|
信息系统实施后的灾难与风险防范
2008-5-6 12:14:44 文章来源:CIO通讯 |
从康威电子的案例可以看出,企业完整的数据为企业减少灾难带来的损失起到了一定作用。
案例给予我们的启示之一就是信息系统除了对内提供信息和支持管理外,还能提供真实的数据供外界参考,可以有效地规避部分风险。如此案例中康威电子在火灾后可以第一时间将信息提供给保险公司。而在ERP的客户中比较常见的,比如与供应商引起的质量争议,从ERP的进货记录和质量检验报告结果中找到证据,从而有效避免了诉讼的发生,上市公司的帐务处理上,ERP也能快速准确的提供历史数据信息,这也帮了许多上市企业的忙。
在信息化带来优势的同时,企业也要时刻思考着信息化本身带来的风险。现代社会信息无处不在。在真实的现实企业之外,计算机系统中同时存在一个虚拟的企业,如上面所说,它能够给企业提供各种所需的信息,但在启用信息系统之后,企业的风险也进行了转移,因此有必要认识到信息化实施后的风险,然后在识别风险的基础上分析风险发生的概率,可能引起的损失,依照风险的优先级制定风险防范与预防制度。
为什么企业信息会在实施信息系统后面临更大的风险呢?首先是信息系统实施前,数据分散存储,如不同的部门有不同的数据或相同的数据,大多有纸面文档。当信息系统实施后,数据集中并且一致,同样的数据被各部门所共享,在高效的同时,如果数据此时遭到破坏,企业所受损失会更大。
再有,信息系统实施后信息共享所带来信息泄露的安全隐患,信息系统能通过权限有效地保障需要取得信息的人按需取得信息,应该说比原先把资料锁在柜子里更安全。但对权限分配机制的精细化与制度化的要求更高,权限授权不当或密码管理不善的风险成为信息化的典型风险之一。(还包括信息系统实施后对硬件、网络的依赖性,使来自硬件和网络的威胁时刻存在,防毒、防火墙设置等措施成为必要。)
总之,信息系统带来不同于手工时代的风险,而根据这些特性在风险发生之前进行分析,建立预警与预防制度尤其重要。
在应对信息安全的方式,除去上面所说常规的设置防火墙和杀毒软件外,还主要包括下几个方面:
一、在企业内应建立数据备份与数据存储制度
企业上了信息化之后数据丢失的风险最高,风险发生的概率也较高。因为数据丢失意味着信息丢失,做帐和决策的依据就会失真。该制度应要求数据能定时备份,数据备份全面可靠,数据的存储是安全的。
二、应建立应急后的恢复机制与步骤
在灾难和风险来临之前,应尽量事前演练好应急恢复步骤,就像火灾有灭火演练一样,应为信息系统建立应急恢复制度。再按照事前的恢复制度进行演练,如实记录实际碰到的情况和总结处理经验,如突然断电,网络中断,病毒侵袭等。记得多年前我在一家合资公司,该企业专门从国外总部带来的信息化风险防范要求与制度有厚厚的一大本,企业也按照这些制度逐一演练。而在当时,国内企业对信息化风险的防范意识还未萌芽,对突然做些诸如断电测试等工作还非常不解,但正是这一套制度保证了这家企业直到如今,信息系统仍然安全运行。
三、应建立完善的企业权限申请,分配与监控制度
信息系统实施后在授权上要格外慎重,包括基本信息中产品、客户、供应商信息、产品结构信息、价格信息等都要要做好权限分配工作,另外,在单据流转过程中单据的审核权限、查看选项等也应合理授权,不然就会造成企业信息外漏,信息系统虽然提供权限的安全保障,但必须要在企业人员合理的权限规划与授权制度下,才能起到适当的作用,不然系统有功能不用,或者没有设置好也是枉然。
古语有云,塞翁失马,焉知非福,此次南方的大雪天气,使得国家灾害防范机制得到加强,相关方面的灾备能力也借以成长。而中国企业面对灾难的发生所引起思考与探讨,相信也能使企业防患于未然。
作者:神州数码北方事业部副总经理 梁景茹 |
|
|
|
|
|
