(这条文章已经被阅读了 13 次) 时间:2001-05-08 22:51:47 来源:zompire (jeff) 原创-IT
相信大家可以经常遇见以下这些现象:员工上班打开电脑,根本就没有设置任何开机密码;公司的机房可以随意出入,或者没有严格登记;系统软件开发人员在家里从事工作,朋友来访时可以随手拿走资料;系统开发人员或者管理人员离职后,继任者发现找不到重要的相关文件;公司的系统没有设置严密的防火墙,外人可以轻易侵入……类似的情形还可以罗列很多。这就涉及到一个公司的系统控制与审核体系是否完善。
很多老板或主管对此只会淡然一笑:呵呵,这有什么?我相信我的眼光,我信任我的员工。然而这并非“信任”二字可以轻易解决的——记住:信任不等于控制。俗话说亲兄弟都要明算帐,也就是说抛开脸面,各类规矩和控制都应该做在前头,何况一个公司的系统:包括实物资产与重要信息?根据有关资料显示:一般没有充分控制的公司发生各类员工有意损害公司利益(如作假,偷窃,泄密等)的几率高达80%,但若做好必要的事先控制,这个数字就能降到20%左右。
而随着网络的普及运用,很多公司的系统“联网”了:内部网,外部网,因特网,特别是有很多公司将主要业务系统整个搬上网络。从一种广义的角度来说,这都搭上了电子商务的范畴。进入公司系统的人员这时不再局限于公司内部的业务人员,管理人员,系统人员了,可能会涉及到供应商,客户,承运商等各类业务伙伴了,而且还会有一些不速之客的到来,如黑客或者骇客等。应该说,这时对系统的控制应该更加严格了,因为控制不得力会有更严重的后果出现:
内部控制不严,造成系统信泄露或者丢失;
权限设计不当或管理不严造成更多的造假;
系统缓慢或停机造成收入减少;
系统运转不良或者信息不正确而无法及时改正造成客户满意度急速下降;
系统或网络保护不够造成黑客入侵……等等。
然而事实上,这些隐患同样在那些头脑发热忙于“投身电子商务”的管理者眼里没有得到足够任何的重视。在中国是如此,在美国同样如此。无怪乎IBM制造与技术副总裁Nicholas Donofrio 在2000年白宫因特网安全高峰会上说:“没有公司会在现实中不采取锁门,闭路监控,警报系统,保安人员等手段来保证公司的安全,但在今天,有成千上万的新型网络公司没有采取任何的防范措施。”
对于系统的控制与审核,需要公司的业务控制部门严格执行,同时各相关的部门人员也责无旁贷。一般说来,各相关人员应该注意执行以下事项:
业务控制:审查各类流程(业务流程以及系统流程)文件的存档和各类控制的执行情况;
公司负责人或主管:对整个公司系统的控制和审核负全部责任;确保各系统符合各类安全规章;系统得到充分测试;决定是否承担某些风险;
系统管理人员:检查系统密码;控制重要场所的出入;
系统开发人员:确保系统符合各类网络安全协议(如GWA等);做好系统流程的控制点和存档;数据的保密;系统中采取必要的加密;
业务流程制订人员:确保充足的用户测试;做好业务流程的控制点和文档;确保用户权限与职责不发生冲突。
总之,对系统采取严格的控制和定期的审核,是成功使用电子商务系统的前提和保障。对系统的审核,一般一年起码要有一次,每半年一次则更佳。