基于企业社会责任视角的日本企业信息安全分析,本文主要内容关键词为:企业论文,日本论文,信息安全论文,视角论文,责任论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
在信息化社会当中信息安全已经成为一个非常重要的问题。企业作为信息社会重要的主体,在信息安全问题上具有被害者和加害者的双重身份,所以,企业如何认识信息安全以及采取相应对策,对维护整个社会的信息安全会产生重要的影响。日本很早就关注企业信息安全问题,并且从遵守法令和企业社会责任的角度深入展开了理论研究与实践活动,在日本政府和企业的努力下已经取得了很大的成绩,但同时也存在一些问题。
一、日本企业信息安全的现状与问题
(一)互联网已成为联结企业与社会的基础
现在,IT(信息通信技术)已成为企业活动中不可缺少的组成部分。特别是由于互联网的普及,IT已经和平常百姓的日常生活密切联系在一起,IT利用者的范围正在不断扩大。同时,IT的用途也在不断扩展,从信息收集、信息发送发展到沟通交流、电子商铺等。
2009年末日本企业互联网利用率整体达到99.5%,员工人数在500人以上的企业达到100%,不满500人的也达到99.2%。同时,开展电子商务交易(利用互联网订货和销售)的企业每年也在增加,2009年末为55.3%,比2008年增加4.7个百分点。
除企业以外,家庭和居民对IT的利用也正在扩大。日本的互联网利用者人数和人口普及率呈现稳步增长态势。2009年末利用互联网的人数达到9 408万人,比前年增加317万人。人口普及率达到了78.0%,同比增加2.7个百分点。
互联网之所以能够迅速普及,主要是因为其能够提高企业活动和人们生活的效率性与便利性。企业通过有效地利用互联网,不受时间和场所的制约,能够在第一时间处理和传送大量信息,同时,也可以随时随地与遍布世界的交易伙伴和消费者沟通,进行商品和服务交易。从企业利用互联网进行网上销售的理由来看,回答“能够获得广范围的新顾客”为最多,达到53.5%,其次为“能够提高与交易相关的间接业务的效率”(35.3%)。[1]
目前,在日本互联网已成为联结企业之间、企业与消费者、企业与投资者等即联结企业与社会的重要社会生活基础之一。
(二)日本企业面临的信息安全问题
现在,互联网已成为社会中不可缺少的基础设施。对企业来说,能否适当且有效地利用互联网,已成为现在这个时代生存和发展所不可缺少的条件。但是,在互联网的普及发展、社会对之依存度提高过程中,由于利用信息时管理不善、错误使用、恶用等产生的社会问题越来越严重。
最近,与侵犯个人隐私和诈骗相关的个人信息泄露以及威胁互联网使用安全的计算机病毒传播等在日本正在成为较大的社会问题。在总务省的调查报告中,对利用互联网是否感到不安全这个问题,回答“没有感到特别不安全”和“没有感到某种程度不安全”的总共有51.7%(比2008年增加3.9个百分点),有一半的家庭没有感到不安全。但是,不可忽视的是,仍然有40%以上的家庭具有不同程度的不安感,他们感到不安的内容当中,约70%的家庭提到“担心病毒感染”(70.6%)和“对个人信息保护不放心”(69.9%)。[1]21
除了个人信息泄露和计算机病毒外,非法访问、利用网络的诈骗、损毁名誉和诽谤中伤等与IT网络密切相关的事件也不断发生。利用信息技术的计算机犯罪检举数每年都在增加,2009年检举数为6
690件,比2008年增加了369件,2005年以来5年约增加了2倍(见图1)。
图1 日本计算机犯罪检举数的变化单位:件
资料来源:警察庁:「平成21年中のサイバ一犯罪の検挙状况等について」,2010年3月4日。
在信息安全方面,企业不仅是被害者,而且也正在成为加害者。个人信息泄露会导致侵犯个人隐私和致使企业失去信赖。根据2005年4月全面实施的“个人信息保护法”,如果没有对个人数据的安全管理采取必要和适当的措施,企业就会受到主管部门的劝告,同时,根据情况也要接受相应处罚。
如果企业员工的电脑被感染病毒,那么,病毒感染就可能扩大到交易伙伴企业和顾客那里。2005年度计算机病毒造成企业的损失总额(包括损失的销售额以及系统停止和业务效率降低等恢复成本),平均到企业,中小企业约为430万日元,大企业约为1.3亿日元。企业在利用互联网和内部局域网遇到的问题中,提到“确立安全对策存在困难”的最多,所占比例为57.9%,以下依次为“病毒感染上的不安全”(56.8%)、“员工的安全意识低”(40.2%),与安全有关的内容占主导地位。[1]22
另外,“信息安全事故发生率”虽然从2003年度以来有大幅度的下降,但到了2007年度持续下降的趋势中止,2007年度比上年度提高3.9个百分点,达到28.7%,转为上升趋势(见图2)。
图2 日本信息安全事故发生率的变化
资料来源:経済産業省:平成20年情報処理実態調查結果報告書,2009年6月29日。
二、维护信息安全是企业社会责任的一部分
企业要生存与发展就必须通过经济活动获得收益,但同时企业的经济活动离不开顾客、员工、交易伙伴、投资者、地域社会等各种各样利益相关者的支持。企业也是社会的一员,考虑到企业活动所产生的社会影响,其在追求经济利益的同时要规范自己行为,履行社会责任。
企业社会责任通常与环境、人权、就业、商品安全等问题联系在一起,现在,越来越多的人也把与信息处理相关的问题看作是企业重要的社会责任之一。企业要时刻意识到自己所掌握的个人信息和交易伙伴的企业信息往往蕴含着人权和社会安全的内容。
现在,企业采取具有社会责任的行动已成为经营上的重要课题。由于管理不完善,如果发生了个人信息泄露等不良事件,不仅要追究其法律责任,而且以这样事件为导火索,多年苦心经营所形成的信赖关系即品牌形象也会受到很大的损害。企业如果没有收益就无法持续生存下去,但如果失去了社会的信赖,也就失去了存在价值的本质。总之,企业实现社会责任的行为与企业的信用力提高有着密切的联系,在信息化社会中,信用力已成为重要的企业价值。[3]
(一)从企业社会责任的角度理解信息安全概念
所谓信息安全一般指保证信息具有机密性、完全性和可用性3个要素。机密性指只有被认可有访问权利者能够访问和获得信息;完全性指保证信息及其处理方法的完整和明确;可用性指被认可者根据需要能够获得和利用信息。[4]以往,对信息安全的理解更多是从对企业内部的影响来入手,而对其给企业外部带来的影响却较少涉及。而从信息安全的3个基本要素来看,其对企业外部的影响也是很大的,为此,需要从社会责任的角度来理解信息安全。
第一,从机密性方面看,个人信息和企业秘密的泄漏等对企业来说是比较大的课题。现在日本企业的运营环境要比高速增长时期复杂得多。信息网络的急速发展给企业活动带来了巨大的影响,信息网络覆盖社会全体,起着社会神经系统的作用。这样的网络社会导致企业间竞争的激化,各企业以持续发展为目标,正在致力于增强自己的固有优势而把非优势部分委托给外部事业者的核心能力经营。结果,企业不管有没有战略的意图,通过信息网络把多数顾客和交易伙伴越来越紧密地联结在一起,个人信息和营业秘密等重要信息不是只限于自己组织内部。企业形成了按照产生附加价值的连锁(价值链)进行重要信息的流动,因此,过去那种只局限在企业内部的措施来保证事业全体的信息安全是很难做到的,确保从事业的上游开始到最终顾客的所有价值链全体的信息安全成为当务之急。
现在,企业的信息网络不过是覆盖全世界巨大网络的一部分,顾客和交易伙伴也只不过是这个网络的一部分。如果在企业自己的信息安全上发生了问题,其影响不仅局限在企业自身,也会给顾客和交易伙伴带来麻烦,反过来,无论企业自己多么细心地做事情,如果交易伙伴发生了信息安全问题,那么,会产生与在自己企业出现问题时相同的影响。
第二,从可用性方面看,灾害和大规模IT故障等是比较大的课题。企业的业务活动对IT的依存度正在提高,如果发生了某种程度的IT故障,不仅会给企业自身,也会给顾客和交易伙伴等带来预料不到的巨大影响。
进而,在高度信息社会中所有参与者都被网络所连接,每个参与者在负有一定责任的同时,运营和利用着网络。所以,在保证网络可用性方面,企业必须注意自己的事故或故障不仅局限在企业自身内,还会给其他企业的网络和业务带来影响。
第三,从完全性方面看,保护用于事业的重要信息不被有意篡改,进而确保财务信息的正确性和完整性等都具有决定性的重要意义。在保证“日本版企业改革法”等要求的财务信息正确性基础上,必须有效地发挥把完全性要素作为中心的信息安全措施。不能保证信息的完全性,在市场上就很难得到投资者的信赖。
这样,必须从企业同外部关系上重新认识信息安全3要素所具有的重要意义。
(二)从企业社会责任的角度实现信息安全的主要表现
把保证信息安全作为企业社会责任的一部分来理解是非常重要的,忽视和躲避维护信息安全的责任,可能会一时提高业务效率和获得短期利益,但是,在高度信息社会中这样是很难取得持续发展的。
企业经营者真正地履行维护信息安全这个社会责任,就必须要从下面3个方面采取行动:(1)接受以事故为前提的想法;(2)采取合理的信息安全对策;(3)得到利益相关者的理解。
1.向以事故为前提的意识改革
站在什么样的基本立场和前提下来认识信息安全问题和采取行动是非常关键的问题。对这个问题的认识最早体现在2003年经济产业省发表的“信息安全综合战略”报告中,在该报告中把“实现以事故为前提的有韧性社会体系”作为战略的第一位提出,“以事故为前提”的思想对企业的信息安全来说具有特别重要的意义。
以前,日本企业对信息安全的传统认识是以安全为前提的,即:在现场如果采取恰当的对策就不能发生事故,事故不发生也就当然不存在。以这种传统想法为基础,企业必然和应该管理的重心就放在事故是否发生上,只要不发生事故就被认为状况是良好的。如果立足于这种想法的信息安全能够得到保证,那么,信息安全也就没有必要上升到企业社会责任的高度来把握。
但遗憾的是,在现实中保证绝对不发生事故是非常困难的。这是因为在信息价值相对提高、信息系统和网络结构日益复杂的背景下,促进了雇佣形态的多样化和企业间业务相互依存的复杂化。现在,不得不接受这样的现实,即在多数企业中事故正在不断发生,能够圆满地应对所有起因,使这些事故不发生在事实上是不可能的。因此,在2009年公布的“第二次信息安全基本计划”中强调“要实现强化应对以事故为前提社会的能力”,为此,“在很难实现完全排除事故可能性的信息安全对策这点上,有必要加强全社会的理解”。[5]
因此,再也不能把安全作为前提来考虑了,必须转变基本立场,立足于“以事故为前提”的想法。在采取预防对策的同时,构筑起使受害最小化和局限化以及具有较高恢复能力的结构,即“有韧性的以事故为前提的社会体系”。
2.安全对策与责任说明
一旦“以事故为前提”的想法被接受,就再也不能认为只要自己企业切实采取对策就能保证信息安全事故不发生。现在要考虑的不是事故能否发生的问题,而是在接受事故发生的前提下,考虑容许可能发生什么样的事件或事故,或这个事故给企业内外造成了什么样的影响。
与预防对策一起,把发生事故作为前提,确立把被害最小化和局限化的方针。这样,这些结果对顾客和交易伙伴带来什么程度的影响,或对策水平是否妥当等,必须用顾客和交易伙伴等利益相关者能够理解的形式来加以说明。在计划和实施对应风险对策的过程中,追求合理性,得到利益相关者的理解和支持。安全对策的合理性和得到利益相关者的理解都要求企业展现作为其社会存在的责任说明。
企业从事信息安全活动时的基本态度,要从过去以安全为前提局限于企业内的想法向以事故为前提的风险对应的想法进行较大的切换。这必然会强调企业维护信息安全也具有社会责任的侧面。如果把这些作为企业社会责任的本质来考虑,保证信息安全正是有助于企业可持续发展的。信息安全的活动不能看作是“成本”,而应该作为“投资”来把握。保证信息安全在减少将来风险的同时,被确定为是尽早地把社会需求变化与价值创造和新市场开拓联结在一起的企业基础能力之一。
三、日本政府引导企业从社会责任的角度来认识和实施信息安全对策
在日本,主要是从遵守法令和企业社会责任两方面来探讨企业信息安全对策,遵守法令是企业履行社会责任的基本前提,所以,企业实施信息安全对策首先必须要遵守相关法令,但是,从企业社会责任的角度来看,只做到遵守法令是远远不够的,为此,日本政府又强化企业推行“信息安全治理结构”。
(一)法律制度
信息安全本来不是从法律制度领域产生和演化的概念,所以,在日本不存在包含保证信息安全为目的的法律,而且,直到现在使用信息安全这个名词的法律本身也是不存在的。但是,在“高度信息通信网络社会形成基本法(IT基本法)”的第2条和第22条当中提到了高度信息通信网络的“安全”与“安心”,这被认为意味着以信息网络为中心的安全。因此,该法被认为事实上起着信息安全基本法的作用,但它只是明确了理念上的内容,对具体的权利、义务等内容没有规定。
而关于保护信息安全的一些具体内容分散在一些个别法律当中,这些法律也部分地发挥着保护信息安全机能的作用。例如,1987年新修订的“刑法”中规定了计算机犯罪处罚规定、“不正当竞争防止法”中关于保护营业秘密的规定、“非法访问禁止法”和“个人信息保护法”中关于个人数据安全管理措施义务的规定等。
(二)推行“信息安全治理结构”
2005年4月日本在内阁官房设立了信息安全中心(NISC),同年5月又在“高度信息通信网络社会推进战略本部(IT战略本部)”中设置了“信息安全政策会议”,这两个机构的设立标志着日本开始真正强化在信息安全上的政策与活动。具体的强化政策体现在“信息安全政策会议”在2006年2月发布了“第一次信息安全基本计划”,明确提出了“从信息安全的观点出发加快在企业内构筑和运用考虑社会责任的公司治理结构以及支撑这个结构运行的内部治理结构”。[6]2009年2月又制定了“第二次信息安全基本计划”,进一步提出“要把信息安全治理结构提高到经营环节之一的地位来认识”。[5]37-38经济产业省为了突出把信息安全对策作为提高企业价值投资对象的地位的重要性,在2004年成立了“关于企业信息安全治理结构状况的研究会”,2005年3月发表了报告书,阐述了信息安全治理结构的思想。在信息社会当中,一个企业的IT事故引出的麻烦可能会波及整个社会,所以,企业不能仅停留在使自身被害最小化和遵守法令上,还要从构成IT社会一员的立场出发,承担实施信息安全对策的责任和义务。为了支持这样的企业活动,在把企业对信息安全的努力作为企业价值来评价的同时,更重要的是促进这样的活动和完善环境,为此,政府必须发挥支持企业自主开展信息安全对策活动的环境建设的作用。[7]
企业要从社会责任的角度出发,积极地采取信息安全对策,要立足于“信息安全不是绝对的,事故有可能发生”的前提,不是简单的“头疼医头、脚疼医脚”的对症疗法就可以应付的,有必要引入自律且持续提高和改善的结构,即要求确立“信息安全治理结构”。
在2005年度和2006年度作为实现信息安全治理结构的促进手段,先后公布了“信息安全对策标准”、“信息安全报告书样式”以及“事业持续计划制定规则”,并开展了相应的活动。
2008年6月经济产业省产业结构审议会信息安全基本问题委员会发表了中间总结报告,指出企业在考虑合法性和合理性、社会责任的同时,有必要采取信息资产利用和管理高度化的措施。因此,管理层要把信息安全整合到企业战略中并给予明确地位。[8]为此,提出了要在企业中建立战略性的信息安全治理结构。
2009年6月经济产业省又发布了“信息安全治理结构导入指南”,进一步明确了信息安全治理结构的定义,“企业的管理层为了提高企业价值和履行社会责任,开展着管理和业务活动。另外,无论从合法性还是合理性来看,风险管理都是管理层必须担负的责任。管理层必须面对的风险是多样的,其中与信息资产相关的风险处于非常重要的地位。就是说,管理层从与信息资产相关的机密性、安全性、可用性的观点出发处理好风险管理是非常重要的。即:各种风险当中,以与信息资产相关的风险管理为目标,必须构筑和运用在组织内彻底贯彻与信息安全相关的意识、活动以及在此基础上的业务活动的结构(管理者确定方针和监督组织内状况的结构、对利益相关者公开和由利益相关者评价的结构),这就是所谓的信息安全治理结构”。[9]此外,又明确了信息安全治理结构的基本框架、效果和发展方向。
四、日本企业信息安全对策的实施状况与存在的问题
在日本企业中,从企业社会责任观点来从事信息安全的活动越来越明显。经团连在企业必须遵守的行动10原则中,明确提出了“开发和提供能够充分考虑个人及顾客信息安全性的对社会有用的产品与服务,获得消费者、顾客的满足与信赖”的方针。还有,在公开企业社会责任活动的“企业社会责任报告书”中也出现了关于信息安全对策的方针和实施状况的内容。
总的来看,在“第一次信息安全基本计划”指导下,“政府明确了在2009年度使企业信息安全对策的实施状况处于世界先进水平的目标”,为此,企业开展了一系列活动。特别是,从“个人信息保护法”等法律要求和由文件交换软件导致的信息泄露等的对顾客负责以及社会责任的观点出发,逐步提高对信息安全重要性的认识。但同时,从社会责任的角度看,在企业制定与实施信息安全对策过程中也暴露出一些问题。
(一)日本企业对信息安全重要性的认识在增强
首先,获得信息安全管理体系(ISMS)认证的组织数每年都在增加。近些年平均每个月都有30家以上的组织获得了认证,截止2010年7月2日日本获得认证的组织数为3 542家。[10]在世界各国当中这个数字遥遥领先(见表1)。
其次,越来越多的日本企业感到信息安全对策的必要性。据日本警察厅的调查,从调查对象的总体①来看,对信息安全对策“感到非常有必要”的比例为69.7%,比2007年度调查(59.2%)增加了10.5个百分点,有大幅度提高;“感到某种程度有必要”的所占比例为26.7%,二者合计有90%以上的企业和团体感到信息安全对策的必要性。从企业的行业类别来看,“感到非常有必要”的行业中,“能源产业”(80.0%)、“金融业”(78.3%)和“信息通信业”(75.0%)等高新技术行业所占比例较高。而“运输业”(56.4%)、“制造业”(62.6%)以及不动产、建筑业(64.3%)等传统行业的比例相对较低,但是,在这些传统行业中对信息安全对策“感到某种程度有必要”的企业比例都超过了30%。[11]这说明,在日本高新技术产业对信息安全对策的认识比较深刻,与之相比传统产业在认识上存在一定差距,但是,传统产业对信息安全对策必要性认识的上升空间较大。[12]
(二)信息安全内部治理结构体系的构筑还处于初期阶段,信息安全作为企业社会责任一部分的表现还不充分
1.把信息安全对策看作是事业活动中必不可少的组成部分(经营上的一个环节)的企业还不是很多。从有必要制定信息安全对策的理由来看,“防止病毒蠕虫的感染”的比例最高,达到81.0%,以下依次为“防止在互联网上顾客信息等内部信息的泄漏”(69.9%)、“规避安全事故对品牌形象和业绩造成的影响”(56.5%),排在前3位的项目比例都在50%以上。另一方面,从有效利用作为企业竞争力和价值源泉的信息资产以及对其保护的观点出发,把信息安全作为经营的一个环节在战略上加以推进的活动还没有被充分展开,只有40.0%企业和团体把信息安全看作是“开展事业活动必不可少的组成部分”,具体到各个行业中,只有“能源产业”(64.3%)和“金融业”(59.3%)这个比例稍高一些,而其他行业企业的这个比例都低于40%,尤其是传统的“农林、水产、矿业”、“运输业”和“制造业”最低,所占比例分别为22.2%、30.6%和31.6%。[11]
2.制定信息安全政策的企业和安全政策实施率都大幅度提高,但是,相对于“技术对策”而言,与信息安全治理结构更为相关的“组织对策”的实施率偏低。从企业制定信息安全政策的状况看,回答“已制定”的比例为61.7%,比2007年度调查(38.2%)大幅提高,增加了23.5个百分点。另一方面,回答“虽没有制定但今后也不打算制定”的比例只有9.3%,比2007年度调查下降了14.0个百分点;认为“没有必要”的为0.8%,同比下降了6.2个百分点。从行业类别来看,回答“已制定”信息安全政策的企业在“金融业”中所占比例最高,为86.7%,而在“制造业”中的比例最低,为50.8%。[11]
另外,2007年度“信息安全对策的实施率”比上年度提高1.3个百分点,达到86.9%,连续两年上升。具体来看,在不同对策类别②上的实施率,“技术对策的实施”比率为81.2%、“组织对策的实施”比率为65.6%、“监视体制”比率为55.2%、“评价的实施”比率为39.1%,都比上年度有所上升,但“技术对策的实施”突出高的倾向没有改变,与信息安全治理结构更加相关的“组织对策的实施”的比例则相对低一些。[13]
3.专职部门的设置率有所提高,但是从事信息安全业务的人员大多为兼职。警察厅的调查显示,回答“设置”信息安全运用与管理专门部门的比例为48.1%,比2007年度调查(26.1%)提高了22.0个百分点。从行业类别来看,专门部门设置率超过50%的行业为“运输业”(61.5%)、“金融业”(56.7%)、“服务业”(53.9%)。设置率最低的行业为“能源产业”(33.3%)。
具体在与信息安全相关的责任者设置状况中,“信息安全运用管理者兼任信息安全业务”的比例占全体的65.5%,比2007年度调查的比例(48.1%)增加了17.4个百分点,大幅度提高。另一方面,“没有设置责任者”的比例为12.0%,比2007年度调查结果(35.2%)大幅下降,减少了23.2个百分点。[11]
4.中小企业与大企业在活动、措施上的差距正在扩大。由于认识不足和资源缺乏等原因,不能充分实施信息安全对策的中小企业为数不少(见表2),所以,有必要使这样的中小企业在思想和行动上重视起来。在以大企业为中心的系列生产体系以及大规模供应链中,物的流动、人的流动也是信息的流动,如果信息资产管理不充分的企业有一个存在,那么,以其为中介的高价值的信息泄露,就可能导致关联企业全体的竞争力下降。
(三)把信息安全对策看作是“成本”而不是“投资”,这是阻碍企业开展信息安全对策的主要原因
从2007年度“信息安全对策的阻碍要因”来看,提到“花费人工、成本”的企业比例最多,为66.6%。具体从信息安全对策费用金额分布和所占比例等情况看,“成本”因素对企业实施信息安全对策的阻碍作用有增无减。
1.对策费用金额分布状况
从2007年度各企业“信息安全对策费用的分布”来看,回答“不足200万日元”的企业最多,所占比例比上年度增加3.2个百分点,达到58.5%,连续两年上升。回答“超过2 000万日元”的企业占比为12.3%,比上年度增加0.3个百分点,“200万日元以上400万日元以下”的为10.6%,同比下降2.0个百分点。因此,大体可以判断出2005-2007年企业平均的信息安全对策费用呈下降趋势。
2.对策费用的信息处理关系支出额比例
2007年度“信息安全对策费用占信息处理相关支出总额的比例”为“不足1%”的企业比例比上年度提高了3.0个百分点,达到21.7%,这是自从开始信息安全对策费用调查的2004年度以来首次比上年度增加。另一方面,同比率为“10%以上”的企业比例比上年度下降11.2个百分点,为22.3%,这也是开始调查以来首次开始减少。正因如此,可以认为在信息处理相关支出中信息安全对策的重要度可能开始下降,今后信息安全的状况有恶化的风险。
3.对策费用的内部划分
从“信息安全对策费用的内部构成比”来看,“组织的对策”为15.4%、“技术对策”为63.4%、“监视体制”为16.3%、“评价的实施”为5.0%,技术对策为中心的倾向没有改变。[13]同上年度的构成比相比较来看,“组织的对策”与“评价的实施”虽然连续两年上升,但与“技术对策”的差距仍然很大。
五、结论
在高度信息化社会中信息安全问题日益突出,在信息安全问题上,企业既是被害者也是加害者,因此,企业在维护信息安全方面责无旁贷。企业对信息安全的认识程度,决定着制定与实施维护信息安全对策的实际效果。目前,从企业社会责任的角度来理解和认识信息安全问题是时代发展的潮流,在这方面,日本无论从理论研究还是实践活动方面都取得了丰硕的成果。
目前,互联网已经成为联结企业与社会的重要生活基础之一。以信息泄露和计算机病毒传播等为代表的信息安全问题正在困扰着日本企业。在日本,越来越多的人主张维护信息安全是企业社会责任的一部分,企业要时刻意识到自己所掌握的个人信息和交易伙伴的企业信息往往蕴含着人权和社会安全的内容。为此,日本政府通过相关机构和政策引导企业从社会责任的角度来认识和实施信息安全对策,强化推行“信息安全治理结构”。日本企业从对顾客负责以及社会责任的观点出发,对信息安全重要性的认识正逐步提高,信息安全内部治理结构体系的构筑已经起步,制定信息安全政策的企业数量、信息安全政策实施率以及专职部门的设置率都在大幅度增长。但是,在实践中,维护信息安全作为企业社会责任一部分的表现还不充分,把信息安全对策看作是事业活动中不可缺少的组成部分的企业还不是很多。相对于“技术对策”而言,与信息安全治理结构更为相关的“组织对策”的实施率偏低。中小企业与大企业在信息安全活动和措施上的差距在扩大。更多企业把信息安全对策看作是“成本”而不是“投资”,这大大阻碍了企业信息安全对策的实施。
某种程度来说,信息安全问题是无国界的,我国企业也同样肩负着维护信息安全的责任。虽然,目前我国很少能够从企业社会责任的角度来理解和认识信息安全问题,但是,顺应时代潮流,政府和越来越多的企业会逐渐认识到维护信息安全是企业社会责任的一部分。为此,分析和了解日本等发达国家的做法,扬长避短,一定会有助于促进我国企业更好地履行维护信息安全的责任。
注释:
①日本警察厅开展调查的对象包括企业、教育机构、医疗机构和行政机构,其中不同行业企业占总体调查对象答复数的77.8%。
②信息安全对策的类别包括4个方面:1.组织对策的实施:包括风险分析、制定安全政策、以安全政策为基础的具体对策、编写信息安全报告书、编制事业持续计划、在整个企业中配置安全管理者、在部门中配置安全管理者、对员工进行信息安全教育、确认交易伙伴的信息安全对策实施状况、强化与完善内部治理结构;2.技术对策的实施:包括重要微机室的出入管理、重要系统的内部访问管理、数据密码化、配置针对外部链接的防火墙、引入获得ISO/IEC15408认证的产品、引入瘦客户机产品(Thin client)、引入对陌生客体的认证;3.监视体制:包括引入安全监视软件、由外部专家经常进行安全监视;4.评价的实施:包括灵活使用信息安全对策标准、由外部专家定期进行系统监查、内部定期进行系统监查、由外部专家定期进行信息安全监查、内部定期进行信息安全监查、取得信息安全管理体系认证。
标签:信息安全论文; 网络安全论文; 企业社会责任论文; 信息安全管理体系论文; 信息安全标准论文; 顾客价值论文; 社会责任标准论文; 社会问题论文; 社会网络论文;