Print this chapterPrint this chapter

e3 Kenneth Laudon 管理信息系統 v11

8.2 安全和控制的商業價值

很多企業不願意在系統安全上花費錢財,因為它與銷售收入無直接關聯。但是,保護信息系統與商業運營息息相關,需要重新考慮這個問題。

公司需要保護重要的信息,系統通常儲存機密信息,如個人稅務、金融資產、醫療記錄以及工作表現記錄等,系統同樣也會儲存業務信息,如交易機密、新產品開發計劃、營銷策略等。政府部門系統可能會存儲武器信息、情報行動、軍事目標等信息。這些信息異常保貴,一旦丟失、毀壞或落入壞人手中,後果將不堪設想。一項研究表明,一旦大公司的系統遭到破壞,公司便會在兩天之內損失2.1%的市場份額,意味著在股票市場上平均損失1.65億美元(Cavusoglu,Mishra,and Raghunathan,2004)。

安全和監管上的不足會導致承擔嚴厲的法律責任。企業不僅僅要保護企業的信息,還要保護企業客戶、員工和合作伙伴的信息。沒有做到這一點,企業將捲入洩露數據的複雜訴訟。如果企業沒有采取一定的措施防止洩露機密信息、數據毀損、侵犯隱私,企業將長期處於糾紛之中。美國聯邦貿易委員會曾控告BJ’s Wholesale Club沒有采取一定措施致使黑客進入系統,盜取信用卡及借記卡數據進行欺詐。最終,BJ’s Wholesale Club賠償數據被盜竊案用的信用卡及借記卡發行1300萬美元,以彌補銀行返還信用卡及借記卡持有者的損失(McDougall,2006)。擁有堅固的安全和控制系統保護企業信息確實能夠創造高回報。

堅固的安全和控制系統同樣能夠提高工作效率,降低損失。Axia Next傳媒公司原來使用開放式的寬帶網絡,在2004年安裝信息系統的配置和控制系統後,員工工作效率提高了,損失降低了。此前,由於安全性以及其他網絡問題曾致使系統癱瘓,浪費了員工的工作時間。2004~2007年,這一新系統通過減少系統癱瘓為公司節省了59萬美元(Bartholomew,2007)。

8.2.1 電子檔案管理的法律和監管要求

最近美國政府監管部門強烈要求企業加強安全措施,保護數據不被濫用、洩露以及未經授權使用數據。除了保護隱私,企業在保存電子檔案方面面臨新的法律責任。

醫療服務行業必須遵守1996年頒佈的《健康保險隱私及責任法案》 (Health Insurance Privacy and Portability Act,HIPAA)。該法案制定了一系列安全標準,就保健計劃、供應商以及結算中心如何以電子文件的形式來傳送、訪問和存儲受保護的健康信息做出詳細的規定。法案規定在確保私密性的情況下保存病人信息檔案六年,還詳細規定了醫療機構處理病人信息規範,以及違反保密原則、通過電子郵件或未授權的網絡註銷病人檔案的處罰辦法。

金融機構必須遵守1999年頒佈的《金融服務現代化法案》。該法案規定金融機構確保客戶數據安全保密,規定數據必須保存在隱蔽的媒介中,必須採取特定的安全措施來保護數據存儲及傳輸安全。

公眾交易公司必須遵守2002年頒佈的《薩班斯-奧克斯利法案》。在安然、世通及其他大公司發生財務醜聞後,該法案出臺,旨在保護投資者的利益,規定了公司保證對內對外的財務信息準確可靠方面的職責。

《薩班斯-奧克斯利法案》從根本上保證了財務報告中信息建立和歸檔處於監控中。正因為信息系統用來生成、存儲、傳輸數據,法案要求企業增強信息系統的安全性,採取措施保證數據真實、保密、準確,管理每個處理重要財務報告數據的系統應用以保證數據的準確性,同樣保護企業網絡不受外來者入侵,即使入侵後同樣保證系統數據的有效性。

8.2.2 電子證據和計算機取證

在法律案件中,安全、控制和電子檔案管理至關重要。股票欺詐、貪汙、盜竊企業商業機密、計算機犯罪和很多民事案件的證據都是數字證據。除了打印下來的資料,現在的法律案件越來越多地依靠存儲在移動軟盤、CD、計算機硬盤上的電子數據,以及電子郵件、即時消息和網上商業交易記錄。電子郵件是最常見的電子證據。

法律規定企業必須滿足訴訟方提出的信息查詢請求,這些數據可能用做證據。如果公司無法整合數據或是數據受損,代價將會巨大。法律對電子檔案的蓄意破壞給出了嚴重的經濟甚至刑事處罰。

有效的電子檔案保存政策確保電子文件、電子郵件和其他檔案保存條理清楚,使用方便,保存時間適當,這同樣反映瞭如何為電腦取證保留可能的證據。計算機取證 (computer forensics)是指科學提取、審查、授權、保存和分析計算機介質存儲或追蹤到的數據,使其可以作為法律證據使用。這一過程主要包括:

·有破壞數據有效性前提下恢復計算機數據;

·安全保存處理恢復的電子數據;

·在大量電子數據中尋找重要信息;

·向法庭呈現信息。

電子證據可能以文件或環境數據的形式存儲在計算機存儲介質中。計算機硬盤中刪除的文件就屬於環境數據,一般用戶無法使用,但是通一系列技巧可以恢復。計算機取證專家儘可能恢復此類隱藏數據,尋找證據。

計算機取證意識應該成為企業預見性規劃的一部分。CIO、安全專家、信息系統維護人員和企業法律顧問應該合作制定計劃,保證法律案件中的計算機取證順利進行。