作者：梁德力

本篇文章版权由ECF和HP所有

如果和企业管理者谈到信息安全的事情，一些管理者首先会想到自己企业的信息是否被盗，如何防止内部员工拷贝一些关键的信息，往往会不在意业务处理过程中的信息安全性，他们忽略了信息的录入、修改和删除的过程。他们或许不知道这些过程中的信息安全也是很重要的，这也是内部审计的一个重要环节。


信息的修改和删除，这是企业信息处理过程中经常遇到的行为，一些企业信息录入错了，他们没有一个严谨的流程来约束信息的修改，有时处理起来很随意，甚至一个人就会直接处理了；有时一些企业会把已经录入的订单删除，自己重新录入一个新的订单。表面上系统反应的数据正确，但是订单对应的主人已经物是人非了，一些人以权谋私的过程也被掩盖了。财务部门的红字冲销原则已经告诉我们，对于错误的处理，必须采取红字冲销，并在备注中说明原因，而这个冲销过程反映出数据处理的真实过程。其实信息系统的数据处理过程，也是这样一个过程，在处理订单错误时，希望通过冲销处理，再重新录入一个正确订单，这样系统即可准确体现业务过程，同时冲销的处理，也会体现当初人员的行为，以利于后续工作改进。


信息系统的数据安全管理本身并不复杂，处理业务过程也很明确和简单，但是在一个企业里要约束企业的业务人员处理信息的行为，没有明确制度约束是无法实现的。仅仅靠IT部门去管理这个过程是很难的，IT部门对业务行为的约束，是以企业的行为准则为前提的。只有完善了企业的行为准则，将行为准则灌输给每个业务部门，并将其落实到业务过程中，企业的信息安全才会得到保证。

本篇文章版权由ECF和HP所有

转载自：http://blog.163.com/marchliang@1 ... 877201144104250665/

在一个企业里要约束企业的业务人员处理信息的行为，没有明确制度约束是无法实现的。
赞同。

:)