總體來(lái)看，只要制定好規(guī)章制度，并將內(nèi)網(wǎng)審計(jì)的概念灌輸?shù)狡髽I(yè)的員工中，企業(yè)完全可以利用內(nèi)網(wǎng)安全系統(tǒng)進(jìn)行管理，這將對(duì)企業(yè)內(nèi)網(wǎng)安全水平的提升起到極大的作用。青島中集冷藏箱制造有限公司信息主任耿峰認(rèn)為，沒(méi)有行為審計(jì)的內(nèi)網(wǎng)安全系統(tǒng)是不完善，行為審計(jì)可以有效的檢測(cè)到威脅內(nèi)網(wǎng)安全的因素，網(wǎng)絡(luò)管理員可以通過(guò)該系統(tǒng)清除威脅，確保網(wǎng)絡(luò)安全合規(guī)。譚俊峰也認(rèn)為很多產(chǎn)品在企業(yè)部署完備后都能發(fā)揮一定的作用，但是怎么發(fā)揮長(zhǎng)期的作用是每個(gè)企業(yè)必須思考的問(wèn)題，(比如說(shuō)漏洞掃描，它能發(fā)現(xiàn)很多問(wèn)題，但是怎么樣來(lái)處理，處理過(guò)程中與現(xiàn)有應(yīng)用發(fā)生沖突怎么解決。在實(shí)際工作中發(fā)現(xiàn)信息安全漏洞，但是行政命令干預(yù)，我們?cè)趺崔k)，企業(yè)運(yùn)用好審計(jì)系統(tǒng)需要把握全局、拿捏有度、主次分明、責(zé)任到位、統(tǒng)籌兼顧。

 

　　“隱私”無(wú)絕對(duì)

 

　　行為審計(jì)，是否會(huì)侵犯員工的隱私?這個(gè)問(wèn)題曾經(jīng)是業(yè)界討論的熱點(diǎn)。隨著國(guó)人對(duì)“隱私”概念理解的逐步深入，這個(gè)問(wèn)題已經(jīng)明朗化。隱私的基本含義是：不愿告人或不愿公開的個(gè)人的私事。企業(yè)的內(nèi)網(wǎng)是為了企業(yè)經(jīng)營(yíng)發(fā)展的需要而組建的，在企業(yè)內(nèi)網(wǎng)上所作的行為屬于單位事務(wù)，鄭州三全食品股份有限公司CIO周清湘認(rèn)為：從這個(gè)意義上說(shuō)，員工沒(méi)有“隱私”可言，而所謂“隱私”就是利用企業(yè)資源干自己的事。

 

　　雖然“隱私”的定義很明確，但是“行為審計(jì)”在實(shí)際操作中卻仍然不斷的引發(fā)爭(zhēng)論。因?yàn)槿水吘共皇菣C(jī)器，不可能在工作場(chǎng)所、工作時(shí)間內(nèi)百分之百的不處理個(gè)人事務(wù)。因此，員工在內(nèi)網(wǎng)中的行為總會(huì)含有涉及隱私的內(nèi)容。武漢凡谷電子技術(shù)股份有限公司信息部經(jīng)理朱烔哲就認(rèn)為，“行為審計(jì)”的第一步就是行為收集，除非只將高危險(xiǎn)行為識(shí)別出來(lái)并保留，否則必侵犯隱私。如果企業(yè)不顧實(shí)際情況，列出長(zhǎng)長(zhǎng)的違規(guī)操作人員清單，會(huì)弄得人人自危，員工陽(yáng)奉陰違，反而得不償失了。

 

　　實(shí)施審計(jì)需張弛有度

 

　　審計(jì)，涉及隱私，有法律風(fēng)險(xiǎn);不審計(jì)，失去監(jiān)管，有安全風(fēng)險(xiǎn)。這對(duì)矛盾該如何解決，怎樣才能用好審計(jì)，讓行為審計(jì)發(fā)揮出應(yīng)有的作用呢?杭州汽輪機(jī)股份有限公司所長(zhǎng)黃梁認(rèn)為行為審計(jì)是安全方面必不可少的一項(xiàng)內(nèi)容。不過(guò)進(jìn)行審計(jì)的人員要有公司的正式授權(quán)，而且必須對(duì)其的職責(zé)要進(jìn)行清晰的界定，還要有一定的行為規(guī)范來(lái)進(jìn)行限制。信息安全專家李洋博士也認(rèn)為：部署行為監(jiān)控和行為審計(jì)類產(chǎn)品是企業(yè)合規(guī)的一個(gè)重要步驟，但行為審計(jì)并不一定要侵犯?jìng)€(gè)人隱私，或者說(shuō)不完全要侵犯?jìng)€(gè)人隱私。只要嚴(yán)格限制審計(jì)者對(duì)原始數(shù)據(jù)的接觸，就能比較好地做到尊重個(gè)人隱私。游俠安全網(wǎng)站長(zhǎng)張百川則指出，關(guān)于審計(jì)與隱私的問(wèn)題，在國(guó)際上也有爭(zhēng)論。很多企業(yè)部署審計(jì)監(jiān)控產(chǎn)品的時(shí)候，無(wú)論是主機(jī)審計(jì)監(jiān)控還是網(wǎng)絡(luò)審計(jì)監(jiān)控，并沒(méi)有和員工說(shuō)明，這非常不合理;多數(shù)企業(yè)又控制不好審計(jì)員權(quán)限，審計(jì)員往往可以看全網(wǎng)人的隱私，這其實(shí)對(duì)企業(yè)存在很大的法律風(fēng)險(xiǎn)。

 

　　溢信科技產(chǎn)品總監(jiān)黃凱明確指出，做好審計(jì)要從幾方面考慮，一是要明確審計(jì)的范圍，從安全角度來(lái)說(shuō)是越全越好，但從合理性角度來(lái)說(shuō)，不該審計(jì)的，就不應(yīng)該去碰;二是對(duì)審計(jì)人員的權(quán)限有所限制。誰(shuí)有審計(jì)權(quán)限，什么情況下審計(jì)，需要什么流程，都要有成文的規(guī)定，并且有必要對(duì)其審計(jì)行為進(jìn)行再審計(jì);三是要合理利用審計(jì)的來(lái)的信息，善于將得到的信息根據(jù)自己的需要做成高度可視化的報(bào)表，反映出關(guān)鍵的問(wèn)題，為決策提供指導(dǎo)。

 

　　如此看來(lái)，審計(jì)與隱私之間并非不可調(diào)和，只要以恰當(dāng)?shù)?ldquo;審計(jì)行為”來(lái)進(jìn)行“行為審計(jì)”，是可以達(dá)到既保障信息安全又避免法律風(fēng)險(xiǎn)的目的的。

 

　　除了恰當(dāng)?shù)膶徲?jì)行為之外，企業(yè)履行告知義務(wù)也是非常重要的。黃凱認(rèn)為，從實(shí)施的角度來(lái)說(shuō)，最好做到告知義務(wù)，同時(shí)形成制度性。管理者也應(yīng)該明確IT 資產(chǎn)的公有屬性，即組織為員工提供的IT設(shè)備，理論上只是為了員工能夠完成其工作所必需的生產(chǎn)資料，因此在其計(jì)算機(jī)上所存儲(chǔ)和使用的任何數(shù)據(jù)，都應(yīng)該屬于組織公有，把類似的條款寫入制度，在員工入職時(shí)進(jìn)行簽署和培訓(xùn)，都有助于一旦法律糾紛發(fā)生時(shí)提供參考。張百川也認(rèn)為，產(chǎn)品部署前，應(yīng)當(dāng)發(fā)布相關(guān)公告進(jìn)行解釋說(shuō)明。

 

　　綜上所述，部署行為管理和行為審計(jì)類產(chǎn)品是合法的，也是必須的。通過(guò)行為審計(jì)，可以發(fā)現(xiàn)員工的異常行為、潛在的危險(xiǎn)行為，起到防患于未然的效果。而且當(dāng)泄密行為發(fā)生之后，審計(jì)系統(tǒng)也可以幫助企業(yè)快速查找到泄密者，及時(shí)挽回?fù)p失。但是，審計(jì)、行為監(jiān)控系統(tǒng)必須慎用，這些系統(tǒng)權(quán)限很高，而且對(duì)于員工的感情和工作積極性存在影響，如果濫用可能引發(fā)嚴(yán)重后果。企業(yè)必須要嚴(yán)格控制監(jiān)控的權(quán)限，對(duì)管理員的職責(zé)有清晰的界定，確保系統(tǒng)不被濫用。