絡(luò)安全事件頻發(fā),如銀行賬戶被盜資金流失,個人信息泄露,網(wǎng)絡(luò)欺詐等等。如何在提前預防這些事件,如何及時做出有效的決策,如何在事故發(fā)生后采取行動越來越成為一個關(guān)注熱點。

本實驗采用中國學術(shù)期刊網(wǎng)(CNKI)全文數(shù)據(jù)庫并選擇網(wǎng)絡(luò)數(shù)據(jù)總庫,時間是2008/1/1-2013/1/1,制定來源為核心刊物,指定主題為“信息系統(tǒng)安全”,共搜到2000篇文獻信息。

2.數(shù)據(jù)處理

通過SATI軟件將txt文本數(shù)據(jù)源進行初步處理,統(tǒng)計關(guān)鍵詞詞頻,獲得原始關(guān)鍵詞4070個。將所有關(guān)鍵詞復制到Excel中進行分列,選擇詞頻數(shù)不低于22次的關(guān)鍵詞,篩選出51個關(guān)鍵詞作為高頻詞。在SATI軟件中利用高頻關(guān)鍵詞進行兩兩共詞檢索,統(tǒng)計它們在有效文獻中出現(xiàn)的頻率,建立一個51x51關(guān)鍵詞的詞頻共現(xiàn)矩陣。由于在試驗過程中詞頻數(shù)量級不同產(chǎn)生的差異使實驗不準確。因此將共詞矩陣轉(zhuǎn)化為相似矩陣。

共詞矩陣轉(zhuǎn)化為相似矩陣的具體方法用Ochiia系數(shù)將共詞矩陣轉(zhuǎn)換成相似矩陣,即將共詞矩陣中的每個數(shù)字都除以與之相關(guān)的兩個關(guān)鍵詞總頻次開方的乘積,其計算公式是:

此時對角線上的數(shù)據(jù)表示該詞自身的相似程度,經(jīng)上式計算均為1。筆者通過Excel利用該公式進行計算,得到的部分相似矩陣。相似矩陣中的數(shù)字表明其對應兩個關(guān)鍵詞之間的親疏關(guān)系,數(shù)值越大表明關(guān)鍵詞之間的距離越近,相似度越好;反之,數(shù)值越小表明關(guān)鍵詞之間的距離越遠,相似度越差。

3.數(shù)據(jù)分析與挖掘

因子分析的目標是用盡可能少的因子取描述眾多指標間的聯(lián)系,其基本思想是把研究對象的變量分組,使同組內(nèi)的變量相關(guān)性較高,不同組的變量相關(guān)性較低。每組變量稱為一個公共因子,這樣幾個公共因子可以反映原資料大部分信息。

圖1 碎石圖

對相似矩陣使用SPSS17.0軟件進行因子分析,選擇“主成分”、輸出“碎石圖”“基于為旋轉(zhuǎn)的因子解”,得到因子分析的結(jié)果如圖1所示。

一般而言,特征值大于1的因子應被保留,特征值小于1的因子應被舍棄。那么,從表7中可以直觀地判斷出應從51個關(guān)鍵詞中提取20個因子;另一方面,所提取的因子應該能概括總體信息的 60%以上,根據(jù)因子分析解釋的總防長提取 18個因子即可涵蓋61.504%的信息。而與因子抽取相配套的因子個數(shù)碎石圖(如圖 10所示)則直觀地顯示出因子分析的前18個因子類別是比較清晰的,因此,提取因子的個數(shù)應介于18-20之間,即將51個關(guān)鍵詞分為18-20個類團。26個主成分命名如表1所示。

表1 主成分因子

1防護機制建設(shè) 2保護措施 3風險和信息 4系統(tǒng)安全 5會計信息系統(tǒng)

保護制度0.837 信息技術(shù)0.770 風險管理-0.514 信息安全0.506 會計信息系統(tǒng)0.509

國家信息安全0.772 防火墻0.746 信息科技-0.52 信息系統(tǒng)0.540

保護工作0.909 安全保密0.599

安全建設(shè)0.699

安全等級0.920

等級保護0.776

6電子政務(wù) 7安全域 8風險分析 9網(wǎng)絡(luò)與信息安全 10信息化

11醫(yī)院信息系統(tǒng) 12訪問控制 13信息安全保障 14計算機 15安全風險

16信息化建設(shè) 17內(nèi)部控制 18安全管理 19信息安全保障 20管理信息系統(tǒng)

4.研究熱點分析

根據(jù)上述國內(nèi)應急預案領(lǐng)域的研究結(jié)構(gòu)結(jié)合文獻結(jié)構(gòu),概括起來,國內(nèi)對應急研究熱點集中在以下幾點:

(1)防護機制建設(shè)

從因子載荷系數(shù)來看,有關(guān)防護機制建設(shè)的關(guān)聯(lián)性最強,包含了保護制度、國家信息安全、保護工作、安全建設(shè)、安全等級、等級保護。由于信息系統(tǒng)安全工作的特殊性,諸多研究者均從建立系統(tǒng)機制入手,側(cè)重理論成果的建立,為信息系統(tǒng)安全領(lǐng)域的發(fā)展奠定基礎(chǔ)。信息系統(tǒng)安全工作參與國際化競爭,與國家安全息息相關(guān),是研究者們現(xiàn)在以及未來不會停歇的研究重點。

(2)保護措施

這一分類主要包含三個方面信息技術(shù)、防火墻和安全保密。信息系統(tǒng)安全離不開信息技術(shù)的支撐,不同信息系統(tǒng)建立防火墻和安全加密的要求不同,實現(xiàn)途徑也不同,研究者在技術(shù)實現(xiàn)方面的研究越來越完善。

(3)風險和信息

維護信息系統(tǒng)安全的前提是了解信息系統(tǒng)可能面臨的風險,目標是掌控風險,提前預防,將造成嚴重后果的可能性降到最低。網(wǎng)絡(luò)信息的傳播途徑趨于多樣化,使得系統(tǒng)信息安全的風險加大,研究系統(tǒng)可能存在的風險在企業(yè)中越來越有必要。

(4)系統(tǒng)安全

信息系統(tǒng)安全強調(diào)系統(tǒng)思維,如何界定信息系統(tǒng),從哪些角度維護安全是基礎(chǔ)性知識。研究信息系統(tǒng)分類能夠使信息系統(tǒng)維護工作進行系統(tǒng)性的劃分,也是現(xiàn)行信息系統(tǒng)發(fā)展的必然要求。系統(tǒng)安全既有技術(shù)安全也有人為安全,是現(xiàn)行信息系統(tǒng)安全領(lǐng)域必要考慮的研究方向。

(5)各行業(yè)信息系統(tǒng)安全

市場需求是不斷變化的,各領(lǐng)域的信息系統(tǒng)建設(shè)也需要不斷完善,安全工作在各行業(yè)內(nèi)越來越重要,研究者致力于某一行業(yè)的信息系統(tǒng)安全工作能夠做精做細,在信息系統(tǒng)安全發(fā)展的大方向上細分出很多分支,信息系統(tǒng)安全工作得以更深更廣的延伸。

(6)控制工作

維護信息系統(tǒng)安全的基本要求在于使外部人員無權(quán)訪問、內(nèi)部人員按級別限制訪問?,F(xiàn)實需求的多樣化導致訪問權(quán)限并非簡單設(shè)置,既要做到限制,又要可追蹤等等。如同設(shè)置安全等級機制,控制工作也是信息系統(tǒng)安全的細分領(lǐng)域。研究專家針對不同信息系統(tǒng)類型研究不同的控制機制。

5.總結(jié)

本實驗以中國期刊全文數(shù)據(jù)庫(CNKI)近五年國內(nèi)信息系統(tǒng)安全領(lǐng)域核心期刊發(fā)表的文章為基礎(chǔ),運用共詞分析方法,結(jié)合SATI,Excel軟件進行詞頻統(tǒng)計,生成共現(xiàn)矩陣,并利用SPSS軟件的系統(tǒng)聚類功能以及因子分析的功能對國內(nèi)研究現(xiàn)狀和方向進行了分析,我國信息系統(tǒng)安全領(lǐng)域有如下特點:

(1)信息系統(tǒng)安全領(lǐng)域里安全防護機制的建設(shè)成為當前發(fā)展勢頭最強勁的方向,其中主要安全、保護等級的設(shè)定,研究者致力于對機制的完善,跳出技術(shù)層面的限制,在理論上研究更加深刻

(2)信息技術(shù)不斷改進和完善,成為有技術(shù)背景研究專家的主攻方向,對于防火墻、信息加密、控制權(quán)限等操作層面的研究也成為另一大熱點。信息系統(tǒng)安全的維護說到底要技術(shù)層面的實現(xiàn),提高系統(tǒng)運行效率,增加系統(tǒng)的安全性是技術(shù)開發(fā)的終極目標。

(3)各行業(yè)職能信息系統(tǒng)的安全工作越來越重要,細分信息系統(tǒng)的安全工作也表現(xiàn)出差異,滿足用戶的不同需求,實現(xiàn)安全維護的不同級別也是專家研究的另一大熱點。政府、企業(yè)、非營利性機構(gòu)對信息系統(tǒng)的安全工作提出不同訴求,社會的需要推動安全工作的完善,在實踐中檢驗安全工作的有效性。

(4)風險識別與管理作為危害信息系統(tǒng)安全的攻擊方是研究工作必須考慮的方面,專家通過對風險的研究能夠全面了解信息系統(tǒng)的安全漏洞進而采取措施。隨著電子商務(wù)、電子政務(wù)的發(fā)展,此類風險研究的重要性逐年增加。

參考文獻

第7篇:國家信息安全的重要性范文

【關(guān)鍵詞】 信息系統(tǒng); 審計; 審計目標

2007年2月國務(wù)院國有資產(chǎn)監(jiān)督管理委員會和國務(wù)院信息化工作辦聯(lián)合印發(fā)了《關(guān)于加強中央企業(yè)信息化工作的指導意見》,加快了國有企業(yè)信息化建設(shè)的步伐。國有企業(yè)審計是中國特色社會主義國家審計的重要組成部分。由于企業(yè)與公共部門在內(nèi)部控制、管理和治理方面的差異,導致了企業(yè)信息系統(tǒng)審計與公共部門信息系統(tǒng)審計的不同特點。

一、增強國有企業(yè)信息系統(tǒng)的可信性

審計機關(guān)的審計目標取決于法定要求。根據(jù)《中華人民共和國審計法》的規(guī)定,審計機關(guān)對國有企業(yè)財務(wù)收支的真實、合法、效益,依法進行審計監(jiān)督。顯然,真實性是國有企業(yè)審計的目標之一。信息系統(tǒng)審計是國有企業(yè)審計的重要組成部分。國有企業(yè)審計的總體目標,決定了國有企業(yè)信息系統(tǒng)審計的目標。國有企業(yè)審計的真實性目標,必然要求國有企業(yè)信息系統(tǒng)提供真實性的信息,這意味著,審計機關(guān)的國有企業(yè)信息系統(tǒng)審計必須把真實性作為審計目標之一。

根據(jù)相關(guān)法律的規(guī)定,注冊會計師也可以對國有企業(yè)進行審計。根據(jù)我國公司法第165條的規(guī)定,“公司應當在每一會計年度終了時編制財務(wù)會計報告,并依法經(jīng)會計師事務(wù)所審計?!倍?,2008年10月通過的《中華人民共和國企業(yè)國有資產(chǎn)法》第六十七條明確規(guī)定,“履行出資人職責的機構(gòu)根據(jù)需要,可以委托會計師事務(wù)所對國有獨資企業(yè)、國有獨資公司的年度財務(wù)會計報告進行審計,或者通過國有資本控股公司的股東會、股東大會決議,由國有資本控股公司聘請會計師事務(wù)所對公司的年度財務(wù)會計報告進行審計,維護出資人權(quán)益?!贝蠹抑?,依據(jù)注冊會計師執(zhí)業(yè)審計準則的規(guī)定,會計師事務(wù)所對企業(yè)財務(wù)報表審計的目的是“提高財務(wù)報表預期使用者對財務(wù)報表的信賴程度?!雹龠@說明,注冊會計師國有企業(yè)審計的目標是要求財務(wù)報表提供的信息具有可信性。注冊會計師所審計的國有企業(yè)財務(wù)報表中的信息是由國有企業(yè)的信息系統(tǒng)產(chǎn)生形成的,因而必須對信息系統(tǒng)進行審計。注冊會計師對國有企業(yè)財務(wù)報表審計的可信性目標,決定了注冊會計師對國有企業(yè)信息系統(tǒng)審計的可信性目標。

同樣的審計對象,不同的審計主體,導致了兩種不同的國有企業(yè)信息系統(tǒng)審計目標。從上述分析不難發(fā)現(xiàn),無論是審計機關(guān)還是注冊會計師對國有企業(yè)進行審計,其中對企業(yè)信息系統(tǒng)的審計都是不可或缺的重要組成部分。根據(jù)審計法的規(guī)定,審計機關(guān)對國有企業(yè)信息系統(tǒng)審計的目標是真實性。而根據(jù)注冊會計師執(zhí)業(yè)審計準則,對國有企業(yè)信息系統(tǒng)審計的目標是可信性。那么,什么是真實性?什么是可信性?這兩種目標之間有什么樣的聯(lián)系和區(qū)別?為什么說審計機關(guān)應當把增強國有企業(yè)信息系統(tǒng)可信性作為審計目標呢?

(一)真實性與可信性的基本涵義

我國審計法強調(diào)真實性,根據(jù)2010年9月頒布的中華人民共和國國家審計準則(以下簡稱國家審計準則)的規(guī)定,“真實性是指反映財政收支、財務(wù)收支以及有關(guān)經(jīng)濟活動的信息與實際情況相符合的程度。”那么,什么是真實性呢?真實性只是對財政財務(wù)收支及有關(guān)經(jīng)濟活動信息質(zhì)量的最低要求。如果會計信息是真實的,但是不夠完整或者披露不及時,仍然不能滿足信息使用者的需要,甚至會導致錯誤的投資決策。事實上,就真實性本身而言,由于會計估計、核算方法等因素的影響,會計信息的真實性也只是相對的,而不是絕對的。所以,把真實性作為審計目標,具有一定的局限性。所謂可信性,從國際審計準則第200號(ISA200)可以看出,當編制的財務(wù)報表公允表達(presented fairly)或真實公允(true and fair)時,它才是可信性的。從字面上講,公允(fair)或公平的要求,強調(diào)了財務(wù)報表各種使用者之間的利益平衡。從理論上講,公允表達或真實公允的概念比真實性概念具有更多的內(nèi)涵,涉及會計適當性、適當披露及審計責任等概念。在國際審計準則第200號(ISA200)中,公允表達是指財務(wù)報表是否在所有重大方面按照適用的財務(wù)報告框架編制,“公允”還意味著超出財務(wù)報告框架所要求披露范圍的必要性,以及在極端情況下必須偏離財務(wù)報告框架的可能性。適用的財務(wù)報告框架,主要是指適用的會計法律法規(guī)、會計準則、會計制度等。大家知道,我國會計法強調(diào)“保證會計資料真實、完整”。根據(jù)會計法的要求,我國的財務(wù)報表不僅要具有真實性,而且還要具有完整性??偟膩碚f,可信性并不否認真實性,真實性是可信性的必要前提之一,但真實的并不一定是可信的,可信性的內(nèi)涵更加豐富,真實性是對財務(wù)信息質(zhì)量的最低要求,可信性反映了對財務(wù)信息質(zhì)量更高的要求。

(二)可信性目標反映了注冊會計師審計發(fā)展的新階段

一般認為,受社會需求變化、自身技術(shù)手段及審計風險等因素的影響,注冊會計師審計目標的發(fā)展演變至今經(jīng)歷了四個階段,即20世紀30年代之前的查錯糾弊階段、30年代中期至80年代驗證會計報表真實公允階段、80年代至90年代中期真實公允與查錯糾弊并重階段,及90年代后期以來的增強信息可信性階段。雖然同為注冊會計師審計的目標,然而從歷史發(fā)展演變的角度看,真實性只是注冊會計師審計的早期目標,當前注冊會計師審計準則中的可信性目標反映了注冊會計師審計的最新發(fā)展,是更高級發(fā)展階段的目標。

(三)可信性目標比“真實公允”具有更加廣泛的適用性

20世紀90年代后期,傳統(tǒng)的財務(wù)報表審計成為更為廣義的概念――“保證業(yè)務(wù)”(Assurance Service)的一個組成部分。我國注冊會計師協(xié)會譯為“鑒證業(yè)務(wù)”②。2004年國際會計師聯(lián)合會了《國際保證業(yè)務(wù)框架》,2005年1月1日生效。2006年我國制定了《中國注冊會計師鑒證業(yè)務(wù)基本準則》,2007年1月1日起施行。鑒證業(yè)務(wù)是指注冊會計師對鑒證對象信息提出結(jié)論,以增強除責任方之外的預期使用者對鑒證對象信息信任程度的業(yè)務(wù)。鑒證對象與鑒證對象信息具有多種形式,主要包括:當鑒證對象為財務(wù)業(yè)績或狀況時(如歷史或預測的財務(wù)狀況、經(jīng)營成果和現(xiàn)金流量),鑒證對象信息是財務(wù)報表;當鑒證對象為非財務(wù)業(yè)績或狀況時(如企業(yè)的運營情況),鑒證對象信息可能是反映效率或效果的關(guān)鍵指標;當鑒證對象為物理特征時(如設(shè)備的生產(chǎn)能力),鑒證對象信息可能是有關(guān)鑒證對象物理特征的說明文件;當鑒證對象為某種系統(tǒng)和過程時(如企業(yè)的內(nèi)部控制或信息技術(shù)系統(tǒng)),鑒證對象信息可能是關(guān)于其有效性的認定;當鑒證對象為一種行為時(如遵守法律法規(guī)的情況),鑒證對象信息可能是對法律法規(guī)遵守情況或執(zhí)行效果的聲明。不難看出,傳統(tǒng)的財務(wù)報表審計只是鑒證業(yè)務(wù)中的一種。鑒證標準隨著鑒證對象的不同,也從財務(wù)報表審計中按照適用的財務(wù)報表編制框架,如編制財務(wù)報表所使用的會計準則和相關(guān)會計制度,擴展到單位內(nèi)部制定的行為準則、績效水平等方面。從其定義看,鑒證業(yè)務(wù)的目的在于增強除責任方之外的預期使用者對鑒證對象信息的信任程度。真實公允目標是針對財務(wù)報表審計的審計目標,可信性目標在概念外延上具有更加廣泛的適用性??尚判阅繕瞬粌H適用于對財務(wù)信息的可信性,而且還適用于非財務(wù)信息(績效信息)的可信性。對財務(wù)報表來說,如果它是真實公允的,即在所有重大方面是按照適用的財務(wù)報表框架編制的,它就是可信性;對于其他鑒證信息來說,如果它是符合適用的鑒證標準,就是可信性的。企業(yè)內(nèi)部的信息系統(tǒng),現(xiàn)在已不僅僅是財務(wù)信息系統(tǒng),還包括各種業(yè)務(wù)和管理信息系統(tǒng)。與此同時,為滿足企業(yè)的業(yè)務(wù)需求,信息系統(tǒng)所提供的信息也不局限于財務(wù)信息,而且還包括許多非財務(wù)信息。所以,在國有企業(yè)信息系統(tǒng)審計中,把可信性作為國有企業(yè)信息系統(tǒng)審計的目標比真實性目標更加符合企業(yè)信息化發(fā)展的客觀要求。

(四)可信性目標反映了審計理論的深化和發(fā)展

可信性不是一個孤立的術(shù)語,它是新審計理論(或一組新的相互聯(lián)系的審計概念)中的一個關(guān)鍵性概念。隨著注冊會計師的業(yè)務(wù)從傳統(tǒng)的財務(wù)報表審計發(fā)展到鑒證業(yè)務(wù),傳統(tǒng)的審計理論也得到了深化和發(fā)展。大家知道,審計三方關(guān)系是指審計人、被審計人、審計授權(quán)或委托人之間的關(guān)系。傳統(tǒng)的受托責任論,即審計動因論,是建立在傳統(tǒng)的審計三方關(guān)系之上的。然而,在我國現(xiàn)行的《注冊會計師鑒證業(yè)務(wù)基本準則》中給出了一種新的審計三方關(guān)系,即注冊會計師、責任方和預期使用者。在新的審計三方關(guān)系中,被審計人與審計授權(quán)或委托人之間責任關(guān)系的含義更加豐富,除傳統(tǒng)的受托責任關(guān)系外還有其他種類不帶委托性質(zhì)的責任關(guān)系③。在新的審計三方關(guān)系中,預期使用者應包括企業(yè)所有的利益相關(guān)者,除了傳統(tǒng)受托責任關(guān)系中的股東外,還應包括經(jīng)營者、員工、顧客、供應商、債權(quán)人、潛在的投資者、監(jiān)管層、競爭者等。聘請注冊會計師的通常是預期使用者或其代表,但也可能是責任方。責任方、預期使用者和注冊會計師三方之間的關(guān)系,可以看作是信息提供者、信息使用者和信息可信性的保證者之間的關(guān)系④。增強信息的可信性,實際上是減少了信息提供者與預期使用者之間的信息不對稱,鑒于預期使用者的廣泛性,在市場經(jīng)濟條件下,將有利于完善市場機制,提高市場資源配置效率,從而拓展了審計的社會功能??尚判圆皇且粋€空洞的概念,鑒證對象信息是否具有可信性,需要執(zhí)行一定的業(yè)務(wù)程序。審計師在收集證據(jù)的基礎(chǔ)上,依據(jù)一定的標準,檢查責任方的鑒證對象信息在所有重大方面是否符合適當?shù)臉藴屎?,才能為鑒證對象信息的可信性提供一定程度的保證,從而提供給預期使用者。鑒證業(yè)務(wù)的保證程度被細分為合理保證和有限保證,鑒證對象信息被劃分為財務(wù)信息和非財務(wù)信息,其中財務(wù)信息被進一步細分為歷史財務(wù)信息和預測性財務(wù)信息??尚判愿拍钍沁@些新審計理論中的關(guān)鍵性概念之一,相比之下,真實性概念在新的審計理論中卻沒有相應的理論地位。

(五)可信性目標反映了國家審計的發(fā)展趨勢

在世界審計組織(INTOSAI)的道德準則(Code of Ethics)中,強調(diào)了信賴(trust)、信任(confidence)、信譽(credibility)對于審計機關(guān)的至關(guān)重要性。在南非審計署1911至2011年百年紀念的紀念品和網(wǎng)站首頁上有一句格言:“Auditing to build public confidence”,即“審計旨在建立公共信任”。我國審計署2011年7月15日印發(fā)的《審計署關(guān)于深化經(jīng)濟責任審計工作的指導意見》中提出,要確保經(jīng)濟責任審計結(jié)果的可信、可靠和可用。劉家義審計長提出,國家審計是國家治理的一個組成部分??鬃釉唬骸白闶?,足兵,民信之矣”,“民無信不立”,說明了信任、守信在國家治理中的重要性。我們知道,“誠信友愛”是構(gòu)建社會主義和諧社會的基本要求之一。國家審計可以增強政府的公信力,增強整個社會的誠信。從國家治理的角度看,可信性目標比真實性目標更好地體現(xiàn)了國家審計在國家治理中的作用。

經(jīng)過上述真實性和可信性兩種審計目標含義的對比,不難發(fā)現(xiàn),雖然真實性目標是國有企業(yè)審計的傳統(tǒng)目標之一,但是可信性比真實性的涵義更為豐富,可信性目標中不但包含了真實性目標,而且可信性目標要求信息系統(tǒng)提供更高質(zhì)量的信息。兩種目標都對信息系統(tǒng)提供的信息質(zhì)量提出了要求,國家審計對信息質(zhì)量的要求不應低于注冊會計師審計。因此,筆者認為,盡管現(xiàn)行的審計法規(guī)定了國有企業(yè)信息系統(tǒng)審計的真實性目標,但是,從理論上講以及從未來發(fā)展趨勢看,審計機關(guān)應當選擇可信性作為國有企業(yè)信息系統(tǒng)審計的目標,即國有企業(yè)信息系統(tǒng)審計應當促進企業(yè)信息系統(tǒng)提供可信的信息。

二、促進國有企業(yè)信息系統(tǒng)的遵循性

最高審計機關(guān)國際組織(INTOSAI)在審計基本原則(ISSAI-100)中,把政府審計業(yè)務(wù)分為兩大類,即合規(guī)審計(regularity audit)和績效審計(performance audit),并制定了相應的審計執(zhí)行指南,即財務(wù)審計執(zhí)行指南(Implementation Guidelines on Financial Audit)、遵循審計執(zhí)行指南(implementation guidelines on compliance audit)和績效審計執(zhí)行指南(Implementation Guidelines on Performance Audit)。在這個準則指南框架中,合規(guī)性審計包括了財務(wù)審計和遵循性審計。遵循性審計是指對公共部門實體的活動是否與相關(guān)法律法規(guī)及授權(quán)要求相一致的審計。在《國際審計準則第250號――財務(wù)報表審計中對法律法規(guī)的考慮》(ISA250)中,非遵循(non-compliance),是指被審計單位不履行法律法規(guī)責任或者違反法律法規(guī)的犯罪,故意地或者非故意地,與執(zhí)行的法律或法規(guī)對立的行為。在COSO內(nèi)部控制框架中,遵循性(compliance)作為內(nèi)部控制的目標之一,是指符合適用的法律法規(guī)。由此看來,在上述準則指南中,遵循性,就是我國國家審計中的合法性。但是,在本文中,作為國有企業(yè)信息系統(tǒng)審計的目標之一,遵循性與合法性不同。

為滿足業(yè)務(wù)需求,對信息系統(tǒng)提供的信息有一般性的要求,在IT治理框架COBIT4.1中,這些要求也被稱之為信息標準(information criteria)。遵循性(compliance)作為其中的標準之一,是指“涉及業(yè)務(wù)流程與所需遵守的法律、法規(guī)及合同約定之間的符合程度的屬性,即外部的強制要求和內(nèi)部政策的遵循性。”⑤在本文中,遵循性作為國有企業(yè)信息系統(tǒng)審計的目標之一,采用COBIT4.1中遵循性的概念,即國有企業(yè)信息系統(tǒng)的設(shè)計、建設(shè)、運行和監(jiān)控不僅要符合來自企業(yè)外部的強制性要求(合法性),而且還應符合國有企業(yè)內(nèi)部制定的各種規(guī)定的要求。

我國審計機關(guān)對國有企業(yè)的財務(wù)收支的真實、合法和效益,依法進行審計監(jiān)督。合法性是國有企業(yè)審計的審計目標之一。作為國有企業(yè)審計的重要內(nèi)容,信息系統(tǒng)審計應當促進國有企業(yè)信息系統(tǒng)的合法性。那么,為什么我們要把國有企業(yè)內(nèi)部制定的各種規(guī)定同時也納入國有企業(yè)信息系統(tǒng)審計的目標呢?企業(yè)內(nèi)部如何制定關(guān)于其信息系統(tǒng)的規(guī)定是企業(yè)自己的事情,似乎審計機關(guān)不應干預,但是,效益性也是國有企業(yè)審計的審計目標之一。當信息系統(tǒng)不符合國有企業(yè)某些內(nèi)部規(guī)定的要求時就會影響到企業(yè)效益,這些內(nèi)部規(guī)定,如內(nèi)部控制、管理和治理等,也應納入國有企業(yè)信息系統(tǒng)審計的遵循性目標范圍。

三、改善國有企業(yè)信息系統(tǒng)的績效性

績效性目標是企業(yè)信息化不斷發(fā)展的產(chǎn)物。我國企業(yè)信息化建設(shè)已經(jīng)發(fā)展到了關(guān)注績效性的階段??冃阅繕艘彩荌T管理和IT治理的重要內(nèi)容。IT管理和IT治理的國際標準或良好實務(wù),為開展信息系統(tǒng)績效審計提供了審計標準。

(一)企業(yè)信息系統(tǒng)績效性的概念

當企業(yè)信息化發(fā)展水平達到一定程度后,信息系統(tǒng)的績效問題逐漸引起了人們的關(guān)注。在企業(yè)信息化的早期階段,信息系統(tǒng)主要應用于企業(yè)的財務(wù)會計領(lǐng)域,這時人們對信息系統(tǒng)關(guān)注的焦點主要是信息系統(tǒng)的可信性和遵循性問題,相應的措施主要集中在內(nèi)部控制方面,強調(diào)信息系統(tǒng)的一般控制和應用控制。隨著企業(yè)信息化水平的不斷提高,信息系統(tǒng)在企業(yè)中的應用范圍逐漸從財務(wù)會計領(lǐng)域擴展到整個業(yè)務(wù)領(lǐng)域和管理領(lǐng)域,與此同時,信息系統(tǒng)的建設(shè)投入和運行成本顯著提高。這時人們發(fā)現(xiàn),大量的信息化投入并不一定能夠帶來預期的收益,而且還帶來巨大的潛在風險,個別企業(yè)甚至因高投入造成利潤下降或財務(wù)危機,有的企業(yè)因業(yè)務(wù)流程改造滯后,還會導致管理混亂。在這種情況下,人們對信息系統(tǒng)關(guān)注的焦點,逐漸從“投入”轉(zhuǎn)向“產(chǎn)出”,從技術(shù)和內(nèi)部控制問題轉(zhuǎn)向管理和治理問題,在企業(yè)內(nèi)部出現(xiàn)了專門的IT管理部門,IT管理和IT治理逐漸從企業(yè)的一般管理和治理中獨立出來,而“績效”是描述信息系統(tǒng)投入產(chǎn)出、管理和治理的核心概念。

信息系統(tǒng)的績效性是指利用IT資源提供企業(yè)信息服務(wù)的經(jīng)濟性、效率性和效果性。為它的利益相關(guān)者提供價值是企業(yè)存在的基本前提。企業(yè)信息系統(tǒng)的目的在于利用IT資源,通過IT流程,提供企業(yè)信息服務(wù),以滿足業(yè)務(wù)需求。信息系統(tǒng)要實現(xiàn)的績效目標必須與企業(yè)的業(yè)務(wù)需求或業(yè)務(wù)目標相一致。

(二)績效性目標的可行性

從我國企業(yè)信息化發(fā)展階段看,目前信息系統(tǒng)的績效問題已經(jīng)成為關(guān)注的焦點。2011年2月,工信部電子一所和用友軟件股份有限公司聯(lián)合了《2010年中國企業(yè)信息化指數(shù)調(diào)研報告》。該報告將中國企業(yè)的信息技術(shù)應用分為四個階段,分別為基礎(chǔ)應用階段、關(guān)鍵應用階段、擴展整合及優(yōu)化升級應用階段以及戰(zhàn)略應用階段,如圖1所示。

該報告認為,目前我國企業(yè)信息化總體上處于由基礎(chǔ)應用和關(guān)鍵應用向擴展整合與優(yōu)化升級過渡階段。報告的主要結(jié)論之一是,2010年“信息技術(shù)應用范圍的變化主要體現(xiàn)在應用廣度和深度兩方面,企業(yè)基本完成了信息技術(shù)在各業(yè)務(wù)領(lǐng)域的應用覆蓋,已逐漸開始深度關(guān)注企業(yè)業(yè)務(wù)發(fā)展需求,著力提升信息技術(shù)的應用價值?!碧岣咝畔⑾到y(tǒng)的績效,也已經(jīng)成為我國企業(yè)信息化深度發(fā)展的方向。把績效性作為國有企業(yè)信息系統(tǒng)審計的目標,符合我國企業(yè)信息化發(fā)展的現(xiàn)狀,在現(xiàn)實中具有可行性。

(三)績效性是IT管理和IT治理的重要內(nèi)容

IT管理目的在于如何降低成本,以更好的彈性及更快的響應速度,向組織內(nèi)外部顧客提供高質(zhì)量的IT服務(wù),提供顧客的滿意度。IT管理的目標就是要追求信息系統(tǒng)的績效性,即經(jīng)濟性、效率性和效果性。

信息系統(tǒng)的績效性也是IT治理追求的目標之一。在IT治理國際標準ISO/IEC38500(組織的信息技術(shù)治理)中規(guī)定了“績效”原則,即IT應適合于支持組織的目的并提供服務(wù),服務(wù)等級和服務(wù)質(zhì)量應滿足當前和將來的業(yè)務(wù)要求。IT治理框架COBIT4.1有四個基本特征:以業(yè)務(wù)為中心、以流程為導向、以控制為基礎(chǔ)、以績效測評為驅(qū)動。在該框架中,績效測評是IT治理的關(guān)鍵,并且指出,“多項調(diào)研已經(jīng)表明,IT成本、價值和風險管理缺乏透明是驅(qū)動IT治理最重要的一個因素。相對于其他關(guān)注的領(lǐng)域,提高透明度主要通過績效測評來實現(xiàn)?!雹?/p>

(四)績效審計的參照標準

IT管理和IT治理從企業(yè)管理和治理中獨立出來,為開展單獨立項的信息系統(tǒng)績效審計創(chuàng)造了條件。就像企業(yè)審計要關(guān)注被審計單位的管理和治理那樣,企業(yè)信息系統(tǒng)審計要關(guān)注被審計單位的IT管理和IT治理情況。IT管理和IT治理的國際標準或良好實務(wù),則為開展信息系統(tǒng)績效審計提供了審計標準,也可以作為向被審計單位提出改進建議的參照標準。常見的IT管理和IT治理國際標準有:ISO/1EC20000(信息技術(shù)――服務(wù)管理)、ITIL(信息技術(shù)基礎(chǔ)庫)、ISO/IEC38500(組織的信息技術(shù)治理)、COBIT4.1(信息及其相關(guān)技術(shù)控制目標)等。

四、維護國有企業(yè)信息系統(tǒng)的安全性

維護國有企業(yè)信息系統(tǒng)的安全,對于維護國家經(jīng)濟安全至關(guān)重要。隨著信息技術(shù)的發(fā)展和應用,人們對信息系統(tǒng)安全性的認識也不斷深化。正確理解信息安全的涵義,對于開展信息系統(tǒng)安全性審計具有重要的意義。

(一)安全性目標的重要性

根據(jù)1994年我國頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》,維護計算機信息系統(tǒng)的安全性,就是要保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全,運行環(huán)境的安全,保障信息的安全,保障計算機功能的正常發(fā)揮,以維護計算機信息系統(tǒng)的安全運行⑦。從這里可以看出,信息系統(tǒng)的安全包括:信息本身的安全、系統(tǒng)設(shè)施設(shè)備的安全和系統(tǒng)運行環(huán)境的安全三個層面。就三個層面的關(guān)系而言,信息是核心,系統(tǒng)設(shè)施設(shè)備及其運行環(huán)境是保障,信息本身的安全是目的,系統(tǒng)設(shè)施設(shè)備的安全及其運行環(huán)境的安全是手段。

國有企業(yè)信息系統(tǒng)安全是國家信息安全和經(jīng)濟安全的重要組成部分。為了保護中央企業(yè)信息系統(tǒng)的安全穩(wěn)定運行,2010年12月,公安部和國務(wù)院國有資產(chǎn)監(jiān)督管理委員會聯(lián)合頒布了《關(guān)于進一步推進中央企業(yè)信息安全等級保護工作的通知》。據(jù)統(tǒng)計,截至2010年5月,已有89.6%的中央企業(yè)開展了信息安全等級保護工作,中央企業(yè)總計建成投入使用的信息系統(tǒng)有16 092個,已定級14 539個,占比90.3%;應向公安機關(guān)備案的系統(tǒng)(二級及以上)有11 370個,已備案8 113個,占應備案系統(tǒng)的71.4%;列入2010年定級計劃的有1 598個。中央企業(yè)在公安機關(guān)備案的信息系統(tǒng)總數(shù)約占全國信息系統(tǒng)備案總數(shù)的21%,第三、四級重要系統(tǒng)約占全國重要信息系統(tǒng)備案總數(shù)的30%⑧。這些數(shù)據(jù)表明,國有企業(yè)信息系統(tǒng)已成為國家信息安全的重要組成部分?!吨腥A人民共和國企業(yè)國有資產(chǎn)法》第七條規(guī)定,“國家采取措施,推動國有資本向關(guān)系國民經(jīng)濟命脈和國家安全的重要行業(yè)和關(guān)鍵領(lǐng)域集中,優(yōu)化國有經(jīng)濟布局和結(jié)構(gòu),推進國有企業(yè)的改革和發(fā)展,提高國有經(jīng)濟的整體素質(zhì),增強國有經(jīng)濟的控制力、影響力?!庇捎趪衅髽I(yè)集中在國民經(jīng)濟命脈和國家安全的重要行業(yè)和關(guān)鍵領(lǐng)域,如電信、電力、石油、石化等重要行業(yè),其重要信息系統(tǒng)已成為國家關(guān)鍵基礎(chǔ)設(shè)施,是國民經(jīng)濟命脈之命脈,保護國有企業(yè)信息系統(tǒng)的安全穩(wěn)定運行,對于維護國家經(jīng)濟安全和社會穩(wěn)定具有重要的意義。

(二)信息安全概念的演變

根據(jù)我國計算機信息系統(tǒng)安全保護條例中的定義,計算機信息系統(tǒng)的安全性,包括信息本身的安全、系統(tǒng)設(shè)施設(shè)備的安全和支撐環(huán)境的安全。其中,信息本身的安全,即信息安全,是信息系統(tǒng)安全的核心和目的。那么,究竟什么是信息安全呢?

人們對信息系統(tǒng)安全性的認識經(jīng)歷了一個不斷深化的發(fā)展過程。20世紀80年代美國國防部制定的《可信計算機系統(tǒng)評估準則TCSEC》把保密性當作信息安全的重點。20世紀90年代初由英、法、德、荷四國制定的《信息技術(shù)安全評估準則ITSEC》開始把完整性、可用性與保密性作為同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐漸被普遍接受。在2002年的國際標準ISO/IEC17799:2000《信息技術(shù)――信息安全管理業(yè)務(wù)規(guī)范》中明確規(guī)定,信息安全,是指保護:“保密性(confidentiality),即確保信息只能夠由獲得授權(quán)的人訪問;完整性(integrity),即保護信息的正確性和完整性以及信息處理方法;可用性(availability),即保證經(jīng)授權(quán)的用戶可以訪問到信息,如果需要的話,還能夠訪問相關(guān)資產(chǎn)。”然而,在2005年的該國際標準修訂版即ISO/IEC17799:2005中,信息安全的定義,包括了七種安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他屬性,如真實性(authenticity)、責任性(accountability)、不可抵賴性(non-repudiation)、可靠性(reliability)等,而且,這種修訂后的信息安全定義,被2007年的國際標準ISO/IEC27001(《信息安全管理體系――規(guī)范與使用指南》)引用。在學術(shù)界,有人認為,信息安全的特性還應進一步包括可控性(controllability)、可預測性(predictability)、可審計性(auditability)、遵循性(compliance)等。

隨著信息技術(shù)的發(fā)展與應用,信息安全的內(nèi)涵越來越豐富,從最初的信息保密性發(fā)展到保密性、完整性和可用性,進而又發(fā)展到相關(guān)的真實性、責任性、抗抵賴性、可靠性等。相應地,對企業(yè)信息安全的考慮,也從最初關(guān)注企業(yè)信息安全技術(shù)層面,發(fā)展到關(guān)注企業(yè)信息安全控制、管理和治理等層面。

(三)正確理解信息安全涵義需要注意的幾個問題

1.信息安全與信息保密不同。從信息安全概念的涵義可以看出,信息保密與信息安全是兩個不同的概念,信息安全比信息保密的涵義更加豐富。盡管我國新修訂的保密法對信息系統(tǒng)的保密問題作出了規(guī)定,但是保密法不能代替信息安全法。目前,我國對信息安全的立法仍然比較滯后,尚無專門的信息安全法。信息安全法是國家信息安全保障體系不可或缺的組成部分。

2.微觀信息安全與宏觀信息安全的聯(lián)系。企業(yè)信息系統(tǒng)的安全離不開系統(tǒng)運行環(huán)境的支撐,系統(tǒng)環(huán)境包括物理環(huán)境和社會環(huán)境。從社會環(huán)境看,主要是指有關(guān)信息安全法律法規(guī)、安全意識、人才培養(yǎng)等。這就是說,微觀層面單個組織的信息系統(tǒng)安全,還離不開宏觀層面國家信息安全保障體系的構(gòu)建。與此同時,微觀層面的信息安全是基礎(chǔ),沒有微觀層面的信息安全,也就沒有宏觀層面的信息安全。

3.授權(quán)管理的重要性。信息安全的概念有三個核心涵義:保密性、完整性和可用性。這三個核心涵義都涉及一個共同的要素,即“授權(quán)”。保密性意味著只有獲得授權(quán)才能訪問;完整性意味著沒有授權(quán)不得對信息進行刪除或修改;可用性意味著擁有授權(quán)者隨時可以使用。這表明,授權(quán)管理是信息安全管理的一項關(guān)鍵內(nèi)容。信息系統(tǒng)是一種人機系統(tǒng),授權(quán)管理主要涉及對人員行為的安全管理。

4.安全性目標與遵循性、績效性、可信性目標的聯(lián)系。從信息安全的涵義可以看出,信息系統(tǒng)的安全性目標不同于其遵循性、績效性和可信性目標,但是,安全性與它們之間又是相互聯(lián)系的。首先,安全性必須滿足遵循性的要求,信息系統(tǒng)的設(shè)計、運行、使用和管理可能要置于法律規(guī)定的和合同約定的安全要求的約束之下,特別是各種信息安全法律法規(guī)、保密法,以及知識產(chǎn)權(quán)、個人隱私權(quán)方面的法律法規(guī);其次,信息安全沒有絕對的安全,所有的信息安全都是風險可接受條件下的安全,高水平的安全保護需要大量的投入成本,因而需要在成本、收益、風險和安全之間進行權(quán)衡,即安全性與績效性的聯(lián)系;最后,在信息安全技術(shù)層面,可信計算技術(shù)是信息安全技術(shù)的一個重要研究領(lǐng)域,從而表明安全性與可信性之間也有內(nèi)在的聯(lián)系。

筆者認為,目前國際上制定的有關(guān)信息安全等級評估、信息安全風險評估、信息安全管理體系等方面的國際標準,無論是在理論概念還是在操作實務(wù)方面,對于我國審計機關(guān)開展信息系統(tǒng)審計都具有重要的借鑒價值。這些國際標準或良好實務(wù)可以作為審計的參照標準,同時也可以作為審計機關(guān)向被審計單位提出改進信息系統(tǒng)安全性建議的依據(jù)。同時,在對國有企業(yè)信息系統(tǒng)的安全性進行審計時,還要立足我國實際,由于我國國有企業(yè)信息系統(tǒng)是國民經(jīng)濟命脈之命脈,事關(guān)國家經(jīng)濟安全和社會穩(wěn)定,在重視企業(yè)本身信息系統(tǒng)安全的同時,還應當從宏觀上揭示國有企業(yè)信息系統(tǒng)的安全風險,維護國家經(jīng)濟安全。

最后應當指出的是,在審計實踐中,根據(jù)具體情況,單個審計項目可以選取上述可信性、績效性和安全性目標中的一個或多個作為審計目標。

第8篇:國家信息安全的重要性范文

摘要]隨著我國中小企業(yè)的信息化不斷應用,管理信息系統(tǒng)的運行使中小企業(yè)的各方面效率得到很好的提升,但是在實際的運行中卻由于企業(yè)中存在的管理制度松散、員工的意識缺乏等制度方面的原因,使企業(yè)信息系統(tǒng)得不到適當?shù)木S護,對企業(yè)的信息數(shù)據(jù)安全、信息獲取效率都有一定的影響,所以加強中小企業(yè)信息管理制度層次的設(shè)計是有必要的。

一、問題的提出及文獻綜述

隨著我國中小企業(yè)開始實現(xiàn)信息化管理,運用信息管理系統(tǒng)來對企業(yè)生產(chǎn)進行管理,一方面,提高了企業(yè)管理的效率和科學性,使企業(yè)的生產(chǎn)、存儲、財務(wù)、成本、控制都得到了大幅度的改善;而另一方面,在實際的運行中不可避免的引發(fā)各種問題,其中包括信息安全性的問題,即存儲在計算機或在傳輸中的文件和數(shù)據(jù)遭受到破壞和濫用,而且這種活動對企業(yè)的影響非常嚴重,例如:電子商務(wù)公司,如果網(wǎng)站出現(xiàn)故障,每天的損失會高達數(shù)額人民幣,所以如何保障信息系統(tǒng)的安全,使其得到安全的控制,對于企業(yè)來說已經(jīng)變的非常重要。目前,在我國的中小企業(yè)信息管理系統(tǒng)內(nèi)部構(gòu)建中,經(jīng)??梢园l(fā)現(xiàn)由于制度和管理中的疏忽、松懈以及信息系統(tǒng)的監(jiān)管不到位,所出現(xiàn)數(shù)據(jù)的丟失或者數(shù)據(jù)的信息反應遲鈍,不能使管理者及時得到有效的信息,使其信息系統(tǒng)的發(fā)揮起不到其最佳的效果,因此如何保障中小企業(yè)信息系統(tǒng)安全,加強中小企業(yè)信息的測控是非常必要的。

在目前關(guān)于中小企業(yè)的信息系統(tǒng)安全與效率方面的文章主要是集中在如何構(gòu)建中小企業(yè)信息系統(tǒng)方面,涉及到中小企業(yè)信息管理制度這方面很少。如:楊斌、費同林(2002),趙宏中(2005),劉仁勇,王衛(wèi)平(2007),在企業(yè)管理信息系統(tǒng)建設(shè)方面提到了制度設(shè)計方面,但是沒有把其作為一個研究重點,其他一些相似的文獻基本是從技術(shù)角度探討。從中小企業(yè)實際的成本收益考慮,一般來說,由于運用的相應技術(shù)不是很高,基本都是基礎(chǔ)的軟件系統(tǒng),所以有必要對中小企業(yè)面臨的制度方面進行詳細的分析。

二、中小型企業(yè)信息系統(tǒng)制度方面分析

首先,根據(jù)Laudon對企業(yè)信息系統(tǒng)面臨威脅,按照來源分為六類:硬件故障、軟件故障、人為因素、數(shù)據(jù)、服務(wù)及設(shè)備被偷盜,這些都是中小企業(yè)面臨的問題,但Laudon從單個信息系統(tǒng)的角度進行分析,卻沒有把企業(yè)的信息管理系統(tǒng)管理制度考慮進去,在我國中小企業(yè)的信息系統(tǒng)建設(shè)上許多企業(yè)盡管設(shè)置了制度,但很大程度上都是形同虛設(shè)或者是制度管理存在缺失,容易導致中小企業(yè)信息系統(tǒng)實際操作上面臨效率和安全的問題,下面具體從制度方面進行分析:

在中小型企業(yè)中,存在著正式制度與非正式制度,正式制度是人們有意識建立起來的并以正式方式加以確定的各種制度安排,主要包括法律制度、企業(yè)制度安排等;非正式制度,是人們在長期的社會生活中逐步形成的習慣習俗、文化傳統(tǒng)、價值觀念,是形態(tài)等對人們行為產(chǎn)生非正式約束的規(guī)則,是那些對人們行為的不成文的限制。

(一)正式制度的分析

在中小企業(yè)中,正式的制度包括國家信息系統(tǒng)法律的規(guī)定和企業(yè)的信息管理制度方面,根據(jù)我國1994年通過的《中華人民共和國計算機信息系統(tǒng)安全保護條例》,也只是從信息交換角度來保護整個信息系統(tǒng)的安全,對于企業(yè)自身的信息系統(tǒng)安全只是規(guī)定各企業(yè)根據(jù)自身情況自行制定,并沒有對企業(yè)的實際業(yè)務(wù)中發(fā)生的關(guān)于信息系統(tǒng)自身安全進行風險標準規(guī)定,也沒有一套正確引導進行風險防范的標準規(guī)定,所以中小企業(yè)的法規(guī)建立基本都是從企業(yè)各自實際出發(fā),所以各企業(yè)的標準不一,導致安全隱患存在比較大。

從企業(yè)自己建立的信息管理制度來說,一般大型企業(yè)有明確的規(guī)定制度,包括維護、人員素質(zhì)等方面都有明確的規(guī)定,在一定程度上能有效防范信息系統(tǒng)存在的安全隱患,并能夠及時有效的進行相應信息的反饋,對企業(yè)的信息安全與企業(yè)效率能起到積極的作用。但對于中小企業(yè)來說,由于企業(yè)自身比較小,相應的信息管理系統(tǒng)人員比較缺乏,其維護也是誰操作誰負責,這樣只能根據(jù)各企業(yè)自身人員的情況來確定其系統(tǒng)的安全程度,其次在效率方面,由于人員缺乏以及其計算機操作應用存在的不規(guī)范,信息交換、反饋也相對比較落后,或者根本起不到效率作用。

再次中小企業(yè)雖然有一定的信息管理制度規(guī)范,卻由于監(jiān)管不到位,主要是由于中小企業(yè)的機構(gòu)比較小,維護人員、計算機使用都是由使用人員一人來完成,所以容易導致即使有制度,也難以執(zhí)行,這也是制約中小企業(yè)信息系統(tǒng)的數(shù)據(jù)安全的主要原因。

(二)非正式制度的分析

在非正式制度中,意識形態(tài)處于核心地位,它不僅蘊含價值關(guān)鍵、倫理規(guī)范、道德觀念和風俗習性,而且在形式上構(gòu)成某種非正式制度的“先驗”模式。所以從這個角度上來說,公司員工的思想和過去的傳統(tǒng)操作方法在一定程度上影響企業(yè)的信息管理系統(tǒng)運行效果。

在中小企業(yè)的管理信息系統(tǒng)中,由于員工的意識不強,對于信息系統(tǒng)的維護、使用存在一定的松懈,信息操作員經(jīng)常在值班時沒有定期維護計算機及信息管理系統(tǒng),只是在當其產(chǎn)生問題時才處理,這樣很容易導致企業(yè)數(shù)據(jù)損失,如果信息備份不完全的話,可能由于人為操作或者計算機病毒的侵入會造成整個系統(tǒng)數(shù)據(jù)損失。

在這里非正式制度方面主要是指員工以往的舊做法對中小企業(yè)的信息系統(tǒng)安全的影響,對信息反饋報告在效率方面也會產(chǎn)生一定的負面作用,主要原因是領(lǐng)導層的要求不嚴格,操作人員的報告提交不及時等因素所致,因此非正式制度因素對中小企業(yè)信息管理系統(tǒng)影響也是非常大的。

三、加強信息管理系統(tǒng)管理制度建設(shè)的對策

在加強制度建設(shè)中,主要從國家信息系統(tǒng)的法律制度建設(shè)、企業(yè)信息制度的設(shè)置與執(zhí)行,再次就是信息系統(tǒng)中操作人員與管理人員意識的改變?nèi)齻€層次來考慮。

(一)首先在我國信息管理系統(tǒng)的法律規(guī)范中,不僅應該對信息交換中安全問題進行規(guī)范,而且規(guī)定信息系統(tǒng)使用公司對其管理系統(tǒng)的安全達到安全的最低標準,這個標準是指從各因素方面來確定信息管理系統(tǒng)的一個安全性的最低標準值,不僅能夠使信息安全從法律依據(jù)上得到一個基本的系統(tǒng)安全標準,而且也能對公司信息管理系統(tǒng)起到強制規(guī)范性的作用。

(二)在制度設(shè)定層面,加強中小企業(yè)信息系統(tǒng)安全管理制度的健全及制度化,也是保障中小企業(yè)信息系統(tǒng)安全極為重要的一個方面。在信息系統(tǒng)運行過程中,信息系統(tǒng)管理部門應制定嚴格的服務(wù)器日常維護、巡視和記錄制度、客戶機維護、操作制度、用戶管理制度、人員培訓制度等等,并嚴格按照制度實施獎懲,從而從企業(yè)內(nèi)部制度上認識到信息管理系統(tǒng)安全的重要性。

(三)培養(yǎng)與使用企業(yè)信息化是一項復雜的系統(tǒng)工程,除了領(lǐng)導層要高度重視外,設(shè)立一個既懂信息系統(tǒng)、又懂業(yè)務(wù)流程的復合型信息主管職位,也是非常關(guān)鍵的。在國外大學、大企業(yè)的CIO(首席信息主管),相當于企業(yè)級的領(lǐng)導,直接參與企業(yè)的重大問題決策。一個合格CIO,既能充分調(diào)動網(wǎng)絡(luò)技術(shù)人員的積極性,又能把握企業(yè)信息化發(fā)展全局,并能隨時為領(lǐng)導提供參考意見,起到了很好的監(jiān)督作用,并對公司信息管理信息系統(tǒng)制度改善、監(jiān)督、反饋上能起到重要的作用,因此在中小企業(yè)中也設(shè)立這樣一個職位,從而使信息化系統(tǒng)成為企業(yè)運行中的一個非常重要的部分。

(四)加強信息系統(tǒng)人員的培訓,使其對計算機信息系統(tǒng)的操作、安全等方面了解能夠熟練的掌握。信息系統(tǒng)人員包括操作人員以及維護人員,定期對信息系統(tǒng)人員進行培訓,不僅有助于了解信息系統(tǒng)的最新發(fā)展,而且能夠使其從意識中不斷了解到信息系統(tǒng)安全的重要性,使其操作、維護的規(guī)范化不斷得到改善,從而減少由于非制度性因素所產(chǎn)生的信息系統(tǒng)安全問題。

四、結(jié)論

在中小企業(yè)信息管理系統(tǒng)中,很大問題是由于中小企業(yè)的制度方面造成的,所以在企業(yè)內(nèi)部加強其監(jiān)管,使中小企業(yè)的信息管理制度得到很好執(zhí)行是非常必要的,其次就是加強員工的素質(zhì)培養(yǎng),使其能夠具有很好的業(yè)務(wù)水平,使信息管理系統(tǒng)得到很好的運行,并能夠使管理層及時了解到企業(yè)的信息,保證企業(yè)的順利運行;最后完善國家信息管理系統(tǒng)法律,是保證企業(yè)信息制度建立的重要標準,使中小企業(yè)達到基本的信息系統(tǒng)風險管理水平,從而從制度上使其信息管理系統(tǒng)得到很好的保護。

參考文獻

[1]KennethC.LaudonJaneP.Laudon.管理信息系統(tǒng)-管理數(shù)字化公司(第8版)[M]北京:清華大學出版社,2005年:501-538

[2]王霞,張永,彭智才,如何保障中小企業(yè)信息系統(tǒng)安全[J],資源方法,2004(9):54-55

[3]劉仁勇,王衛(wèi)平,企業(yè)信息安全管理研究[J].學術(shù)研究,2007(6):113-115

第9篇:國家信息安全的重要性范文

摘要]隨著我國中小企業(yè)的信息化不斷應用,管理信息系統(tǒng)的運行使中小企業(yè)的各方面效率得到很好的提升,但是在實際的運行中卻由于企業(yè)中存在的管理制度松散、員工的意識缺乏等制度方面的原因,使企業(yè)信息系統(tǒng)得不到適當?shù)木S護,對企業(yè)的信息數(shù)據(jù)安全、信息獲取效率都有一定的影響,所以加強中小企業(yè)信息管理制度層次的設(shè)計是有必要的。

一、問題的提出及文獻綜述

隨著我國中小企業(yè)開始實現(xiàn)信息化管理,運用信息管理系統(tǒng)來對企業(yè)生產(chǎn)進行管理,一方面,提高了企業(yè)管理的效率和科學性,使企業(yè)的生產(chǎn)、存儲、財務(wù)、成本、控制都得到了大幅度的改善;而另一方面,在實際的運行中不可避免的引發(fā)各種問題,其中包括信息安全性的問題,即存儲在計算機或在傳輸中的文件和數(shù)據(jù)遭受到破壞和濫用,而且這種活動對企業(yè)的影響非常嚴重,例如:電子商務(wù)公司,如果網(wǎng)站出現(xiàn)故障,每天的損失會高達數(shù)額人民幣,所以如何保障信息系統(tǒng)的安全,使其得到安全的控制,對于企業(yè)來說已經(jīng)變的非常重要。目前,在我國的中小企業(yè)信息管理系統(tǒng)內(nèi)部構(gòu)建中,經(jīng)??梢园l(fā)現(xiàn)由于制度和管理中的疏忽、松懈以及信息系統(tǒng)的監(jiān)管不到位,所出現(xiàn)數(shù)據(jù)的丟失或者數(shù)據(jù)的信息反應遲鈍,不能使管理者及時得到有效的信息,使其信息系統(tǒng)的發(fā)揮起不到其最佳的效果,因此如何保障中小企業(yè)信息系統(tǒng)安全,加強中小企業(yè)信息的測控是非常必要的。

在目前關(guān)于中小企業(yè)的信息系統(tǒng)安全與效率方面的文章主要是集中在如何構(gòu)建中小企業(yè)信息系統(tǒng)方面,涉及到中小企業(yè)信息管理制度這方面很少。如:楊斌、費同林(2002),趙宏中(2005),劉仁勇,王衛(wèi)平(2007),在企業(yè)管理信息系統(tǒng)建設(shè)方面提到了制度設(shè)計方面,但是沒有把其作為一個研究重點,其他一些相似的文獻基本是從技術(shù)角度探討。從中小企業(yè)實際的成本收益考慮,一般來說,由于運用的相應技術(shù)不是很高,基本都是基礎(chǔ)的軟件系統(tǒng),所以有必要對中小企業(yè)面臨的制度方面進行詳細的分析。

二、中小型企業(yè)信息系統(tǒng)制度方面分析

首先,根據(jù)Laudon對企業(yè)信息系統(tǒng)面臨威脅,按照來源分為六類:硬件故障、軟件故障、人為因素、數(shù)據(jù)、服務(wù)及設(shè)備被偷盜,這些都是中小企業(yè)面臨的問題,但Laudon從單個信息系統(tǒng)的角度進行分析,卻沒有把企業(yè)的信息管理系統(tǒng)管理制度考慮進去,在我國中小企業(yè)的信息系統(tǒng)建設(shè)上許多企業(yè)盡管設(shè)置了制度,但很大程度上都是形同虛設(shè)或者是制度管理存在缺失,容易導致中小企業(yè)信息系統(tǒng)實際操作上面臨效率和安全的問題,下面具體從制度方面進行分析:

在中小型企業(yè)中,存在著正式制度與非正式制度,正式制度是人們有意識建立起來的并以正式方式加以確定的各種制度安排,主要包括法律制度、企業(yè)制度安排等;非正式制度,是人們在長期的社會生活中逐步形成的習慣習俗、文化傳統(tǒng)、價值觀念,是形態(tài)等對人們行為產(chǎn)生非正式約束的規(guī)則,是那些對人們行為的不成文的限制。

(一)正式制度的分析

在中小企業(yè)中,正式的制度包括國家信息系統(tǒng)法律的規(guī)定和企業(yè)的信息管理制度方面,根據(jù)我國1994年通過的《中華人民共和國計算機信息系統(tǒng)安全保護條例》,也只是從信息交換角度來保護整個信息系統(tǒng)的安全,對于企業(yè)自身的信息系統(tǒng)安全只是規(guī)定各企業(yè)根據(jù)自身情況自行制定,并沒有對企業(yè)的實際業(yè)務(wù)中發(fā)生的關(guān)于信息系統(tǒng)自身安全進行風險標準規(guī)定,也沒有一套正確引導進行風險防范的標準規(guī)定,所以中小企業(yè)的法規(guī)建立基本都是從企業(yè)各自實際出發(fā),所以各企業(yè)的標準不一,導致安全隱患存在比較大。

從企業(yè)自己建立的信息管理制度來說,一般大型企業(yè)有明確的規(guī)定制度,包括維護、人員素質(zhì)等方面都有明確的規(guī)定,在一定程度上能有效防范信息系統(tǒng)存在的安全隱患,并能夠及時有效的進行相應信息的反饋,對企業(yè)的信息安全與企業(yè)效率能起到積極的作用。但對于中小企業(yè)來說,由于企業(yè)自身比較小,相應的信息管理系統(tǒng)人員比較缺乏,其維護也是誰操作誰負責,這樣只能根據(jù)各企業(yè)自身人員的情況來確定其系統(tǒng)的安全程度,其次在效率方面,由于人員缺乏以及其計算機操作應用存在的不規(guī)范,信息交換、反饋也相對比較落后,或者根本起不到效率作用。

再次中小企業(yè)雖然有一定的信息管理制度規(guī)范,卻由于監(jiān)管不到位,主要是由于中小企業(yè)的機構(gòu)比較小,維護人員、計算機使用都是由使用人員一人來完成,所以容易導致即使有制度,也難以執(zhí)行,這也是制約中小企業(yè)信息系統(tǒng)的數(shù)據(jù)安全的主要原因。

(二)非正式制度的分析

在非正式制度中,意識形態(tài)處于核心地位,它不僅蘊含價值關(guān)鍵、倫理規(guī)范、道德觀念和風俗習性,而且在形式上構(gòu)成某種非正式制度的“先驗”模式。所以從這個角度上來說,公司員工的思想和過去的傳統(tǒng)操作方法在一定程度上影響企業(yè)的信息管理系統(tǒng)運行效果。

在中小企業(yè)的管理信息系統(tǒng)中,由于員工的意識不強,對于信息系統(tǒng)的維護、使用存在一定的松懈,信息操作員經(jīng)常在值班時沒有定期維護計算機及信息管理系統(tǒng),只是在當其產(chǎn)生問題時才處理,這樣很容易導致企業(yè)數(shù)據(jù)損失,如果信息備份不完全的話,可能由于人為操作或者計算機病毒的侵入會造成整個系統(tǒng)數(shù)據(jù)損失。

在這里非正式制度方面主要是指員工以往的舊做法對中小企業(yè)的信息系統(tǒng)安全的影響,對信息反饋報告在效率方面也會產(chǎn)生一定的負面作用,主要原因是領(lǐng)導層的要求不嚴格,操作人員的報告提交不及時等因素所致,因此非正式制度因素對中小企業(yè)信息管理系統(tǒng)影響也是非常大的。

三、加強信息管理系統(tǒng)管理制度建設(shè)的對策

在加強制度建設(shè)中,主要從國家信息系統(tǒng)的法律制度建設(shè)、企業(yè)信息制度的設(shè)置與執(zhí)行,再次就是信息系統(tǒng)中操作人員與管理人員意識的改變?nèi)齻€層次來考慮。

(一)首先在我國信息管理系統(tǒng)的法律規(guī)范中,不僅應該對信息交換中安全問題進行規(guī)范,而且規(guī)定信息系統(tǒng)使用公司對其管理系統(tǒng)的安全達到安全的最低標準,這個標準是指從各因素方面來確定信息管理系統(tǒng)的一個安全性的最低標準值,不僅能夠使信息安全從法律依據(jù)上得到一個基本的系統(tǒng)安全標準,而且也能對公司信息管理系統(tǒng)起到強制規(guī)范性的作用。

(二)在制度設(shè)定層面,加強中小企業(yè)信息系統(tǒng)安全管理制度的健全及制度化,也是保障中小企業(yè)信息系統(tǒng)安全極為重要的一個方面。在信息系統(tǒng)運行過程中,信息系統(tǒng)管理部門應制定嚴格的服務(wù)器日常維護、巡視和記錄制度、客戶機維護、操作制度、用戶管理制度、人員培訓制度等等,并嚴格按照制度實施獎懲,從而從企業(yè)內(nèi)部制度上認識到信息管理系統(tǒng)安全的重要性。

(三)培養(yǎng)與使用企業(yè)信息化是一項復雜的系統(tǒng)工程,除了領(lǐng)導層要高度重視外,設(shè)立一個既懂信息系統(tǒng)、又懂業(yè)務(wù)流程的復合型信息主管職位,也是非常關(guān)鍵的。在國外大學、大企業(yè)的CIO(首席信息主管),相當于企業(yè)級的領(lǐng)導,直接參與企業(yè)的重大問題決策。一個合格CIO,既能充分調(diào)動網(wǎng)絡(luò)技術(shù)人員的積極性,又能把握企業(yè)信息化發(fā)展全局,并能隨時為領(lǐng)導提供參考意見,起到了很好的監(jiān)督作用,并對公司信息管理信息系統(tǒng)制度改善、監(jiān)督、反饋上能起到重要的作用,因此在中小企業(yè)中也設(shè)立這樣一個職位,從而使信息化系統(tǒng)成為企業(yè)運行中的一個非常重要的部分。

(四)加強信息系統(tǒng)人員的培訓,使其對計算機信息系統(tǒng)的操作、安全等方面了解能夠熟練的掌握。信息系統(tǒng)人員包括操作人員以及維護人員,定期對信息系統(tǒng)人員進行培訓,不僅有助于了解信息系統(tǒng)的最新發(fā)展,而且能夠使其從意識中不斷了解到信息系統(tǒng)安全的重要性,使其操作、維護的規(guī)范化不斷得到改善,從而減少由于非制度性因素所產(chǎn)生的信息系統(tǒng)安全問題。

四、結(jié)論

在中小企業(yè)信息管理系統(tǒng)中,很大問題是由于中小企業(yè)的制度方面造成的,所以在企業(yè)內(nèi)部加強其監(jiān)管,使中小企業(yè)的信息管理制度得到很好執(zhí)行是非常必要的,其次就是加強員工的素質(zhì)培養(yǎng),使其能夠具有很好的業(yè)務(wù)水平,使信息管理系統(tǒng)得到很好的運行,并能夠使管理層及時了解到企業(yè)的信息,保證企業(yè)的順利運行;最后完善國家信息管理系統(tǒng)法律,是保證企業(yè)信息制度建立的重要標準,使中小企業(yè)達到基本的信息系統(tǒng)風險管理水平,從而從制度上使其信息管理系統(tǒng)得到很好的保護。

參考文獻

[1]KennethC.LaudonJaneP.Laudon.管理信息系統(tǒng)-管理數(shù)字化公司(第8版)[M]北京:清華大學出版社,2005年:501-538

[2]王霞,張永,彭智才,如何保障中小企業(yè)信息系統(tǒng)安全[J],資源方法,2004(9):54-55

[3]劉仁勇,王衛(wèi)平,企業(yè)信息安全管理研究[J].學術(shù)研究,2007(6):113-115