发布时间:2023-10-11 17:33:01
绪论:一篇引人入胜的企业信息安全管控,需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文,供您参考和学习。
随着信息化技术的发展,企业信息化工具扩展度越来越高,扩展面越来越广,大大提升了企业运营及管理的便捷性,企业依赖系统大数据的信息处理和分析来提升效率,信息化技术应用为企业创造了不可替代的价值。企业财务系统、资源管理系统、办公系统等形成企业信息化综合平台,随着信息数据的大量输入、输出、交换、应用,信息处理的便捷使企业信息化安全工作越来越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丢失或泄露,使企业产生影响或经济损失,以信息化平台为重要工作工具的单位,影响更加重大。4G时代的到来,为企业信息走向移动化铺好了平台,也为企业信息安全管理提出了新一步要求。
我国的《企业内部控制基本规范》中提到信息化安全管理问题,该规范第四十一条指出:“企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。”所以信息化安全管理应为现代企业内部控制管理重要内容,如何优化信息化管理,提升信息化安全,成为需要思考的问题。
一、信息化安全管理分析
企业信息化安全管理包括物理安全管理、网络安全管理、系统安全管理、应用安全管理等,内部控制的实施有助于预防信息化管理下企业信息数据尤其是财务数据丢失的风险,降低借助信息系统舞弊的可能性,保证企业各项经营活动有效运行。企业应通过企业信息化安全工作分析,定期进行信息化安全工作检查,落实信息化安全内部控制管理。
(一)物理安全内部控制管理
1.硬件安全
信息化处理以电脑、服务器、存储设备、网络设备、安全设备作为硬件设备,电脑等信息终端设备不完善或故障会影响办公;服务设备如服务器、存储设备的损坏,会直接造成数据的丢失和数据处理的中断;网络设备如路由器、交换机的损坏,会让系统停止。没有安全设备或安全设备不工作会让系统受外界所攻击或盗取重要信息。企业信息化安全管理应对硬件安全有应急预案,增加必要的备用设备,如服务器、路由器、交换机等,设备一旦损坏,备用设备马上进入工作状态,使业务不中止或恢复时间短。设备应支持双路电源供电,对于有可能的停电,企业应准备和启用备用电源。
2.信息设备环境安全
环境安全包含防火、防盗、温度、湿度、洁净度等环境安全,只有安全的信息设备环境才能保障信息设备正常、高效工作,防范设备灭失或信息损失。对于一个大型或中型企业应专门建设符合上述环境要素的机房,服务器等设备应放在机房,因机器不间断运转造成温度较高,应配备精密空调等制冷设备,确保温湿度得到精确控制,服务器的放置空间要合理,保持空气的流通并符合设备散热需求。机房配置消防报警装置、气体灭火装置,以应对突发火灾事件。机房重地应有门禁管理,确保防盗和人为破坏的发生,信息化管理人员应就机房建设及日常管理进行检查。
另外移动办公设备(笔记本电脑、平板电脑、手机)的广泛使用使设备不安全性增加,云技术、云方案不断推新应用,使移动办公增加,企业应对于移动办公设备丢失制订预案,对重要移动设备做防盗防丢失部署,以使设备被盗或丢失时由信息管理员实施远程锁定,阻止非法入侵或直接销毁设备中的数据。
3.数据安全
数据的安全分为数据保护、数据保密和数据恢复。存储设备是数据的载体,也是实施信息化企业的生命,数据丢失可以是致命的,一个安全稳定的存储设备对数据保护至关重要。重要数据应以加密存储,存储介质废弃时的完全抹除是数据保密应注意事项,可使用硬件自加密硬盘简化数据保密过程。而存储备份和恢复方案的实施是数据安全的最后一道防线,可以在事件发生后数据得以恢复。企业应及时做好数据备份、异地备份,防范火灾、地震等不可预知事项带来的数据灭失。企业应做出数据恢复预案并进行演习以应对可能的数据安全事故。
(二)网络安全与信息传输安全内部控制管理
网络提供了便捷的信息传递、快速的信息查询,实现多人多组织的便捷工作,但也带来网络风险。企业首先应做好网络访问控制,最主要的措施是建立有效的防火墙,应检查企业网络设备是否安装了有效的防火墙,防火墙的版本是否能及时最新,是否安排专门人员定期通过收集分析网络行为、安全日志等进行入侵检测,检查访问控制权限审批授予是否得当,是否对不适当的人做访问权限的撤销管理。
终端用户操作不当,如违规安装软件或互联网资讯点击可能使病毒侵入网络,故企业防止内部局域网风险,需规范终端用户操作,对网上下载文件有必要要求及管理。针对承载保密信息的电脑,企业应专机专用并禁止与外网进行连接。对于有特殊安全需求的部门可部署桌面云方案,将数据和操作安全策略放置到服务器上统一管理。企业可通过部署网络防病毒软件并实时更新保证各终端使用相同的安全策略,避免个体不正确的安全习惯,保证定期进行病毒和恶意软件的查杀和清除,保障系统不因病毒侵入而崩溃,是信息化安全内控管理的有效手段。
运营商的线路故障,可能造成整个网络信息沟通中断,虽然几率较少,但对于以信息化工具为重要手段的单位影响会很大;为防止外部网络中断,检查评估是否需要选择两家运营商,保证信息传输的正常。
(三)系统安全内部控制管理
软件是信息化实现的载体,所有信息都是基于软件进行输入、输出、运算、分析和应用的。
软件安全成为一个越来越不容忽视的问题,软件漏洞会造成信息丢失、信息泄露。软件病毒会造成系统崩溃、信息错误。提升软件安全性,是企业信息化建设的重要环节。
企业的软件安全管理应检查是否使用可靠的系统操作平台软件,比如:Windows、Linux;是否安装有效的防病毒软件并及时更新,比如:卡巴斯基、诺顿等;是否选择安全保障高的信息化应用系统软件,比如:SAP、Oracle、金蝶、用友软件等;信息化软件是否有稳定后期保障服务。完善的软件是信息化数据安全和信息化功能应用的保证。
(四)应用安全内部控制管理
1.系统平台应用内部控制管理
企业信息化最主要应用是使用系统平成会计信息自动化处理与分析、实现业务流程记录与信息传递。企业应做到信息化平台统筹规划,使财务信息化和业务流程信息化充分结合,提高信息处理效率及信息管控力度,将企业的管理思想有效置入信息化流程使信息化平台成为企业内部控制管理的有效工具和手段。
企业信息化系统平台应用工作包括系统上线实施建设和系统日常运维管理,都有内部控制风险点管理。系统上线实施建设为系统平台应用的基础,对企业信息化应用起到关键作用。对于信息化应用程度深的企业,若实施不成功会给企业带来经济损失乃至巨大风险,为内部控制管理重大风险点,应予以高度重视。企业应制定详细的工作计划及实施方案,优化系统流程,制定编码规则,项目经理应实施有效的进度管理以保证系统上线成功,系统上线后应对项目进行验收,对应用中发现问题予以改善。系统日常运维管理(包括变更管理)是信息化有效稳定运行的保证,企业应制定管理制度进行规范化管理,信息化管理人员做好工作表单记录,通过检查表单记录评估信息化工作开展是否得当。
系统平台应用离不开系统流程与系统授权管理,只有信息化系统操作流程及权限设置合适,内部控制管理工作才能有效开展,风险得到即时控制。系统流程管理要求系统流程与企业管理流程文件相符;系统流程设置应合理有效,以企业增值及反应速度为原则,在实现内部控制基础上尽量做到流程简化,体现内部控制管理的全面性、重要性、制衡性、适应性和成本效益性。授权管理为企业内部控制管理关键点,如何做好系统授权?首先,授权人适岗,要求系统授权人或批准人对公司流程掌握,对内部控制管理有清醒的认识,对不相容岗位分离有清楚的把握,保证授权批准人与执行人分离,业务执行人与审核人分离,执行人和记录人分离,物资保管人与记录人分离,执行业务人与物资保管人分离;其次,配备必要的授权审核人员,授权审核人员可以是企业内控管理人员也可以是企业制度制订及管理人员,在系统流程制订时对授权设置进行审核,定期开展授权审计,以发现授权中问题,及时更正;再次,授权管理包括授权工作也包括撤销授权工作,需及时做好离职离岗人员系统权限调整,以保证系统操作人权限适合。
鉴于系统平台将企业信息做了大规模的集中,信息泄露的风险加大,所以对于系统数据、信息引出(下载)的权限管理应高度重视,尤其是关键数据及信息引出,避免信息批量式流出或关键信息被不适合人使用,给企业带来灾难性损失或技术成果和管理成果被他人窃取。
2.密码内部控制管理
服务器、电脑、平台系统进入都需要密码管理,企业应要求操作人员有效设置密码,不得将密码告知他人,定期更换密码,企业应检查企业员工外出离岗时有无告知他人密码协助处理流程的行为。随着技术进步,企业可通过技术手段实施密码管理。
3.电子邮件和即时交流工具安全管理
信息传输的便捷性使信息化风险加大,信息传输风险包括重要信息流出后不受控制及内部数据信息通过电子邮件、QQ等即时通讯工具方式泄露,企业应评估重要岗位、重要文档信息流出的风险度,必要时使用信息安全软件管理,进行重要文档加密或对特定区域信息加密管理;通过网络行为管理软件跟踪敏感文件和信息的泄露,使企业信息安全得到控制。对于即时通讯系统如QQ等可能带来的病毒和入侵风险,企业可根据信息化管理的重要程度确定是否部署内部专用即时通讯系统予以防范。
(五)随着信息技术的不断发展与进步,各种云平台服务推出,服务提供商可以提供专业的机房、服务器、存储、网络、信息化平台等供企业租用,企业只需付一定的服务费,为企业解决大部分信息化安全问题。使用云平台服务要做好服务商的选择,对于关键信息和数据采用做好方案选择。
中图分类号:F23 文献标识码:A 文章编号:1002-5812(2016)03-0026-04
随着我国企业信息化的推进,会计信息化逐步由简单的单用户电算化应用向复杂的深层次网络化运用过渡,会计信息化系统也在一定程度上实现了由核算型向管理型的过渡。在企业会计信息化水平不断提高的同时,作为企业重要资产的会计信息,其完整性、可用性、保密性等方面却受到不同程度的挑战和冲击。如若企业会计信息安全不能得到有效保障,可能会引发相关商业机密的泄漏,严重的会导致企业失去客户、市场,乃至核心竞争力;即便是信息系统的故障也会造成企业的相关业务中断,给企业带来资产与声誉的损失。因此,为了使企业能持续不断的发展,会计信息安全成为了企业管理越来越关注的内容之一。
一、企业会计信息安全的影响因素
企业会计信息安全是指会计信息化环境下,会计信息处于完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全。参照国际标准化组织和美国NSTISSC委员会对信息安全的阐述,本文认为企业会计信息安全就是为了使会计信息具有完整性、可用性、保密性和可靠性,而让企业的会计信息和会计信息系统处于必要的保护之下免于未经授权的访问、使用、泄漏、修改和破坏,并适当采取相应政策、培训和教育以及技术等必要手段,其实质就是扎根于企业经营实践活动并与企业战略密切联系的业务保障和管理问题。显然,影响企业会计信息安全的因素必然来源于企业的生产经营实践活动,并与企业的经营管理过程结合在一起。鉴于此,本文认为影响企业会计信息安全的因素不外乎组织环境、信息处理、风险评估、监控反馈、制度安排五个方面内容。
(一)组织环境。企业组织环境是指能对企业生产经营活动和决策产生直接影响并与企业战略目标实现密切相关的因素。企业会计信息安全及相关会计信息系统的运行都必须基于既有的企业组织环境。一般来说,企业组织环境包括企业愿景、企业战略、企业文化、组织结构、员工胜任能力以及管理者素质、管理风格、管理哲学等。企业组织环境对企业会计信息安全的影响作用在很大程度上取决于企业高层管理者。其原因在于,根据企业高层管理者的管理哲学与管理风格以及由其演绎而成的组织结构和企业文化形成了企业会计信息安全环境,并以此构建相应的会计信息安全管控框架,进而形成相应的会计信息安全策略。此外,相关的企业会计信息安全管控策略若要能在企业内部得到有效的持续的实施,也需要企业内所有管理者和员工的共同参与,更是与管理者和员工的安全意识和职业素养密切相关。高层管理者负责制订与企业组织发展方向相关以及影响整个企业战略的会计信息安全管控决策;中层管理者负责将高层管理者所制订的会计信息安全管控决策目标转换成为基层管理者可执行的会计信息安全管控具体目标;基层管理者则负责直接指挥从事具体业务的相关员工进行日常业务作业。
(二)信息处理。企业会计信息处理是一个比较复杂的系统,在这个系统中应该能完整、可靠、安全地采集与企业经营管理相关的各种会计信息,并使这些会计信息以适当的方式在企业有关层级及经过适当授权的客户之间进行有效传递和正确使用。因此,在会计信息化环境下为达到上述要求,企业需要为会计信息处理系统配置适当的软硬件资源。在这种情况下,企业会计信息安全问题就集中于物理硬件的可靠性和支持软件的有效性。物理硬件通常由系统主机、网络线路、终端电脑、附设周边、物化防护等组成,譬如给数据加密的专用设备,添加专用防火墙的服务器,具有加密算法和多数位加密的路由等。支持软件则主要由能实现会计信息采集、整理、加工、传送、使用等功能的会计信息管理软件构成,当然还包括操作系统、网络协议、压缩、加密算法、防病毒等相关软件。
(三)风险评估。风险评估就是分析、识别和控制相关影响会计信息安全目标实现的各种风险的过程,它主要由会计信息安全的目标设定、风险分析、风险识别和风险控制等方面构成。企业要确保其会计信息安全,则必须清楚且能应对各种可能对其会计信息安全产生影响的风险,在不断变化的企业经营环境中进行认真分析,识别并把握其变化规律,制订相关的应对措施,依据会计信息安全面临的问题适时调整企业会计信息安全管控策略和方法。这就要求企业的会计信息安全管控策略要有更长远的时间和更广阔的视野来关注风险,将风险意识贯穿于企业会计信息安全管控的始终,不断完善包括企业经营理念、管理方式、管理风格在内的控制风险环境。为此,企业还需要制订相关的会计信息安全目标,并将这一目标与企业的供应、生产、销售等经营活动进行整合。唯有如此,才能实现整个企业经营管理的协调一致。
(四)监控反馈。企业必须制定监控反馈的政策与程序,才能确保既定会计信息安全目标和必要改进措施的有效实施。一方面,企业经营环境是不断发生变化的,企业经营活动也随之不断变化。在这种情况下,唯有对企业会计信息安全管控系统进行必要的监控,并在必要时加以修订与调整,管控系统及相关的政策与程序才能反应自如。另一方面,企业会计信息处理系统自身也会由于物理硬件或支持软件方面的不确定因素而导致会计信息处理的延误或失效。这样,企业也需适时地对企业会计信息处理系统进行监控,排除不确定因素,维护会计信息处理系统的有效和安全。此外,还应考虑制定怎样的监控反馈政策与程序。通常,过于集权的监控政策会导致因信息缺乏而引起的成本,过于分权的监控政策则会出现因目标不一致而引起的成本。鉴于此,企业对会计信息安全的监控反馈政策与程序的选择应该是权衡这两类成本,使成本之和最小。
(五)制度安排。企业会计信息安全还与企业制度安排密切相关。好的政策制度,能有效协调和激励合意的行为,约束和惩罚不合意的行为,从而带来良好的经济绩效;差的政策制度,则会产生相反的结果。因此,企业在进行会计信息安全方面的制度安排时,需要依据会计信息安全的目标,设计出良好的管控制度,做到能有效地协调和激励符合企业会计信息安全的行为,并能够约束和惩罚不符合企业会计信息安全的行为,进而为企业带来良好的会计信息安全管控效果。需要关注的是,制度安排的效果,还要与其实施的环境密切关联。因为制度实施的环境发生了变化,就有可能使得原先实施效果很好的制度不再那么有效,甚至失效。
二、企业会计信息安全的主要风险问题
通过上文的分析可知,企业会计信息安全受到冲击和挑战的原因很多,具体表现出来的风险问题也是多样的。但是,具体到企业管理实践中,会计信息安全的风险问题基本上集中于员工的会计信息安全认知、会计信息处理系统、风险评估与监控反馈的认识以及对会计信息安全管控制度的执行等几个方面。
(一)员工的会计信息安全认知不足。基于组织环境方面的会计信息安全风险问题多源于企业的员工对会计信息安全认知的不足。其原因在于,与安全有关的问题都离不开“人”这个主体因素。一方面,许多企业管理者的会计信息安全意识、安全知识和安全管理等方面存在不足。譬如,在确定企业会计信息安全管控方案时没有对企业进行全面的自我诊断,仅是对企业的基本状况做了一个大概了解,就直接在企业内部实施现有的标准或者其他企业或组织的成功方案。由于企业既没有充分挖掘会计信息安全现状和对会计信息安全的内在需求,也没有全面考虑利益相关者的利益安全需求,必然会导致企业对会计信息安全的实际需求与其能提供的安全管控之间存在差距。更有甚者,企业管理者对会计信息安全的支持和重视不足,导致企业内部会计信息安全文化缺失和普通员工会计信息安全意识淡薄。另一方面,企业信息化的发展,使得越来越多的非财会相关岗位的普通员工也被包含到企业会计信息安全体系之中。这些员工,甚至一些财会岗位的员工,要么不完全理解会计信息安全的重要性,要么过度信赖企业会计信息安全管控方案,而不愿意把自己的精力和资源放在会计信息安全防护上,或者从根本上就认为即便对会计信息不采取安全防护措施也不一定会造成损失。当然,也存在一些员工由于缺少必要的会计信息安全教育和培训,根本不知道自己不遵守和执行相关的会计信息安全管控方案会对企业带来怎样的不利影响。
(二)会计信息处理系统安全技术滞后。企业会计信息安全需求是随着企业的生产经营活动和企业所处的内外部环境的变化而变化的。但是,很多企业并没有意识到企业会计信息安全需求的动态变化规律,对会计信息安全管控方案依然秉承“投资一次,受用终身”的观念,抱陈守旧。这种投资观直接导致企业会计信息处理系统安全技术跟不上企业生产经营活动和企业所处的内外部环境的变化。具体体现在企业使用的会计信息处理软件本身设计存在缺陷或技术漏洞得不到及时的完善以及杀毒软件、防火墙等相关支持软件不能得到及时更新;没有随着企业业务和环境的变化更新会计信息处理系统导致业务流程描述错误或漏洞、数据访问权限设置不当、关键数据备份不足等问题;以及系统主机、网络线路、终端电脑、附设周边、物化防护等老化损毁等。
(三)会计信息安全风险意识薄弱与风险评估体系缺失。当前,不少企业员工,包括部分企业管理者,其会计信息安全风险意识淡薄,认识不到企业会计信息安全风险的客观性。实际上,企业生产经营活动中,风险是客观存在的,它是无处不在的,也是无时不在的。通常状况下,企业所面临的会计信息安全风险,也与威胁企业实现其战略目标的相关事件密切相关。因此,企业会计信息安全风险的评估,要求企业所有员工能对贯穿于企业方方面面的会计信息安全风险有一个清晰的认知。尤为突出的是,很多企业并没有形成一套有效的会计信息安全风险评估体系来对会计信息处理系统进行风险评估。会计信息安全风险评估体系可以确定各种会计信息采集、整理、处置、披露和使用等行为的边界,明确什么行为是可以做的,什么行为是不可以做的。如果发现有越界的行为,能够及时发现并对其进行控制,进而使得这些越界行为造成的损失降至最低。
(四)会计信息安全监控反馈欠佳。一般来说,企业会计信息安全监控反馈机制可以分为三个步骤。一是对实际会计信息安全的衡量与评估;二是将实际衡量与评估的结果与企业设定的或标准的安全目标进行比较;三是采取必要的管控行动来纠正比较后得出的偏差与不足。显然,会计信息安全监控反馈过程是一个连续行动的过程,其有效性归根结蒂取决于以上的衡量、比较与纠偏三个步骤,其中任何一个步骤或者几个步骤低效率或不作为就会影响企业会计信息安全监控反馈机制的有效性。但是,在现实的企业经营管理实际中,由于企业员工认识不到会计信息安全监控反馈机制是一个衡量、比较与纠偏的连续行动过程,而是过度强调这个监控反馈机制中的某一个步骤或某几个步骤,没有从整个会计信息安全监控反馈机制的全局上考虑,导致企业会计信息安全监控反馈机制运行不畅,监控反馈效果大打折扣,最终使该机制的有效性受到质疑,动摇该机制在企业会计信息安全管控体系中的地位。
(五)会计信息安全管控制度低效。会计信息化依然是个新生事物,企业对会计信息安全管控的认知还处于初级阶段,相关的制度建设尚不完善,有的还处于草创阶段,导致企业日常会计事务的工作制度依然处于缺失状态,会计信息处理系统的使用和维护行为缺乏合理的引导,会计信息处理设备的滥用和误用、会计信息的不当使用等现象时有发生,严重危害企业的会计信息安全。即便企业有相对健全的会计信息安全管控制度,若不能对相关执行人进行必要的激励,也难以使相关制度得到有效执行。其原因在于任何制度都是由人来执行的,要保证制度的执行效果,就必须对执行人进行激励。激励的目的就是当个人的行为能促进企业目标的实现时,能得到企业提供给其相应的价值回报,把企业员工的个人行为动机与企业目标的实现密切关联起来。事实上,很多企业在信息安全管控制度的执行过程中,并没有设立相应的激励指标来推动企业员工为企业信息安全目标的实现而工作。
三、企业会计信息安全的管控建议
针对以上风险问题,企业应该在影响会计信息安全因素的组织环境、信息处理、风险评估、监控反馈、制度安排等方面强化作为。
(一)加强会计信息安全管控组织环境建设。一方面,要强化企业会计信息安全文化建设,在企业内部形成全体员工共同遵循的会计信息安全的信念、价值、意识以及经营哲学等,以此为基础设计相应的企业会计信息安全管控制度,并提供理念支持。还可以在企业文化建设过程中,不断强化企业会计信息安全的重要性和相关会计信息安全管制制度设计的员工参与度,以实现更加公平透明和执行有效的企业会计信息安全管控文化。另一方面,要充分重视人的因素,加强企业员工的职业道德教育和业务素质培养,提高全体员工的职业胜任能力,充分发挥每个员工在完善企业会计信息安全管控制度方面的主观能动性。企业还可以依据员工的工作性质和职位安排,适宜安排企业会计信息安全教育与培训。对企业管理者,强化会计信息安全核心知识、技术手段、风险管理等方面的教育与培训;对企业普通员工,则结合其所在部门的业务特点加强会计信息安全技术手段、风险意识等方面的教育与培训。这样,就可以在企业内部营造企业会计信息安全文化氛围,最大程度地减少人为因素对企业会计信息安全的危害。
(二)适时更新会计信息处理系统安全技术。企业要遵循会计信息安全需求的动态变化规律,对会计信息安全管控方案放弃“投资一次,受用终身”的观念,适时更新会计信息系统处理安全技术,按照“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线。首先,适时更新会计信息处理的安全技术。在企业会计信息处理系统中提供包括用户名、口令等在内的多种身份验证机制,必要时还需嵌入支持双因素认证和具备登录控制模块,同时在会计信息处理的日常作业不受影响的情况下,控制相应员工的访问权限,减少可能的越权操作,保障会计信息处理系统的安全。其次,适时更新会计数据的安全技术。企业应通过适时更新加密等技术手段保护会计信息处理系统中数据的保密性和完整性,提高会计信息数据访问的抗依赖性。此外,还需加强相关会计信息数据的异地崩溃或者灾难恢复机制,通过实现本地会计信息数据能够异地备份和复制,避免本地会计信息处理系统由于崩溃或者灾难等而导致会计信息数据遗失。再次,适时更新网络安全技术。不但要适时更新系统扫描技术并对会计信息处理系统和操作系统层设备进行智能化检测,帮助企业网络管理人员高效完成定期检测和操作系统的漏洞修复,还要适时更新系统实时入侵探测技术来监控主机系统事件,检测可疑特征并给予响应和处置。此外,还要适时更新在企业内外部部署的网络和信息安全设施,强化会计信息处理系统的物理实体管理,同时加强对漏洞扫描系统和入侵检测系统的更新,以实现会计信息处理系统受到内外部误操作或各种攻击时的实时保护。最后,适时完善物理设备的安全防护技术。不但要采取全面可靠的防火墙技术和防病毒系统,还要针对环境的物理灾害、人为蓄意破坏甚至自然灾害采取有效的物化防护技术,保障相关物理设备的安全。
(三)形成会计信息安全风险评估体系。任何企业管理机制的构建都是一个系统工程,能否构建成功且在以后的运行中有效,关键是相关风险的评估。正如管理大师德鲁克所说,没有评估就没有管理。同样的道理,没有评估就不可能实现管理机制的构建与施行。对会计信息安全管制机制的构建亦是如此。为此,企业为了构建有效的会计信息安全管理机制,就需对可能的损害企业会计信息安全的风险进行归集与分类,形成会计信息安全风险评估体系。具体做法,可以采用以下三步。第一步,构建适应企业经营实践和企业会计信息安全要求的会计信息安全风险评估目标体系。既要根据会计信息的完整性、可用性、保密性和可靠性设置会计信息安全的一般目标,又要根据会计信息安全管控环节设置具体目标,譬如会计信息安全管控业务执行的有效性、及时性、正确性等。第二步,按照会计信息处理的授权管理、岗位牵制、资源接触等安全管控类型,分析并得出会计信息处理业务流程和各部门的关键风险控制点和一般风险控制点。最后,根据上述风险控制点设置相应的会计信息安全管控评估指标,并对每个指标进行具体说明,且给出这些指标的评估方法和评分标准。
(四)推行企业全面信息安全监控反馈机制。会计信息安全管控不应该仅仅是涉及到会计信息这样一个狭小的范畴,而应该是一个综合的概念,要把企业的经营环境、愿景理念、组织领导、战略计划等综合起来考虑。既要认识到现代企业中会计信息安全管控的重要性,也要能从会计信息安全的管控上升到企业信息安全管控,推行企业全面信息安全监控反馈机制,实现企业全面信息安全管控,并使之成为企业的管理哲学。首先,要做到内容方式的全面性。不仅要着眼于会计信息安全的管控,还要能从企业战略的高度审视和评估会计信息安全管控,更要注重各种安全技术和方法的综合使用,确保能实现从单纯的会计信息安全管控向企业全面信息安全管控转变。其次,要做到管控过程的全面性。要把会计信息安全管控作为核心贯穿到整个企业经营过程中,即从市场调查、产品开发、生产销售等环节延续到产品售后都要实行相应的会计信息安全管控,确保会计信息从静态安全管控向动态安全管控转变,进而实现会计信息的保护、检测、反应和恢复协调一致。最后,要做到管控人员的全面性。即要求包括企业高管、其他管理人员、工程技术人员和普通员工在内的全体员工都要参与到全面信息安全管控中,各司其职,对会计信息安全负责。
(五)强化会计信息安全管控制度安排。强化企业会计信息安全管控制度建设,不外乎制度本身的完善和既有制度的有效执行。会计信息安全管控制度的完善,就是建立一套完善的会计信息安全管控制度。这既是会计信息本身安全的基础,也是会计信息安全管控的前提。完善的会计信息安全管控制度至少应该包括会计信息处理系统的开发或选购、使用、维护和应急制度,以及机房和终端等会计信息处理系统物理实体管理制度、会计信息数据的使用制度、会计信息数据备份制度、会计信息安全风险评估制度、会计信息安全审计制度等,实现从会计信息数据采集整理到会计信息数据使用备份的会计信息处理全程制度无缝构建,并随着企业经营环境的变化适时更新和完善。而既有会计信息安全管控制度的有效执行,则需充分重视企业员工绩效考核制度。恰当在企业员工的绩效考核中纳入企业会计信息安全评估的内容,使其获得报酬的变量和风险密切关联于企业会计信息安全。这样就可以保证企业员工在会计信息安全管控制度的执行方面上,能够基于企业的长期利益,而不是其个人利益,进而实现既有会计信息安全制度的有效执行。
四、结束语
企业会计信息安全对企业生产经营活动的可持续发展以及对市场经济的建立健全等方面的作用是不容置疑的。但是,也要看到我国关于企业会计信息安全乃至整个企业信息安全管控实践和研究的起步较晚,与发达市场经济国家在初始条件和实践能力方面还存在一定程度的差距。这是我国企业在进行会计信息安全管控时所必须要考虑到的一个基本现实。因此,本文认为企业会计信息化安全管控,既是一个不断发现问题和解决问题的过程,也是一个不断迎接挑战和接受冲击的过程。
参考文献:
[1]张红旗,王新昌,杨英杰等.信息安全管理[M].北京:人民邮电出版社,2007.
[2]胡英松.信息化会计信息安全问题研究[J].哈尔滨商业大学学报(社会科学版),2009,(4):83-85.
[3]ISO.ISO/IEC27002:2005[EB/OL].[2015-08-17].https:///obp/ui/#iso:std:iso-iec:27002:ed-1:v1:en.
[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online,http://csrc.nist.ov/publications/history/dod85.pdf
[5]梅雨.企业财务监控问题解析[J].中国管理信息化,2009,(9):48-50.
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-03
随着大型企业信息化建设的逐步深入,对信息系统的依赖程度不断提高,信息系统的稳定运行直接关系到社会秩序与国计民生。企业伴随着各信息系统的建成,信息化水平不断提高,信息系统对业务的支撑作用更加明显,迫切需要提高信息安全保障能力,保证网络基础设施与信息系统的安全、可靠运行。
为了加强大型企业信息系统的安全防护,按照《国家信息化领导小组关于加强信息安全保障工作的意见》文中明确提出的“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估"的指导建议,本文对信息系统进行风险评估,确定系统缺陷和安全需求,提出整改建议,为大型企业整体信息安全解决方案提供基础资料和有力依据;结合国家关于信息系统安全等级保护的相关要求,评价已有信息安全建设的适当性、合规性,分析所面临的威胁、影响和脆弱性及其发生的可能性,最终得出所面临的风险,并提出整改建议,为大型企业信息安全战略发展提供参考。
一、大型企业信息安全面临的风险
(一)风险概述
安全风险是一种对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统,安全风险是一个客观存在的事物,它是风险评估的重要因素之一。
产生安全风险的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种。一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时,由于未能造成后果,或者没有意识到,而被安全管理人员忽略。这将导致对安全风险的认识出现偏差。
(二)威胁类别
分析存在哪些威胁种类,首先要考虑威胁的来源,信息系统的安全风险来源如下。
对安全风险进行分类的方式有多种多样,针对上表威胁来源,可以将威胁分为以下种类。
二、信息安全风险防控
(一)信息安全风险防控思路
根据大型企业目前信息安全工作的现状,为了充分的利用现有资源、节约成本,并能够有效的对信息资产进行充分保障,我们提出“集中管控、纵深防御”二点方针:
1.集中管控:减少攻防界面是成本较低、成效显著的防御方法。随着网络设备、服务器主机、安全设备的不断增加,网络拓扑日益复杂,如能对安全设施进行集中管理,控制安全边界将能够有效地降低安全成本;
2.纵深防御:现有的任何防护措施都不能完全保证信息系统不发生安全事件,通过多级的安全防御部署,能够在出现未知漏洞外层防御措施失效后,控制安全事件造成的影响,减少损失。
基于以上两个观点,结合大型企业信息安全的现状,制定如下思路:
由于大型企业的网络复杂庞大,在未来的网络安全建设上建议采取大面上封堵,重点防御的策略。大面上封堵即阻断传统终端--网络—服务器—存储的访问方式;重点防御是指采用用户集中通过统一平台访问的方式实现业务应用,然后重点做好统一平台的安全防御工作;
在上述大思路的指导下,未来的网络安全建设还需要重点做好数据中心的网络安全防护工作,即不仅要防止由于服务端口开放带来安全风险,还应该重点防御深度注入web应用类型病毒所带来的安全风险,因为目前集团绝大多数的应用系统为B/S架构下通过web访问方式实现访问。
(二)信息安全风险防控蓝图
本文针对信息安全风险防控的蓝图拟从网络、主机、应用和数据4个方面来对大型企业的信息安全建设提出建议,如图所示:
大型企业信息安全建设规划蓝图
(三)信息安全风险防控措施
信息安全风险防控措施的基础工作是访问控制的细化。建议倾向于安全域的划分的思想,但不强调必须要进行安全域划分的表现形式。与网络相关的控制措施主要有以下3个方面:
1.单点故障:核心链路的各种网络设备往往为单台设备运行,诸如核心交换机、路由器以及防火墙等,一旦出现故障,将对网络的可用性造成严重影响,直接影响内外网间的访问,建议增加核心链路的设备数量,考虑进行双机热备。
2.边界控制:从网络整体来看,如果互联网出口数量较多,一旦发生来自网络外部的安全事件,判断和溯源难度大,管理分析成本较高,需要对企业网络的互联网边界适当管控,关闭或对互联网出口增加监管;
3.VLAN隔离:在服务器机房中存放的服务器主机的资产重要程度是不同的,部分主机所有互联网用户可以访问(如:门户网站),部分主机只有内部人员或内部部分人员可以访问(如:OA、ERP等)如果这些主机都划分在同一VLAN中,一旦任意主机出现安全事件,很容易影响到统一VLAN中的其他主机。需要对业务重要程度不同,系统应用耦合度小的主机间进行网段或其他方式的隔离,降低影响。同时通过隔离,一旦出现病毒、蠕虫等恶意代码,也能够方便管理人员排错和修复,提高网络管理效率。
三、结论和建议
