防范会计信息安全风险
——影响会计从业人员的IT技术演进分析之三
随着国际互联网的广泛应用,电子商务的兴起,数据和信息的安全问题日益突出,怎样保护对企业具有重要意义的数据和信息,已成为企业不可忽视的一个问题。在本次“影响中国会计从业人员的十大IT技术”评选结果中,数据和信息的安全与控制以较高得分名列第三,这充分说明会计信息系统的安全问题已经得到了中国会计人员的高度重视。
信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)。保密性要求对抗对手的被动攻击,保证信息不泄漏给未经授权的人;完整性要求对抗对手的主动攻击,防止信息被未经授权的篡改;可用性要求保证信息及信息系统确实为授权使用者所用;可控性要求对信息及信息系统实施安全监控。
要使信息安全保障系统具有足够的保障能力,就必须具有完善的安全服务和控制机制,如身份鉴别、访问控制、密码加密、完整性校验、防止否认、审计管理、有用控制和应急备份等,使信息系统的攻击者“进不去、窃不走、看不懂、改不了、打不乱、赖不了、跑不掉”, 建立起有效的安全屏障。
信息技术日益广泛和深入的应用,提高了会计工作的效率和效益;但由于信息技术本身的特殊性,会计信息化进程也带来了巨大的信息安全风险。如会计信息系统的数据和信息安全得不到保障,将可能会导致会计信息的失真、企业资产的损失、企业重要信息的泄露以及系统无法正常运行。为全面控制会计数据/信息的安全,会计人员需要改变传统的安全保密观念,根据信息安全技术的要求,在会计信息系统的分析设计、开发、运行和维护工作中充分考虑信息安全需求,将信息安全控制落实到会计工作的每个环节。可以借鉴的措施有:“双口令管理”、“数据双备份”、“重要数据分布式存储”以及“建立审计线索制”等。
学习数据和信息安全与控制技术必须学会制定安全策略,一套好的安全策略应该包括最终用户和系统管理员两个方面。在最终用户方面,应了解员工可以利用计算机设备和应用软件做什么,包括:
● 数据和应用所有权: 帮助用户理解他们能够使用哪些应用和数据,哪些应用和数据是他们可以和其他人共享的。
● 硬件的使用: 加强企业内正在执行的指导方针,规定对于工作站,笔记本电脑和手持式设备的正确操作。
● 互联网的使用: 明确互联网、用户组、即时信息、和电子邮件的正确使用方式。
从系统管理员的角度,应该学习:
● 账户管理: 了解密码配置,以及在需要的时候,如何切断某个特定用户的使用权限。
● 补丁管理: 了解对发布补丁消息的正确反应,以及如何进行补丁监控和定期的维护。
● 事件报告制度: 不是所有的紧急事件都是同样的重要,所以策略里必须包括一个计划,规定每个紧急事件应该通报哪些人。
● 数据备份策略: 了解信息系统的数据备份需求,制定完备的备份策略。
● 灾难恢复策略: 了解当灾难发生时应怎样以最快的速度使系统恢复正常运转。
随着国际互联网的广泛应用,电子商务的兴起,数据和信息的安全问题日益突出,怎样保护对企业具有重要意义的数据和信息,已成为企业不可忽视的一个问题。在本次“影响中国会计从业人员的十大IT技术”评选结果中,数据和信息的安全与控制以较高得分名列第三,这充分说明会计信息系统的安全问题已经得到了中国会计人员的高度重视。
信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)。保密性要求对抗对手的被动攻击,保证信息不泄漏给未经授权的人;完整性要求对抗对手的主动攻击,防止信息被未经授权的篡改;可用性要求保证信息及信息系统确实为授权使用者所用;可控性要求对信息及信息系统实施安全监控。
要使信息安全保障系统具有足够的保障能力,就必须具有完善的安全服务和控制机制,如身份鉴别、访问控制、密码加密、完整性校验、防止否认、审计管理、有用控制和应急备份等,使信息系统的攻击者“进不去、窃不走、看不懂、改不了、打不乱、赖不了、跑不掉”, 建立起有效的安全屏障。
信息技术日益广泛和深入的应用,提高了会计工作的效率和效益;但由于信息技术本身的特殊性,会计信息化进程也带来了巨大的信息安全风险。如会计信息系统的数据和信息安全得不到保障,将可能会导致会计信息的失真、企业资产的损失、企业重要信息的泄露以及系统无法正常运行。为全面控制会计数据/信息的安全,会计人员需要改变传统的安全保密观念,根据信息安全技术的要求,在会计信息系统的分析设计、开发、运行和维护工作中充分考虑信息安全需求,将信息安全控制落实到会计工作的每个环节。可以借鉴的措施有:“双口令管理”、“数据双备份”、“重要数据分布式存储”以及“建立审计线索制”等。
学习数据和信息安全与控制技术必须学会制定安全策略,一套好的安全策略应该包括最终用户和系统管理员两个方面。在最终用户方面,应了解员工可以利用计算机设备和应用软件做什么,包括:
● 数据和应用所有权: 帮助用户理解他们能够使用哪些应用和数据,哪些应用和数据是他们可以和其他人共享的。
● 硬件的使用: 加强企业内正在执行的指导方针,规定对于工作站,笔记本电脑和手持式设备的正确操作。
● 互联网的使用: 明确互联网、用户组、即时信息、和电子邮件的正确使用方式。
从系统管理员的角度,应该学习:
● 账户管理: 了解密码配置,以及在需要的时候,如何切断某个特定用户的使用权限。
● 补丁管理: 了解对发布补丁消息的正确反应,以及如何进行补丁监控和定期的维护。
● 事件报告制度: 不是所有的紧急事件都是同样的重要,所以策略里必须包括一个计划,规定每个紧急事件应该通报哪些人。
● 数据备份策略: 了解信息系统的数据备份需求,制定完备的备份策略。
● 灾难恢复策略: 了解当灾难发生时应怎样以最快的速度使系统恢复正常运转。
上一篇: 中注协:2003年度注册会计师全国统一考试推迟举行
下一篇: 全面解读特许公认会计师(ACCA)考试
相关资讯:
热点专题:
初级会计职称 | 指南 | 动态 | 查分 | 试题 | 复习 | 资产评估师 | 指南 | 动态 | 大纲 | 试题 | 复习 |
中级会计职称 | 指南 | 动态 | 查分 | 试题 | 复习 | 高级会计师 | 指南 | 动态 | 试题 | 评审 | 复习 |
注册会计师 | 指南 | 动态 | 查分 | 试题 | 复习 | 会计基础知识 | 指南 | 动态 | 政策 | 试题 | 复习 |
税务师 | 指南 | 动态 | 查分 | 大纲 | 复习 | ACCA考试 | 指南 | 动态 | 政策 | 试题 | 复习 |