防范會計信息安全風險
——影響會計從業人員的IT技術演進分析之三
隨著國際互聯網的廣泛應用,電子商務的興起,數據和信息的安全問題日益突出,怎樣保護對企業具有重要意義的數據和信息,已成為企業不可忽視的一個問題。在本次“影響中國會計從業人員的十大IT技術”評選結果中,數據和信息的安全與控制以較高得分名列第三,這充分說明會計信息系統的安全問題已經得到了中國會計人員的高度重視。
信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)。保密性要求對抗對手的被動攻擊,保證信息不泄漏給未經授權的人;完整性要求對抗對手的主動攻擊,防止信息被未經授權的篡改;可用性要求保證信息及信息系統確實為授權使用者所用;可控性要求對信息及信息系統實施安全監控。
要使信息安全保障系統具有足夠的保障能力,就必須具有完善的安全服務和控制機制,如身份鑒別、訪問控制、密碼加密、完整性校驗、防止否認、審計管理、有用控制和應急備份等,使信息系統的攻擊者“進不去、竊不走、看不懂、改不了、打不亂、賴不了、跑不掉”, 建立起有效的安全屏障。
信息技術日益廣泛和深入的應用,提高了會計工作的效率和效益;但由于信息技術本身的特殊性,會計信息化進程也帶來了巨大的信息安全風險。如會計信息系統的數據和信息安全得不到保障,將可能會導致會計信息的失真、企業資產的損失、企業重要信息的泄露以及系統無法正常運行。為全面控制會計數據/信息的安全,會計人員需要改變傳統的安全保密觀念,根據信息安全技術的要求,在會計信息系統的分析設計、開發、運行和維護工作中充分考慮信息安全需求,將信息安全控制落實到會計工作的每個環節。可以借鑒的措施有:“雙口令管理”、“數據雙備份”、“重要數據分布式存儲”以及“建立審計線索制”等。
學習數據和信息安全與控制技術必須學會制定安全策略,一套好的安全策略應該包括最終用戶和系統管理員兩個方面。在最終用戶方面,應了解員工可以利用計算機設備和應用軟件做什么,包括:
● 數據和應用所有權: 幫助用戶理解他們能夠使用哪些應用和數據,哪些應用和數據是他們可以和其他人共享的。
● 硬件的使用: 加強企業內正在執行的指導方針,規定對于工作站,筆記本電腦和手持式設備的正確操作。
● 互聯網的使用: 明確互聯網、用戶組、即時信息、和電子郵件的正確使用方式。
從系統管理員的角度,應該學習:
● 賬戶管理: 了解密碼配置,以及在需要的時候,如何切斷某個特定用戶的使用權限。
● 補丁管理: 了解對發布補丁消息的正確反應,以及如何進行補丁監控和定期的維護。
● 事件報告制度: 不是所有的緊急事件都是同樣的重要,所以策略里必須包括一個計劃,規定每個緊急事件應該通報哪些人。
● 數據備份策略: 了解信息系統的數據備份需求,制定完備的備份策略。
● 災難恢復策略: 了解當災難發生時應怎樣以最快的速度使系統恢復正常運轉。
隨著國際互聯網的廣泛應用,電子商務的興起,數據和信息的安全問題日益突出,怎樣保護對企業具有重要意義的數據和信息,已成為企業不可忽視的一個問題。在本次“影響中國會計從業人員的十大IT技術”評選結果中,數據和信息的安全與控制以較高得分名列第三,這充分說明會計信息系統的安全問題已經得到了中國會計人員的高度重視。
信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)。保密性要求對抗對手的被動攻擊,保證信息不泄漏給未經授權的人;完整性要求對抗對手的主動攻擊,防止信息被未經授權的篡改;可用性要求保證信息及信息系統確實為授權使用者所用;可控性要求對信息及信息系統實施安全監控。
要使信息安全保障系統具有足夠的保障能力,就必須具有完善的安全服務和控制機制,如身份鑒別、訪問控制、密碼加密、完整性校驗、防止否認、審計管理、有用控制和應急備份等,使信息系統的攻擊者“進不去、竊不走、看不懂、改不了、打不亂、賴不了、跑不掉”, 建立起有效的安全屏障。
信息技術日益廣泛和深入的應用,提高了會計工作的效率和效益;但由于信息技術本身的特殊性,會計信息化進程也帶來了巨大的信息安全風險。如會計信息系統的數據和信息安全得不到保障,將可能會導致會計信息的失真、企業資產的損失、企業重要信息的泄露以及系統無法正常運行。為全面控制會計數據/信息的安全,會計人員需要改變傳統的安全保密觀念,根據信息安全技術的要求,在會計信息系統的分析設計、開發、運行和維護工作中充分考慮信息安全需求,將信息安全控制落實到會計工作的每個環節。可以借鑒的措施有:“雙口令管理”、“數據雙備份”、“重要數據分布式存儲”以及“建立審計線索制”等。
學習數據和信息安全與控制技術必須學會制定安全策略,一套好的安全策略應該包括最終用戶和系統管理員兩個方面。在最終用戶方面,應了解員工可以利用計算機設備和應用軟件做什么,包括:
● 數據和應用所有權: 幫助用戶理解他們能夠使用哪些應用和數據,哪些應用和數據是他們可以和其他人共享的。
● 硬件的使用: 加強企業內正在執行的指導方針,規定對于工作站,筆記本電腦和手持式設備的正確操作。
● 互聯網的使用: 明確互聯網、用戶組、即時信息、和電子郵件的正確使用方式。
從系統管理員的角度,應該學習:
● 賬戶管理: 了解密碼配置,以及在需要的時候,如何切斷某個特定用戶的使用權限。
● 補丁管理: 了解對發布補丁消息的正確反應,以及如何進行補丁監控和定期的維護。
● 事件報告制度: 不是所有的緊急事件都是同樣的重要,所以策略里必須包括一個計劃,規定每個緊急事件應該通報哪些人。
● 數據備份策略: 了解信息系統的數據備份需求,制定完備的備份策略。
● 災難恢復策略: 了解當災難發生時應怎樣以最快的速度使系統恢復正常運轉。
上一篇: 中注協:2003年度注冊會計師全國統一考試推遲舉行
下一篇: 全面解讀特許公認會計師(ACCA)考試
相關資訊:
熱點專題:
| 初級會計職稱 | 指南 | 動態 | 查分 | 試題 | 復習 | 資產評估師 | 指南 | 動態 | 大綱 | 試題 | 復習 |
| 中級會計職稱 | 指南 | 動態 | 查分 | 試題 | 復習 | 高級會計師 | 指南 | 動態 | 試題 | 評審 | 復習 |
| 注冊會計師 | 指南 | 動態 | 查分 | 試題 | 復習 | 會計基礎知識 | 指南 | 動態 | 政策 | 試題 | 復習 |
| 稅務師 | 指南 | 動態 | 查分 | 大綱 | 復習 | ACCA考試 | 指南 | 動態 | 政策 | 試題 | 復習 |
