企业信息安全管控范文1
关键词:企业;信息安全;风险控制
一、引言
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。
企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。
所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段
1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
(3)组建适当的评估管理与实施团队
企业信息安全风险控制体系的建立需要企业内部各个部门的参与,因为各个部门工作人员对于企业风险的认是有所不同的,企业要想了解企业承担的经营管理风险,就必须让企业各个部门工作人员共同参与进来。
参考文献:
[1]焦洪涛.中小企业信息安全管理策略研究[D].西安理工大学,2009.
[2]李慧.信息安全管理体系研究[D].西安电子科技大学,2005.
[3]梁军.湖南电信公司内网信息安全体系建设的研究[D].湖南大学,2007.
企业信息安全管控范文2
关键词:企业运维管理;信息系统;安全风险
随着信息时代的来临,信息系统和技术已经成为当下各个领域不可或缺以及赖以生存的基础性建设。现今信息已经成为衡量一个企业综合竞争水平的重要标志。但是,信息技术在不断支撑着企业业务开展的同时,其在运维方面也会产生相应的安全风险,主要表现为非法访问、信息篡改以及信息泄露。这些风险就会对企业的信息安全带来巨大的隐患。
1信息系统安全风险的控制难点
近年来随着网络技术的不断更新,企业也通过各种安全措施加强了信息系统安全风险的防护措施,但仍存在两个难点,首先是信息系统的高风险性,由于当下信息系统较为复杂,且漏洞较多,就会使得系统处于高风险性,使得运维人员很难进行控制。其次是当下IP管理以及信息系统的规模逐渐增加,也就使得攻击源变得多样化,运维人员无法进行有效的追踪,也无法进行有效的防护。
2企业运维管理中信息系统安全风险分析
近年来,信息时代的脚步逐渐加快,信息化的水平也在与日俱增。信息技术也以其方便、实用等特点广泛地应用在各企业之间。而为了更好地将信息技术的最大作用发挥出来,就需要定期对其维护。但是随着信息系统的应用需求逐渐增加,网络规模的不断扩大,使得信息系统的结构愈加复杂,也使得技术漏洞逐渐增加,这就会对企业的信息系统带来安全隐患。在现今运维管理中信息系统的安全风险主要包括下述几个方面。
2.1服务器终端层面的风险
服务器终端层面的风险主要分为下述几个部分:①信息系统的基本安全保密配置不够完善,管理不够成熟,这就使得用户可以私自更改BIOS的启动顺序,使得安全防护产品的失效,从而进行信息的窃取和篡改;②安全风险的报警装置不够成熟,不能够达到预期的效果,通常会由于安全产品之间的兼容性问题失去应用的效用,出现误报或者漏报的情况。然后就是系统含有漏洞,信息系统最主要的部分就是系统,在当下的企业中应用的操作系统基本上都为Windows系列,而一些停止补丁升级的Windows系统就存在着漏洞,很容易受到侵蚀,进而造成数据的丢失。2.2网络层面的风险在网络层面安全风险主要为网络设备的安全配置不当,通常会开启多余的服务或者端口,这就存在了被非法访问的隐患。同时在访问控制方面不能对接入进行有效的控制,会造成设备非法接入的风险。另外,企业通常不会对用户进行分层、分级,这就会导致网络拓扑混乱,使得企业重要的信息资源存在被非法授权访问的安全隐患。
2.3硬件层面的风险
现今,企业都拥有大量的硬件,且都是采用的国外进口。企业根本无法知晓底层硬件的工作机制,其是否含有隐藏通道等。例如惠普的某型号服务器已经被证实存在后门,这些设备的运维都需要专业的工作人员进行,这也就会使得维修过程容易发生信息篡改或者信息窃取的风险。2.4应用层面的风险应用层面的风险主要就是身份认证的管理不够完善。管理员的口令较弱、用户名和密码过于简单等都会被攻击者利用。甚至在当下一些企业还有用户名公用、滥用的现象,这就更给攻击者提供了良好的机会,攻击者可以通过这些漏洞进行水平提权,进而对信息进行窃取,甚至其可以获取管理者的权限,对系统进行控制,这就会给企业造成巨大的经济损失。
2.5安全审计层面的风险
在当下的信息系统风险管理都会部署一些安全监测产品,例如防火墙、杀毒软件等。这些产品只能针对某类安全问题有效,这就使得信息系统的审计工作变得松散,不能形成完整的体系。而且由于系统的兼容性等原因,总会出现误报、漏报的现象,这就会对审计的作用带来巨大的影响,使其无法发挥其应有的效用。另外,企业虽然相应的部署了安全管理平台进行日志的收集,但在当下的信息系统中智能分析能力较弱,不能够对全局进行有效的监控,也就没有办法实现综合监控和安全风险的态势分析。
3企业运维管理中信息系统安全风险的控制策略
通过对上述安全风险的问题进行有效的分析,基于信息的特点,本文提出了下述信息系统安全风险的控制策略。
3.1加强信息系统数据资源的安全风险控制
数据资源的风险控制主要从三个方面进行:①存储安全,可以采用先进的加密技术对信息数据库进行加密处理,从数据资产产生的源头进行安全防护体系的构建;②标识安全,通过标识技术对信息进行去区分标注,经过审计后,让标识与信息系统密不可分,这样就不会出现信息篡改的问题;③访问安全,可以采用强制访问控制的方式,对访问主体进行限制。例如,某些数据非管理员权限仅能读取,不能够打印或者重新编辑,而一些重要信息限制再无权观看。
3.2加强信息系统的信息安全风险控制
信息安全主要就是对应用安全进行控制,通过对系统的需求进行有效的分析,设计开发指导验收运维过程中进行安全保障。同时还要定期对系统进行渗透测试,如果企业的技术较为先进,还可以通过源代码进行安全风险分析,仔细地对漏洞进行查找,如果发现及时进行修复,长此以往就会不断提高系统的整体安全性。另外还要将运维过程中出现的问题进行整体分析,这样就能够形成较为完善的风险控制规范,为后续的系统安全提供可行性较高的参考数据。
3.3构建运维风险控制平台
针对认证管理和孤岛等问题,就可以亿堡垒机为中间体进行控制平台的构建,形成对企业信息系统全面的安全监控。通过安全防护产品的报警日志和应用系统的审计日志,构建威胁事件的审计模型,构建完善的综合安全事件分析统计平台,这样才能对风险事件进行关联审计分析,最终实现实时报警的效果。
3.4加强信息系统的管理和梳理
要想切实地提高企业的信息系统运维管理能力,必须要加强信息安全专项检查,要制定详细的规范来明确信息系统日常需要进行的管理操作,还要对日常管理的具体细节进行定义,这样才能使信息系统日常管理规范、明确,继而使其信息化和制度化。还要闭环管理信息安全风险和运维实践,防止低层次的信息安全问题发生。另外还要加强专项检查整体提高信息系统的安全运维能力。同时还要对信息资源进行有效的分类整理,要构建完善的应急备灾能力,还要定期对应急备灾的能力进行检测,例如可以临时构建信息丢失的问题,看其恢复能力,只有这样才能有效地保障备份能够及时地恢复。
3.5构建完善的信息风险防护体系
正与邪、矛与盾、攻与防,永远都是相对存在的。在信息系统风险控制上也是一样的,要想预防攻击者的非法入侵,就必须要建立完善的信息风险防护体系。所以,企业要培养构建一支团队,让其不断进行学习,掌握攻击的技术,然后让其对企业的防护系统进行破坏,进而完善,只有不断地从攻击者的角度去思考,才能够构建完善的防护体系,只有不断进行攻防,才能够更好地提升信息风险防护体系,让其更好地保护信息系统,防止信息窃取和篡改的问题出现。
4结语
综上所述,虽然当下企业对信息安全风险的防护工作不断重视,也构建了许多防护的措施,具备了一些防护能力,但由于信息技术的不断发展,使漏洞变得更加隐蔽。所以,企业要想稳定发展,必须要采取措施对信息系统安全风险进行运维控制,只有这样才能有效的保障企业的经济利益,为企业的发展做出有力的支撑。
作者:徐美霞 单位:广东电网有限责任阳江供电局
参考文献:
[1]上官琳琳.企业信息系统的管理与运维研究[J].管理观察,2014(18):100-101+104.
[2]何芬.企业运维管理中信息系统安全风险控制探究[J].信息技术与信息化,2014(5):208-210+212.
[3]石磊,王刚.关于企业信息安全风险管理系统的研究[J].华北电力技术,2013(9):65-70.
企业信息安全管控范文3
信息时代的到来,给现代企业的发展注入了新的发展元素,强化信息化建设成为企业内部控制管理的重要内容。但是,企业具有趋利的天性,强调经济效益为导向下的企业发展模式,进而对信息安全建设落实不到位。首先,企业缺乏信息安全防范意识,主观能动性相对比较欠缺;其次,企业信息安全宣传教育工作疏于开展,导致企业职工在网络操作中,出现不规范的违法行为,进而为黑客及病毒的攻击创造了机会;再次,企业缺乏信息安全风险管理制度的建立,导致信息风险管理流于形式,无法满足企业信息安全发展的需求。
2应用系统安全性不高
企业信息化建设的实现,依托于各种应用系统的有效应用。但应用系统安全性不高等问题,在很大程度上影响了企业的信息安全。一方面,应用系统设计本身存在不足或安全漏洞,如数据传输、存储采用明文的方式。这样一来,数据极易被恶意软件、木马所窃取,实现非法访问,进而造成企业信息丢失或泄露等安全风险;另一方面,企业应用系统的安全防范模式相对比较单一,通过“口令”的认证模式,难以构建完备的安全防范。并且,企业职工在密码设置上,过于简单,且操作行为不规范,这也造成应用系统安全风险增加的重要因素。
3企业信息安全风险的控制策略
企业信息安全风险的控制,关键在于如何营造安全的信息环境、强化安全技术体系的构建,以及风险控制的制度建设,从本质上优化企业信息安全的内外环境。因此,企业可着力于以下几个方面,优化与调整企业信息风险控制的有效性。
3.1注重信息安全建设,设置安全管理机构
信息安全是企业信息化建设的重要基础,注重信息安全建设的狠抓落实,是企业强化内部控制管理的必然需求。当前,企业疏于信息安全管理工作的落实,导致企业所处于的信息环境“危机四伏”。因此,首先,企业应加信息安全纳入到安全管理之中,夯实信息安全建设管理的重要地位。其次,建立健全的安全责任制度,并逐步形成联动的信息安全管理机制,提高信息安全管理的有效性;再次,设置安全管理机构,负责企业信息安全的建设、管理,以及信息安全人员的教育培训等工作,为企业信息安全风险的控制创造良好的内部环境。
3.2强化防火墙设计,提高信息安全防范能力
当前,黑客攻击、木马入侵等在很大程度上增加了企业信息安全风险,不利于企业信息化建设的推进。因此,强化防火墙设计是提高企业信息安全防范能力的重要举措。一些企业在信息安全设备的应用过程中,存在不规范、错误使用的问题。不同功能、品牌的安全设备由于兼容性差,导致安全设备的安全防范能力下降。这就强调,企业在安全防范体系的构建中,要注重科学合理原则,针对企业信息安全建设的需求,做到体系的完备性与安全性。例如,企业在信息安全风险防范体系的构建中,可以引入终端安全管理系统。在这方面,杀毒软件公司瑞星是典型的案例。瑞星公司在其终端安全管理体系的构建中,使用了“统一系统平台+独立功能模块”的设计理念,具体如图2所示。这样一来,不仅提高了企业信息安全防范体系的构建,而且优化了企业信息系统运行的环境。
3.3提高信息安全意识,规范操作行为
良好的主观能动性是提高企业信息安全风险控制的重要基础。首先,企业要强化安全管理人员的安全意识,规范并引导其管理工作的有效落实。尤其是在管理工作中,严格依照相关的规章制度进行,避免人为管理或操作不当,而造成信息安全问题;其次,积极推进企业安全文化建设,为信息安全风险控制的落实创造良好的内部环境。企业职工认识到信息安全的重要性,潜移默化中规范并引导职工规范信息操作;再次,做好信息设备的维护与保护等工作。一方面,要对企业的电脑等设备进行防雷、防磁等保护,让机械设备处于良好的环境下运行;另一方面,不定期开展设备维护工作,以便于及时发现问题、解决问题。
4结束语
企业信息安全管控范文4
【关键词】 ERP环境 会计信息系统 内部控制 控制策略
为了确保企业会计信息真实、财务数据完整以及企业资金安全,提高企业经济效益,降低经营成本等所采取的一系列制度、措施、程序和方法,可称之为企业内部控制。随着我国会计电算化已逐步进入ERP环境下会计信息系统管理模式,实现企业经营活动中商流、物流、信息流、资金流的统一管理以及会计核算的自动化等优势,并提供远程报账、网上支付、销售、网上报税、网上银行等多项功能,从而对会计自动化、信息化方面相应功能的内部控制措施也提出了更高的要求。
一、ERP环境下会计信息系统内部控制的特点
1、会计核算等功能业务处理方式调整
ERP环境下的会计信息系统是在会计电算化和会计信息系统基础上逐步发展的,因而,它不仅具有传统的会计系统的基本业务功能,并且将企业生产管理系统、销售系统以及采购管理系统等核心业务功能统一起来,从而实现企业内部资源信息的集成和共享。同时,ERP环境的会计信息系统还能够实现生产预测、生产计划、资金预算管理、成本控制、本量力分析以及绩效评价等多项辅的会计功能,从而改变了传统的会计业务处理方式,提高会计电算化管理效率。但是由于会计信息处理方式的自动化和多样化,也增加企业会计信息系统的潜在风险,因而,要加强针对ERP环境下会计信息系统内部控制措施的规范和执行。
2、会计管理人员与ERP系统共同控制会计信息
在企业实际工作中,虽然引入了ERP会计信息系统,但还避免不了一些手工会计处理工作,但在ERP系统的辅助下减轻了一定的工作量。会计管理人员的手工处理工作体现在对财务数据的审核、编辑以及形成自动的财务报表等工作内容,体现了人机交互工作的特点。ERP环境的会计信息系统可自动检测会计科目编码的正确与否,以及会计凭证编码、凭证日期以及金额等多项信息的检验,减少了人工误差和人工审核检查的时间。ERP环境下实现了会计管理人员与ERP下会计信息系统共同对会计信息进行管理和控制,提高了会计信息处理的自动化、智能化。
3、ERP环境下数据安全管理受到重视
在传统的会计业务活动中,企业将授权、核准、执行、记录以及复核等业务环节交由不同部门的管理人员来处理,而在ERP环境下的会计信息系统,大量财务信息和数据被录入到会计信息系统中由计算机进行自动化处理,这样造成大量的数据分析工作由会计信息系统来完成,也就提高了信息数据处理安全性的要求。因此,数据安全问题已成为ERP环境下企业会计信息系统内部控制措施实施的重点对象。
4、ERP环境下会计信息系统有效控制了会计舞弊
ERP环境下会计信息系统的建立有利于企业规避会计舞弊等违规行为的发生,通过会计业务处理的信息化、自动化,减少了人为因素对会计业务的影响,有效控制了会计业务中违规操作的情况发生。但是,由于网络通讯技术的不断发展,网络诈骗、病毒入侵等多种风险影响着企业用户的计算机安全,特别是对企业重要财务数据的盗取或篡改等,可能会给企业造成重大的损失。因此,企业要重视对ERP环境下的会计信息系统数据安全问题,有效控制会计舞弊、数据丢失或盗取等情形发生,严格限制未经授权的人员通过会计信息系统浏览或获取企业数据和信息。
二、ERP环境下会计信息系统对内部控制的影响
1、对会计内部控制环境的影响
企业内部控制环境是建立和实施内部控制制度的重要基础,内部控制环境影响到内控措施的实施效果,包括企业组织结构、员工的诚实信用程度、人力资源政策、内部管理模式以及企业董事会的态度等内容。在ERP环境下,企业的内部控制环境也会随之发生变化,例如,随着信息技术条件不断提高,企业对计算机技术应用更为广泛,降低了资源信息获取的成本,从而减少了大量的人工控制作业而被计算机技术取而代之,企业的组织结构趋于扁平化,各部门管理者可通过ERP系统对企业内部资源进行合理分配和控制,促进各部门间的沟通和交流,减少内部组织结构的层次,并提高了内部管理绩效。
2、对控制执行的影响
企业内部控制的执行内容是企业为确保会计信息真实和资金安全而制定的措施和程序,以实现内部控制为目标的具体手段。随着信息技术应用的逐步成熟,ERP环境给企业控制执行包括会计核算和会计管理工作等方面增加了很多新的工作内容。例如,对财务数据的定期维护,会计信息安全的控制,这就要求企业增加内部控制的相应措施,加强计算机软硬件的维护人员以及数据安全维护人员的内部控制,从而促进对计算机信息安全、病毒防御、系统维护等多项内容的监督和控制。
3、对会计风险的影响
内部控制的目标之一是要降低对企业经营可能产生负面影响的各种因素,即对企业经营风险的识别和控制,科学、及时地判别并评价企业经营风险,减少不确定性因素对生产活动的影响,是实施企业内部控制的重要内容。在ERP系统环境下,企业会计业务流程自动化,但并不影响企业内部控制的目标。而由于会计业务处理方式的转变,许多潜在的风险也随之而来,如何保证ERP环境下会计信息系统合法性、安全性,就需要在内部控制措施中加强对风险的识别和防范,减少信息技术给企业经营带来的风险。
4、对监督职能的影响
ERP环境下的会计信息系统内部控制是一种人机交互控制的管理模式,通过将控制内容、程序、方法和指标等信息命令输入到会计信息系统中,实现系统自身对会计信息的控制和监督职能,提高系统的安全可靠性,但由于计算机自动化的处理过程,仍需要人员的监管以降低可能的风险。因而,应加强对会计信息系统中控制程序和方法的有效性加以监督,及时根据企业经营情况的改变而及时对控制程序和命令进行调整。
三、完善ERP环境下会计信息系统内部控制的对策
1、加强ERP环境下会计信息系统维护控制
ERP环境的会计信息系统是一个复杂的计算机管理系统,其主要由计算机软硬件、系统操作和维护人员以及会计信息系统这三部分构成。会计信息系统的规范运行,直接关系到企业日常生产经营活动的有序开展。因而,对于会计信息系统的维护应进行严格周密的计划和定期检查,对系统维护内容进行实时记录,便于以后维护过程中的管理和控制,分析系统维护的性质及原因,并通过相关部门审核后再进行维护和完善。具体的系统维护过程应建立起一套完整全面的标准程序和注意事项,规范计算机维护的操作流程,并定期对会计信息系统中数据备份,从而完善会计信息系统维护机制,提高会计信息系统的工作效率。
2、提高会计信息系统数据信息安全管理
ERP环境下会计信息系统的数据信息安全管理,是指通过标准化的程序和方法对财务数据信息进行保护,以确保财务信息安全、可靠,降低数据泄露、信息恶意篡改等风险的发生,全面实现会计信息系统中数据信息和网络通讯的安全控制。一方面,应加强对会计信息数据的及时存档备份,并建立相关的档案管理制度,并由专人负责对档案资料进行整理归档、完善索引等工作,提高档案管理工作的实际效益。同时,制定相应的防止档案遭受破坏的应急对策,减少因风险带来的系统崩溃或数据丢失。另一方面,企业要加强对网络安全的设置,包括访问权限、身份验证等具体内容。系统维护人员可通过设置用户使用权限来限制非授权用户对信息的浏览;同时,严格限制会计信息系统中数据的拷贝、修改和删除权限,相关用户也应加强对存储内容的密码保护工作。
3、提升管理人员系统内部控制能力
在实施会计信息系统的内部控制制度时,要坚持以人为本的原则,实行复合监督和控制,明确划分管理人员的职能职责,相互独立、相互制约。会计管理人员以及系统维护人员内部控制能力的加强,是提高ERP环境下会计信息系统内部控制的根本途径和手段。企业应全面提高会计财务管理人员的内部控制责任意识,加强对会计信息系统规范操作的推广和宣传,培养企业员工按照操作流程和方法进行系统数据的处理和维护,降低系统中会计信息面临的风险;加强会计管理人员和财务管理人员的网络安全知识,同时,培养计算机操作人员对会计业务知识的了解,以提高会计数据安全维护工作效率;会计管理业务等部门主管应熟悉和掌握会计信息系统中会计处理业务功能的运作机制,便于对优化系统工作程序和效率提出可行的建议,并能够对会计业务流程加以监督和控制,最终实现企业所有使用会计信息系统员工的内部控制能力提升。
4、发挥内部审计职能,减少内控风险
ERP环境下会计信息系统的正常运行不仅有赖于人和计算机相互协作的机制,同时也需要会计内部审计对会计信息的真实可靠进行审核,这就需要内审人员对会计信息系统审核程序的熟悉和应用。内部审计制度是保障会计信息系统内部控制,降低系统风险的重要措施。在会计信息系统具体应用过程中,内审人员需要对会计业务处理工作进行检查和评价,以确保会计信息系统工作的准确性和安全性,及时发现系统中审核出现的问题,并给出解决问题的合理化建议,以支持系统操作和维护人员对程序命令的修改,从而提高会计核算工作效率和效果。
四、结语
在ERP环境下,如何执行企业会计信息系统内部控制措施,已成为企业加强会计信息系统运作效率、降低企业运营风险的重要内容。因此,企业应结合ERP环境下会计信息系统内部控制的特点,不断创新内部控制的具体措施,充分考虑其可能产生的风险,提高内部控制管理水平,为企业创造更多经济效益。
【参考文献】
[1] 岳彦斐:试论会计信息系统内部控制存在的问题和对策[J].财会审计,2011(8).
[2] 李晓光:会计信息系统内部控制的研究分析[J].河北企业,2011(12).
[3] 吴力佳:ERP环境下的企业会计信息系统内部控制问题研究[J].北京市经济管理干部学院学报,2011(95).
企业信息安全管控范文5
[关键词]信息环境;企业管理;信息安全
[DOI]10.13939/ki.zgsc.2016.41.090
1 信息环境下的企业管理路径
1.1 完善管理信息化建设体制
企业要加快管理信息系统建设,规范信息化标准体系,提高管理的信息化水平。首先,企业要成立信息化管理部门,负责企业信息化建设项目的全面推进,并且结合企业信息环境和管理需求制定信息化工作管理制度、专项经费管理制度、信息化工作考核制度等,保障信息系统建设制度化开展。其次,明确管理信息系统建设重点,如生产指挥调度管理系统、资金管理系统、会计核算系统、移动办公系统、物资采购管理系统等,提高企业对各项经营活动的管控能力。最后,建立信息化标准体系,包括技术支撑、基础建设、安全保障、业务应用等方面的标准,从而确保企业管理信息系统建设项目的质量。
1.2 建设企业ERP系统
企业要结合经营管理实际情况,引入ERP系统,从供应链管理层面推动物流、资金流与信息流的有机整合,提高企业集成化、信息化管理水平,提升企业供应链运作效率。在ERP系统的支持下,企业要实现财务业务一体化管理,完善财务管理系统功能,促使业务产生的信息实时传递到财务部门进行处理,同时也将财务信息、财务报告及时提供给企业管理层进行查阅,并将其作为企业经营决策的可靠依据。
1.3 优化人力资源信息化管理
在信息环境下,为进一步提升企业的管理水平,应当在现有的基础上,对人力资源信息化管理进行优化。首先,企业应当建立起一个相对完善的且包含绩效考核、员工培训、人才能力管理的信息化系统,并通过对相关流程的梳理,促进企业管理规范化和标准化,从而全面提升企业的人力资源管理效率。其次,企业可将一些重要的项目作为契机,实现人力资源与企业管理要求的对接,遵循现代企业管理的思维方式,开展相关的人力资源信息化管理工作,如员工绩效考核、领导干部测评等,借助项目成果,提升企业人力资源的整体管理水平,由此能够推动企业在信息环境下的稳定、持续发展。
1.4 加强信息化建设中的风险管理
企业在建设信息化的过程中不可避免地会面临各种风险,为此,企业应当采取有效的方法和措施加强风险管理。企业应当建立相对完善的风险防范机制,在该机制建立的过程中,要对管理信息系统开发中的所有风险予以充分考虑,针对风险因素进行有效的管理。实践证明,大多数风险都可以通过相应的方法进行防控,其前提是需要对风险进行准确的识别,但必须指出的是,风险本身具有不确定性和随机性的特点,并且有些风险是很难进行预防和控制的,因此,企业在开发管理信息系统时,必须制订出一套能够应对突发意外事件的方案,从而在意外发生时,能够进行解决,避免造成损失。
2 保障企业信息安全的体系构建
在信息环境下,信息安全是企业开展管理信息化建设面临的重大问题之一,直接关系到企业管理信息化水平的提升。为此,企业要结合管理实际需求,构建起信息安全保障体系,具体实施措施如下。
2.1 加强网络安全管理
企业在加强网络安全管理的过程中,可采取如下技术措施。
2.1.1 对远程接入进行严格控制近年来,虚拟专用网络技术(VPN)获得了快速发展,由此大幅度降低了远程接入给企业带来的风险,与此同时,移动办公的出现,在一定程度上促进了远程接入的发展,为确保远程接入的安全性,企业可以应用USB KEY身份认证或是动态口令等方式,对远程接入进行安全控制。
2.1.2 IPSec企业内网中存在一些非受控终端,这些终端的存在给黑客提供了访问企业网络的路径,为确保网络信息的安全性,企业可以应用IPSec,由此能够对内部终端进行管理和控制。
2.1.3 入侵检测这是防火墙的一项补充技术,能够对网络传输进行实时监控,当检测到可疑的数据信息传输后,会自行发出报警。通过入侵检测,可以使企业对来自外部的恶意攻击进行有效的防范。
2.1.4 确保无线网络安全大部分企业的办公区域内都有无线网络覆盖,其在给企业和用户带来便利的同时,也给信息安全带来了一定的隐患。为确保无线网络安全,企业应当采用比较安全的协议,如WPA或WPA2等,也可借助EAP协议对无线网络进行访问控制。
2.2 加强访问控制
在信息环境下,企业可以通过加强访问控制,来确保网络信息安全,具体可采取如下技术措施。
2.2.1 密码策略相关研究结果表明,密码的强度等级越高,破解所需的时间越长,正因如此,使得提高企业用户的密码强度等级成为访问控制最为有效的手段之一,为此,企业应当制定合理可行的密码策略,并借助相关的技术措施确保策略的执行。
2.2.2 权限管理企业应当对身份管理平台进行完善,以此为依托对员工的权限进行管理,并实行企业内部网络应用单点登录的策略。
2.2.3 构建公匙系统该系统是访问控制的核心,通过它能够有效提高无线网络访问授权、VPN接入的安全水平。
2.3 加强信息安全监控与审计
企业在加强信息安全的监控与审计方面,可以采取如下技术措施。
2.3.1 扫描病毒这是一种较为有效的网络信息安全监控手段,通过防病毒软件系统,可以对病毒进行自动扫描,并针对操作系统存在的漏洞,自动进行相关“补丁”的更新,由此大幅度提升了桌面终端的安全性。这种技术措施需要将客户端安装在企业用户的终端设备上,当终端与企业内网进行连接时,病毒扫描软件便会启动,并对将要接入的终端设备进行评估,通过之后,才能与企业内网连接。
2.3.2 防控体系针对网络黑客的恶意攻击,企业应当构建相应的防控体系,该体系可由以下几个部分组成:能够实时更新的防病毒软件、可以过滤掉不安全信息、邮件及非法网页的网关、入侵检测系统等。
2.3.3 记录与审计企业应当配置日志审计系统,借助该系统对信息安全事件进行收集,进而生成审计记录,据此对安全事件进行分析,并采取有效的措施加以解决处理。
2.4 加强员工信息安全培训
在信息环境下,企业网络信息安全需要凭借全体员工来维护,为此,企业应当加强对员工信息安全方面的培训,借此来增强他们的信息安全意识。为使培训效果最大化,必须保证培训工作的实效性,首先,要做好网络管理人员的技术技能培训工作,可将培训的重点放在网络设备的安装与调试以及软件的配置上。其次,应加大对企业领导层的培训,通过培训使领导层认识到提高网络信息安全的重要性和安全管理体系建设的必要性,以便获得他们的支持,使信息安全管理工作的开展更加顺利。最后,应当加大对网络客户端上用户的培训,培训的重点为实际操作,并在培训完毕后,制定相关的管理制度,要求用户严格执行,从而确保网络信息的安全。
3 结 论
在信息环境下,企业要积极推动管理信息化建设,将其渗透到物流管理、人力资源管理、财务管理等多个管理领域,从而不断提高企业管理效率。与此同时,企业也要认清管理信息化建设带来的信息安全问题,针对信息安全管理的薄弱环节制定有效的管理措施,做好员工信息安全培训工作,保障企业管理信息系统建设的顺利实施,不断提高企业信息化管理水平。
参考文献:
[1]刘晓松,郭玲玲.基于管理因素的企业信息安全事故分析[J].企业经济,2013(1):66-67.
[2]吴志杰.组织环境对企业信息安全管理的影响路径研究[J].江苏商论,2014(7):88-89.
[3]董清.企业信息安全管理现状与管理对策探讨[J].网络安全技术与应用,2014(6):59-60.
[4]王静,郭大亮.集团型企业信息安全管理体系建设思路研究[J].信息安全与通信保密,2014(7):99-100.
企业信息安全管控范文6
关键词:中小企业;互联网;会计信息系统;管理风险
中图分类号:D10.3;F275 文献识别码:A 文章编号:1001-828X(2017)001-000-01
近年来,信息技术的发展推进了企业的变革,特别是互联网技术的飞跃发展,使企业越来越重视对会计信息化的建设。然而对于我国的中小企业而言,由于存在着资金和人才的缺乏,导致企业内部信息化建设进程缓慢,跟不上信息产业的更新,严重制约了企业发展。基于此,本文结合我国中小企业发展特点及企业会计信息化发展规律,剖析了企业会计信息化存在的问题。通过对中小企业会计信息化过程的系统分析来应对会计信息系统的风险管理问题。为解决中小企业发展及企业内部会计管理风险及防范提供了参考。
一、会计控制基本理论与信息化理论
1.会计控制理论
企业内部控制是为了划分会计师审计责任,分为内部会计控制和内部管理控制。内部会计控制概念为:组织规划的所有方法和程序与财产安全的可靠性取得直接联系。包括授权与批准、记录与审核、控制和审计。要正确认识会计控制需掌握内部会计控制的主体、客体、辐射范围及构成要素。与内部会计控制相关关系有内部控制关系、内部管理控制关系、公司法人治理关系、会计监督关系、内部审计关系。其控制目标按内容划分为建立健全企业内部会计控制制度、及时准确查错防弊、财产物资的安全完整、业务活动的健康运行、有效的风险控制、真实完整会计资料、及时有用的会计信息、完善健全的管理制度、真实高效管理效率、落实贯彻国家法规、规范升华职业道德、提高经济效益。
内部会计控制的内容广泛,我国《内部会计控制规范-基本规范(试行)》中列出的内部会计控制方法有:不相容职务相互分离控制、授权审批控制、会计系统控制、预算控制、财产安全控制、风险控制、内部报告控制和电子信息技术控制。本文探讨的是互联网背景下我国中小企业内部会计管理风险问题,因此需要对中小企业特征进行研究。
2.中小企业会计信息化意义
企业的信息化将企业生产过程、资金流动、客户交换等环节通过网络数字化加工,生成信息资源以优化企业生产要素和资源配置。会计信息化是企业信息化的一部分,是网络技术发展下新诞生的名词,是会计与信息技术的融合。会计信息化作为企业决策层在新时期获取信息的渠道,解决了电算化的“孤岛”现象并规范了会计管理程序。使企业的市场竞争力得到提高,是企业信息化成功建设的重要环节。
二、会计信息化风险管理
1.会计信息系统网络化策略
会计信息是中小企业自身决策的主要参考依据。面对激烈的市场竞争,网络化成为企业信息化建设的必然趋势。网络将企业管理进行统一,实现了部门之间的沟通联系,也将会计信息共享到各个部门,实现预算核算一体化。预算由基层部门到决策层部门,层层上报把关,避免了腐败浪费,也防范了会计失真,更加约束了财务从业人员的规范化和合法化。
中小企业会计信息系统网络化策略体现在:⑴集成化:现代企业的管理需要各部门紧密合作,形成团队化管理。会计信息管理系统则实现了“人、财、物、产、供、销”的一体化发展策略。程序的集中管理加强了企业部门间合作,使企业得到合理控制。⑵开放与共享:网络化使财会信息褪去神秘面纱,实现适度开放。使财务走向得到监督,为决策提供有效的参考。⑶安全:数据安全是财会信息网络化的最大隐忧。应健全管理制度与监督体系,多方面保障信息资料安全。⑷软件:租用合适软件达到降低成本的目的,使财会信息系统能够延续运行。
2.会计信息化风险
⑴系统风险:互联网技术的应用使会计信息受益的同时也会因为操作失误或硬件损坏甚至是病毒侵袭使信息造成风险。⑵内部制衡失效风险:在网络背景下大部分非法入侵依然来自于企业内部人员,企业内部的安防依然是会计信息风险的重点防范对象。⑶系统关联方的风险:互联网的开放性导致了企业的合作伙伴、供应商、客户、税务等企业关联单位都有可能非法入侵企业信息系统。⑷网络道德风险:不法分子利用网络自身弱点窃取企业信息。⑸会计数据风险:互联网环境下的财务数据信息的保密工作面临更加严酷的挑战。⑹失效保存风险:信息系统软件的发展更新使信息的录入和保存存在风险。
3.防范措施
⑴会计信息安全措施:做到财务软件多层加密,制定安全管理措施,建立健全会计工作岗位责任制。⑵会计信息系统防护:采用防火墙技术、防病毒技术,及时更新备份系统资料。⑶系统内部控制:建立与时代适应的网络系统实现企业内部控制制度。⑷信息系统外部控制:周界管理-保障信息系统周边区域的安全。访问管理-设置访问口令,检查用户名。电子商务-制定网络商务交往和交易的授权。远程处理-对企业报表、审计等财务行为进行监控。防病毒控制-可有效阻止60%意外发生。⑸完善资料管理:实现会计档案数据的一致性。需保证财务数据在网络的正常传输,数据备份做到数据库备份和纸质档案备份,在企业财务数据量小的时候进行软件的升级与检查。
三、结语
我国市场经济的发展使中小企业面临的竞争压力增大,解决中小企业信息化问题是企业发展的关键。会计信息化作为企业信息系统的重要部分,在网络环境下面临巨大挑战。网络带来开放性和低成本等便利的同时也带来了极大的安全隐患。会计信息化建设需在遵守合理合法原则基础下突破常规进行网络化建设。
参考文献:
[1]叶江虹.我国企业内部会计控制现状探析[J].企业管理,2007(5).
[2]胡晶,魏秀茹.试论中小企业内部会计控制制度的建立[J].农场经济管理,2006(4).
