您的位置:正保会计网校 301 Moved Permanently

301 Moved Permanently


nginx
 > 正文

法务会计与企业信息安全管理

2008-08-13 15:33 来源:庄学敏

  摘 要:本文对法务会计师为企业信息安全管理提供专业服务的必要性和可能性进行了探讨,并论述了法务会计师在企业信息资产安全管理中的重要作用。

  关键词:信息安全;信息安全管理体系;法务会计

  一、引言

  自20世纪80年代以来,随着信息技术迅速渗透到社会经济的各个领域,尤其是Internet/In tranet技术和电子商务(E commerce)的广泛应用,推动着人类社会从工业经济时代向网络经济时代和信息化社会的方向前进。在这个动态演进的过程中,经济发展越来越需要信息的支持,信息已成为经济发展的战略资源和社会管理的基本要素。

  企业的信息化建设对于企业发展具有重要的战略意义。对信息的采集、共享、利用和传播成为决定企业竞争力的关键因素。只有实现信息化,企业才可能实现企业生产经营活动的运营自动化、管理网络化、决策智能化,从而理顺和提高企业的管理水平,提高设计效率,降低企业的库存,节约占用资金,降低生产成本,改善职工的工作环境,缩短企业的服务时间和提高企业的客户满意度,并可及时地获取客户需求,实现按订单生产。

  但是,信息化也使企业同时承受着巨大的信息安全的风险。据统计,全球平均20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损失。我国公安机关2002年共受理各类信息网络违法犯罪案件6633起,与上年相比增长45.9%,其中利用计算机实施的违法犯罪5301起,占案件总数的79.9%.而病毒的泛滥,更让国内众多企业蒙受了巨额经济损失。加强信息安全建设,已成了目前国内外企业迫在眉睫的大事。

  二、信息安全和信息安全管理

  根据国际标准化组织(ISO)的定义,信息安全是“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。

  信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。信息安全的目标就是要保证敏感数据的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)[1].为了达到这个目的,人们建立起信息安全管理体系(InformationSecurityManagementSystems)。它是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的系统,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。

  在信息安全管理体系中,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等建立起信息安全管理框架。在该体系中,人们在技术层面作了许多卓越而富有成效的工作来保障企业信息安全,如密码学和访问控制等。但仅仅依靠技术手段不可能彻底解决信息安全问题。这是因为,信息以及信息用户的社会属性决定了信息安全中存在非技术因素,而从属于非技术因素的问题,无法依靠单纯的技术手段加以解决[2].非技术手段主要包括法律手段、经济手段和行政手段等,在市场经济环境中,企业应首选法律和经济手段来保护信息安全。

  三、法务会计师在企业信息安全管理中的作用

  信息及信息用户的社会属性使得法务会计师为企业提供专业服务成为必要,而法务会计师独特的知识结构和专业经验使得其在企业信息安全管理发挥其独特作用提供了可能。根据信息安全风险的成因,法务会计师可以因地制宜地制定相关对策。当前威胁企业信息安全的主要成因是:

  1.技术风险。主要包括信息电磁化风险和系统及软件风险。在网络环境下,企业的各种票证和帐单等以人眼无法直接辨别的电磁信息的形式在网上传递并存储于磁性介质中,在传递及存储过程中均有被攻击者篡改或截获的可能。

  2.人员风险。由于企业中负责具体业务的人员并不一定熟悉计算机操作,因此在系统使用过程中极有可能出现由于人员操作不当而造成的意外损失。而由于系统管理涉及企业重要机密,操作人员是否会利用职权之便对信息进行破坏或剽窃也是企业管理者应该关注的重要问题。

  3.法律风险。网络的出现和广泛应用对传统社会产生了强烈的冲击,旧有的法律法规体系已不能完全适应、指导和规范网络安全的实践。网络本身的虚拟性、实时性、广泛性要求更加切实可行,更加完备的标准准则和法律法规的出现。

  现阶段,面对信息安全的威胁,企业缺乏有力的系统性的对应措施和策略,基本处于“头痛医头、脚痛医脚”的状态,解决方案手段单一,缺乏多种手段的共同治理。很多组织已经越来越意识到要真正达到信息安全的目标仅仅通过信息安全技术和产品是不可能实现的,结合法律、制度等社会性手段的信息安全管理体系(ISMS)的搭建才能实现信息系统的整体安全保障。因为,很多企业信息资产安全管理方面除了存在信息安全技术薄弱方面的原因外,还存在如下一些问题如,信息安全管理制度过于简单,内容不全;交叉重复,混乱无章;求大求全,无针对性;锁在柜中,无人问津;以及制度执行中的人为破坏等等。

  建立包含技术和法律等手段的多层面的信息安全管理体系可以强化员工的信息安全意识,规范组织的信息安全行为,对组织的关键信息资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;使组织的商业伙伴和客户对组织充满信心,提高组织的知名度与信任度。因为信息安全事关企业信息资产和业务安全,需要通过法制渠道满足企业在电子商务和管理环境中维护竞争优势的需要,法务会计师可以充分利用其在法律和会计信息管理方面的优势,为企业建立有效的信息资产保护计划提供有价值的服务,并依法追究相关组织和人员的责任。

  我们可以根据企业信息资产风险要素链,即使命—资产—资产价值—脆弱性—威胁—事件—风险—残余风险—防护需求—防护措施[3]进行延伸,根据不同企业自身的特点,对企业的信息风险—价值链进行分析和调整,如资产/业务—威胁—防护措施—风险,资产—资产价值—威胁—脆弱性—防护需求—防护措施—风险,等等。这样,法务会计师可以在企业的信息风险—价值链中找到自己所提供服务的着力点,在IT化环境中为维护企业信息资产安全,减少和消除信息安全风险发挥自己独到的作用,从资产的分析评价、漏洞的分析评价、发生的事件(日志)等出发,以法律、法规和制度为边界,对信息资产的风险和价值进行分析计算,检查和测试企业的信息资产的安全程度,对企业信息系统进行风险监控,并为潜在的或实际的电子企业纠纷提供专家分析。

  在企业信息风险———价值链中,最重要的是对信息资产安全的管理,维护信息资产的价值不受损害。信息资产管理的主要任务是定义核心信息资产,并且分析应用环境中可能存在的风险。企业信息资产主要包括硬件(如服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端、打印机等整件设备以及主版、CPU、硬盘、显示器等散件设备等)、软件(如源代码、应用程序、工具、分析测试软件、操作系统等)、数据(如软硬件运行中的中间数据、备份资料、系统状态、审计日志、数据库资料等)、文档(如软件程序、硬件设备、系统状态、本地管理过程的资料等)和消耗品(如软盘、磁带等),等等。法务会计师可以通过信息资产安全风险评估,明确存在风险的关键业务资产和业务流程,协助企业业务人员和管理层对核心信息资产及其风险程度进行确认,全面权衡实施控制措施的支出与安全故障可能造成的业务损失,对企业信息资产安全管理的方向和目标提出建议。

  参考文献

  [1]陈福莉,谭兴烈。信息安全管理平台及其应用[J].信息安全与通信保密,2006(12)

  [2]郑林。信息资产的风险管理[J].中国计算机用户,2004(26)

  [3]国务院信息办。中国信息化发展报告2006[EB/OL].http://www.ciia.org.cn/

  [4]国务院信息办。中国信息化发展报告2005[EB/OL].http://www.ciia.org.cn/