ในการจัดระบบสารสนเทศขึ้นมานั้น สิ่งที่สำคัญก็คือต้องสร้างระบบตรวจสอบและควบคุมโอกาสที่จะเกิดข้อผิดพลาด หรือความล้มเลวของระบบ ซึ่งโดยทั่วไปแล้วสิ่งที่สำคัญของระบบสารสนเทศก็คือ ข้อมูลที่เก็บรวบรวมไว้ในระบบ ดังนั้นจึงมีความจำเป็นอย่างยิ่งที่ผู้จัดทำระบบจะต้องปกป้องข้อมูล โดยการสร้างกระบวนการขึ้นมาควบคุมการเข้าถึงและเรียกใช้ข้อมูล ทั้งนี้เพื่อป้องกันการทำลายหรือนำข้อมูลไปใช้ในทางที่ผิด ปัญหาความปลอดภัยของข้อมูลในองค์กรไม่ได้เกิดจากผู้ใช้ภายนอกองค์กรเท่านั้น แต่ยังสามารถเกิดจากผู้ใช้ภายในองค์กรได้ด้วย จากการสำรวจในประเทศสหรัฐอเมริกาพบว่าปัญหาเรื่องความปลอดภัยของข้อมูลที่เกิดขึ้นบ่อยที่สุดเกิดจากผู้ใช้ระบบทำผิดเอง โดยการใช้คำสั่งที่ผิด ๆ ที่รู้เท่าไม่ถึงการณ์ หรือโดยจงใจเจตนา ส่วนปัญหาที่เกิดขึ้นในอันดับรองลงได้แก่ การที่ผู้ใช้ระบบงานจงใจแก้ไขหรือใช้ข้อมูลผิด ๆ และสุดท้ายคือปัญหาการมีผู้ลักลอบทดลอง หรือจงใจใส่โปรแกรมหรือทำลายข้อมูลในองค์กร
นอกจากนี้การรักษาความปลอดภัยของระบบสารสนเทศเพื่อการจัดการทรัพยากรมนุษย์ ยังมีความสำคัญต่อการปฏิบัติงานด้านทรัพยากรมนุษย์ ซึ่งผู้บริหารและผู้ปฏิบัติงานด้านทรัพยากรมนุษย์ควรจะต้องเรียนรู้และเข้าใจความหมายของความปลอดภัยในทางคอมพิวเตอร์ซึ่งจะเกี่ยวข้องและมุ่งเน้นกับความปลอดภัยของข้อมูลเป็นหลักโดยเน้นในด้านต่อไปนี้
1. ให้ความสำคัญข้อมูลในระบบ (confidentiality) โดยถือว่าเป็นข้อมูลที่เป็นความลับไม่ควรให้ผู้ใดเกี่ยวข้องรับทราบ
2. ข้อมูลที่เป็นเรื่องของสิทธิส่วนบุคคล (privacy) จะเป็นอันตรายมากเมื่อมีบุคคลที่ไม่เกี่ยวข้องเข้าไปใช้ข้อมูลโดยผิดวัตถุประสงค์
3. สิ่งจำเป็นที่จะต้องมีไว้เพื่อเป็นการคุ้มครองป้องกัน (security) โดยในการใช้ข้อมูลจะต้องผ่านกระบวนการต่าง ๆ ก่อนจึงจะถึงข้อมูลได้
ความสำคัญของข้อมูลที่มีต่อระบบสารสนเทศเพื่อการจัดการทรัพยากรมนุษย์มีสูงมาก ผู้จัดทำระบบจึงต้องให้ความสำคัญกับการรักษาปกป้องข้อมูลที่มีอยู่ในระบบ โดยความสำคัญของการรักษาปกป้องข้อมูลมีหลายประเด็น ดังนี้
1. ด้านจรรยาบรรณ (moral / ethical issues) เป็นการปกป้องการเรียกใช้ข้อมูลโดยที่ไม่ได้รับการอนุญาต เช่น การนำข้อมูลส่วนบุคคลไปทำร้ายกันในทางอาชีพ ทางการเมือง ซึ่งเป็นการใช้ข้อมูลที่ผิดวัตถุประสงค์ของการจัดเก็บข้อมูลในระบบ
2. ด้านกฎหมาย (legal issues) ในหลาย ๆ ประเทศจะมีการออกกฎหมายเพื่อ คุ้มครองการออกจำแนกแจกแจงข้อมูลส่วนบุคคลของพนักงาน เพื่อกำหนดให้ข้อมูลส่วนบุคคลบางรายการถือว่าเป็นข้อมูลของบุคคลที่ไม่ให้เป็นที่เปิดเผย เช่น เคยมีประวัติติดยาเสพติด อัตราค่าจ้างเงินเดือน การถูกสอบทางวินัย และข้อมูลส่วนตัวอื่น ๆ บางอย่าง ซึ่งการเปิดเผยประเภทนี้ จะทำให้องค์กรมีความผิดด้านจรรยาบรรณและผิดกฎหมาย
3. ด้านความลับขององค์กร (corporate secrecy) องค์กรมีข้อมูลบางอย่างที่เปิดเผยไม่ได้เพราะเกี่ยวข้องกับกลยุทธ์ แผนงานต่าง ๆ ที่จำเป็นต้องปกปิดคู่แข่ง ซึ่งข้อมูลเหล่านี้อาจอยู่ในคอมพิวเตอร์ หากถูกเปิดเผยออกไป อาจส่งผลให้องค์กรขาดรายได้ ซึ่งอาจอยู่ในรูปแบบของการลักลอบสกัดข้อมูลโดยไม่มีอำนาจ (unauthorized interception) โดยการทำสำเนาไปใช้งาน โดยเฉพาะจะเกิดในระบบเครือข่ายคอมพิวเตอร์ที่มีการส่งผ่านหรือถ่ายโอนข้อมูลผ่านระบบ
4. ด้านการทำลายข้อมูล (sabotage) เป็นการทำลายข้อมูลหรือระบบสารสนเทศ ด้วยการส่งไวรัสเข้าไปทำลายซอฟต์แวร์คอมพิวเตอร์ หรือกระทำอย่างหนึ่งอย่างใดที่จะสามารถส่งผลกระทบให้ระบบคอมพิวเตอร์ได้รับความเสียหาย
5. ด้านการฉ้อโกง (fraud) แต่เดิมการฉ้อโกงจะเป็นการกระทำระหว่างผู้ถูกโกงและ
ผู้ฉ้อโกง ซึ่งเป็นเรื่องของบุคคล แต่ในระบบสารสนเทศอาจให้การแสดงข้อความเพื่อให้ได้ทรัพย์สินของบุคคลอื่น โดยการแสดงข้อความนี้เป็นข้อความเท็จจริงที่แสดงต่อระบบคอมพิวเตอร์ที่มีการตั้งโปรแกรมการทำงานอัตโนมัติ เพื่อให้คอมพิวเตอร์มอบทรัพย์สินแก่ผู้ฉ้อโกง ซึ่งหมายความว่าผู้ฉ้อโกงไม่ได้เป็นบุคคลแต่เป็นคอมพิวเตอร์ที่ทำงานแทน
6. ด้านการปลอมแปลงข้อมูล (forgery) ซึ่งผู้ปลอมแปลงสามารถเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาตก่อนหรือระหว่างที่กำลังมีการบันทึกข้อมูลลงในระบบสารสนเทศ การกระทำนี้เกิดจากบุคคลที่สามารถเข้าถึงข้อมูลเข้าไปทำการเปลี่ยนแปลงข้อมูล เช่น พนักงานที่มีหน้าที่บันทึกเวลาการทำงานของพนักงานองค์กร อาจทำการแก้ไขตัวเลขหรือชั่วโมงของพนักงานคนอื่น ซึ่งการเปลี่ยนแปลงข้อมูลประเภทนี้หากถูกแก้ไขเพียงเล็กน้อย ก็จะไม่สามารถสังเกตหรือสงสัยได้
7. ด้านข้อผิดพลาดของระบบ (mistakes) มีหลายกรณีที่ระบบคอมพิวเตอร์เกิดการผิดพลาดเอง ซึ่งข้อผิดพลาดของระบบนี้อาจก่อให้เกิดความเสียหายแก่ข้อมูลได้ ซึ่งแม้แต่ระบบป้องกันรักษาข้อมูลที่มีก็ยังไม่สามารถกำจัดข้อผิดพลาดของระบบที่อาจจะเกิดขึ้นนี้ได้ทั้งหมด แต่ก็ยังสามารถช่วยลดโอกาสที่อาจจะเกิดข้อมูลผิดพลาดขึ้นได้
กระบวนการป้องกันรักษาข้อมูลนั้นไม่ได้อยู่ที่การห้ามเข้าใช้งาน (access denial) แต่อยู่ที่การตั้งระดับการใช้งาน หรือระดับการไม่อนุญาตให้ใช้ระบบ (level of access or level of access denial) ซึ่งแต่ละองค์กรมีนโยบายสำหรับการกำหนดระดับแตกต่างกันออกไปดังนี้
1. การปกป้องทางกายภาพ (physical security) หมายถึงเทคนิคต่าง ๆ ที่มีการนำมาใช้ในการจัดเก็บรักษาสื่อที่ใช้เก็บข้อมูลตัวอย่าง เช่น ใส่ในตู้นิรภัย มีผู้ควบคุมการใช้แผ่นเทปหรือแผ่นดิสก์ มียามรักษาการคอยดูแลและเฝ้าศูนย์ข้อมูล เป็นต้น ในอดีตการปกป้องทางกายภาพเป็นสิ่งจำเป็นและสามารถแก้ปัญหาได้ เพราะข้อมูลส่วนใหญ่จะถูกบันทึกไว้บนสื่อหรือหน่วยความจำที่สามารถจับต้องและเก็บรักษาได้ง่าย แต่ในปัจจุบันลักษณะของการเก็บรักษาข้อมูลมักเป็นระบบแบบ on-line ทำให้การควบคุมเป็นไปได้ยากยิ่งขึ้น
2. การควบคุมการเข้าถึงข้อมูล (data access security) การควบคุมการเรียกใช้ข้อมูลจะต้องเริ่มทำตั้งแต่ขั้นตอนการออกแบบวางระบบ รูปแบบของระบบที่ดีจะต้องมีการกำหนดระดับการป้องกันรักษาข้อมูล ทำอย่างไรจึงจะควบคุมปริมาณการใช้ข้อมูลภายในองค์กร ดั้งนั้นจึงมีคำถามที่ผู้ออกแบบระบบควรจะต้องหาคำตอบตั้งแต่ต้นคือ
2.1 ข้อมูลชุดนี้มีคุณค่าอย่างไร
2.2 มีโอกาสมากน้อยเพียงใดที่ผู้ไม่ควรจะรับรู้ข้อมูลชุดนี้พยายามลักลอบเรียกใช้ข้อมูลดังกล่าว
2.3 ถ้ามีใครลักลอบได้ข้อมูลชุดนี้ไป จะเกิดข้อเสียหายอะไรบ้าง
2.4 ข้อมูลใดที่เป็นข้อมูลควรปกปิดอย่างยิ่ง
2.5 จะเกิดอะไรขึ้นถ้ามีผู้ลักลอบเปลี่ยนหรือทำลายข้อมูลในฐานข้อมูลนั้น
2.6 การลักลอบการเรียกใช้ข้อมูลจะเกิดได้ด้วยวิธีการใดบ้าง
2.7 ตรวจสอบว่ามีผู้ลักลอบเข้ามาในระบบได้อย่างไร จะต้องลงทุนป้องกันมากน้อยเพียงใด
2.8 มีมาตรทางระบบกฎหมายเข้ามาช่วยมากน้อยแค่ไหน
2.9 ถ้าปัญหาเกิดขึ้นเพราะคนภายในด้วยกันเอง จะมีวิธีการจัดการอย่างไร
2.10 ถ้าปัญหาเกิดขึ้นเพราะคนภายนอกลักลอบใช้ระบบจะมีวิธีการจัดการอย่างไร
2.11 ใครเป็นผู้รับผิดชอบเรื่องการปกป้องรักษาข้อมูลภายในองค์กร
3. การกำหนดมาตรการใช้ข้อมูล (data access measure) มาตรการที่องค์กรต่าง ๆ อาจเลือกนำมาใช้ควบคุมการเรียกใช้ข้อมูลมีดังนี้
3.1 การกำหนดหมายเลขรหัสผ่าน (identification authentication) การกำหนดหมายเลขประจำผู้ใช้ของระบบ เป็นการกำหนดให้ระบบตรวจสอบผู้ใช้ระบบว่าเป็นผู้ที่มีสิทธิในการใช้ระบบจริง ส่วนการกำหนดรหัสผ่าน (authentication) เป็นกระบวนการที่ให้ระบบตรวจสอบผู้ใช้ว่าเป็นผู้ที่ความสามารถใช้ระบบได้จริง ไม่ใช่ลักลอบหมายเลขของผู้อื่นมาใช้ รหัสผ่านที่กำหนดให้ผู้ใช้แต่ละคนหรือที่เรียกว่า password ควรจะเป็นสิ่งที่ผู้ใช้แต่ละคนกำหนดขึ้นและสามารถเปลี่ยนแปลงได้ตลอดเวลา
3.2 การใช้ลักษณะทางชีวภาพของผู้ใช้ควบคุมระบบ (biological security)เป็นการใช้ฐานข้อมูลที่มีความสำคัญยิ่ง โดยมีการตรวจสอบผู้มีสิทธิด้วยระบบทางชีวภาพ เช่น ตรวจลายนิ้วมือ รูปถ่าย เป็นต้น
3.3 การกำหนดลักษณะเฉพาะของผู้ใช้ระบบ (user profile) ระบบจะจัดการฐานข้อมูลเอง เมื่อผู้ใช้ติดต่อเข้ากับระบบ ตัวระบบจะแยกแยะว่าผู้ใช้นี้จัดอยู่ในระดับใด ผู้ใช้คนนี้จะสามารถอ่านข้อมูลบางส่วนหรือทั้งหมด สามารถแก้ไขข้อมูลได้หรือไม่ เป็นต้น ตัวผู้ออกแบบระบบจะต้องเป็นผู้กำหนดโครงร่างของลักษณะของผู้ใช้แต่ละคน
3.4 การจำกัดโดยลักษณะการจัดฮาร์ดแวร์ (hardware profile) อาจอยู่ในรูปของช่วงเวลาการใช้เครื่องคอมพิวเตอร์ ซึ่งอาจเป็นการจำกัดว่าคอมพิวเตอร์ใดจะสามารถแก้ไขข้อมูลได้ และคอมพิวเตอร์เครื่องใดจะสามารถดูข้อมูลได้อย่างเดียว เป็นต้น หรือให้กำหนดเป็นคำสั่งที่ผู้ใช้นั้นจะได้รับหรือไม่ได้รับอนุญาตให้ใช้
4. การเปลี่ยนรหัสข้อมูล (data encryption) เป็นการกำหนดวิธีการเปลี่ยนแปลงรหัสของข้อมูลที่จัดเก็บอยู่ในระบบให้อยู่ในรูปที่อ่านได้ไม่เข้าใจ ในกรณีที่ข้อมูลขององค์กรเป็นความลับ หลายองค์กรจะใช้ระบบที่มีการปรับแปรรหัสจากข้อมูลธรรมดาทั่วไป (plain text / clear text) ให้อยู่ในรูปแบบที่อ่านได้ไม่เข้าใจ (clipper text) ระบบดังกล่าวได้แก่ data encryption standard (DES algorithm) ซึ่งกำหนดใช้โดยสถาบันมาตรฐานของสหรัฐอเมริกา ระบบนี้จะทำให้ข้อความปรากฏอยู่ในรูปที่อ่านไม่ได้ถ้าถูกเรียกโดยผู้ใช้ที่ไม่ได้รับอนุญาต แต่จะอยู่ในรูปที่อ่านได้ตามปกติถ้าถโดยผู้ใช้ที่มีสิทธิในการอ่านข้อมูลนั้น ๆ
