企业信息安全内部控制探讨

龙源期刊网 https://www.360docs.net/doc/1711407333.html,

企业信息安全内部控制探讨

作者：黄金曦张攀红

来源：《会计之友》2016年第03期

【摘要】我国“互联网+”背景下，企业信息安全问题凸显，亟需加强信息安全内部控制。为保障信息安全，中国平安信息安全部门从威胁企业信息安全的信息存储、信息传输和信息使用三个层面制定了基于DLP计划的信息安全内部控制机制，对“人”和设备进行有效控制，为

我国企业信息安全工作树立了一个典范。我国企业应在此基础上不断创新，构建符合自身特色的信息安全屏障。

【关键词】信息安全; 内部控制; 中国平安; DLP计划

中图分类号：F233 ;文献标识码：A ;文章编号：1004-5937（2016）03-0052-04

一、我国企业信息安全内部控制现状

随着我国“互联网+”时代的到来，企业信息安全问题凸显。2012年末“三通一达”（中通、申通、圆通和韵达）等多家快递公司客户信息惨遭泄漏，造成包含客户电话、快递单号、客户地址等内容的数百万条信息在网上叫卖;2013年初，我国领先的IT服务供应商东软集团20余名核心技术员工涉嫌泄漏公司核心机密被公安机关批捕，造成东软集团价值约4 000万元的经济损失;2014年末，12306网站用户信息泄漏，包括用户名、密码、身份证号码和邮箱等内容

的约13万余条用户信息在网络上疯传……信息安全问题在各个领域引起了高度重视。我国企业信息安全现状堪忧，很多企业对信息的保护措施远远不够。

信息安全不但包括电子信息安全，而且包括实物性信息安全（周卫华，2014）。电子信息方面，据我国信息安全部门的调查统计，在企业网络中安装防火墙的约为68%，约59%的企

业部署了互联网安全防御措施;在信息安全策略和管理方面，引入信息安全技术架构并建立相应的流程和标准的企业仅占34%，制定灾难性电子信息数据恢复计划或者持续运营方案的企业约占33%，均远远低于国际平均水平。相比电子信息，实物性信息在我国企业中往往更容易被忽视。很多关于信息安全的文献几乎千篇一律地在谈对电子信息的保护，很少涉及实物性信息保护。但是，实物性信息（如，弃置物品）也可能附带公司的重要信息，倘若不对此加以保护，同样会对企业造成难以预料的经济损失。因此，不论是电子信息安全还是实物性信息安全都应该引起企业管理者的重视。本文依据中国平安信息安全总监谭宪维先生在媒体中对其信息安全内部控制建设的介绍，就中国平安DLP计划中对信息安全防护案例加以阐述，力图为我国企业做好信息安全工作提供一个可供参考的典范，也为企业信息安全方面的研究提供一些思路。

二、中国平安DLP计划简介