從精益管理的角度思考信息安全細節的重要性

目前，煙草行業信息化建設處于快速發展的階段，但發展仍不健全，存在很多需要解決的問題。如隨著網絡發展帶來信息量的猛增，計算機病毒的威脅、人員素質較低、黑客入侵、竊聽或攔截企業重要數據源等信息安全性處于高危險狀態。只有把精益管理的精髓融入到安全管理中，抓好信息安全管理的各個細節，才能確保信息更加安全。如何從精益管理的角度加強行業信息的安全呢？筆者認為可從以下幾個方面實施：

一、從管理源頭追求精益求精，是精益管理的重點

按照精益管理的原則和要求，我們可以把信息安全的維護流程看成金字塔，塔尖是信息安全策略，它負責信息安全的總方向；中間是信息安全設備、手段，它們是實現信息安全策略的技術支持；再下面一層是信息維護人員水平，人員水平的高低決定著信息科技手段能否完全實現；底層就是公司所有員工對信息安全的認識，這是信息數據安全穩定的基礎。

精益管理的過程是追求完美的持續改善，不斷消除隱患、不斷挖掘價值，以及不斷增強企業活力。因此，通過精益管理來發掘平常不注意的信息安全細節才是信息安全發展的關鍵！

二、從細節追求精益求精，是精益管理的中心

筆者整理并列舉了一些經常碰到同事在操作中發生的細節，這些事看上去只是小事，卻有可能影響信息安全。

1.打印機

我們經常把打印機、復印機等設備放在一個相對獨立的打印室里。各部門之間的文件通常是從自己電腦傳到打印室，而等我們趕到打印室拿文件時，某些機密文件可能已經被其他人員事先查看過。

2.打印紙背面

節約用紙是好習慣，很多同事會拿使用過的文件紙背面打草稿，寫完后直接丟掉。其實，把這些“廢紙”收集在一起，你會它們包含的公司機密竟如此全面。

3.電腦易手

各崗位人員調動時，都有過這樣的經歷：來到新崗位時，面前的電腦里裝滿了前任同事的資料、工作計劃，甚至私人照片，我們可以在一種近似“窺探”的狀態下查看各種我們想要的信息。

4.共享

局域網中的共享是獲得公司內部機密的好通道。經常有同事為了省事，把自己要發送的重要文件直接共享，再通知收件人來拷貝。實際上，共享的風險非常大。我們只需要在自己的網絡共享中查看局域網中的共享文件，就能發現各種各樣的共享文件夾。

5.郵箱

據調查表明：利用電子郵件轉移竊取的公司資料占所有信息竊取的七成以上。很多員工的電子郵箱和自己進入公司的工作系統（如業務系統、專賣系統）的密碼完全一樣；或者打開郵箱后又把電腦借給他人使用，致使有心者很容易侵入自己的郵箱，泄露各種信息。

6.會議記錄

很多員工把會議記錄看得很平常，他們不知道一次重要的會議記錄對于對手意味著什么。筆者經常看見有人把會議記錄當成廢紙亂丟，任由行業最新的決策信息在企業的任何角落出現。

諸如以上種種可能造成的疏忽還有很多，通過精益管理去梳理我們的工作流程，相信還能發現更多的安全細節需要改善。

三、從安全策略追求精益求精，是精益管理的重要步驟

信息安全策略是信息安全項目的基石，它反映一個企業的安全目標，以及企業為保障信息安全而制訂的管理策略。它包含這些方面： ①范圍。即信息安全策略涉及企業內所有信息、系統、設施、程序、數據、網絡和技術用戶，絕無例外；②信息分類。即信息安全策略應當提供特定內容的，而不是一般化的“機密”或“限制”；③其他管理要求和補充文檔的策略布置；④用于參考的證明文件。如流程、技術標準、程序、指南等；⑤對企業范圍內行之有效的安全要求和規范的具體規定。如對任何計算系統的所有訪問都要求身份確認和驗證，不能共享個人的認證機制。

上述清單足以保證信息安全策略的完整性，當然其前提條件是，規定具體安全措施的責任要在“輔助文檔”和“責任”部分進行定義和描述。

四、結論

日常工作的每個細節都存在泄露行業信息數據的風險，只有通過精益管理思想的契機，編纂詳細的信息安全策略、提高行業全體員工對信息安全的認識，做好每一個安全細節，才能更好地構筑行業信息安全架構。

（作者單位：江西省煙草公司）