緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇外審員信息安全,愿這些內容能夠啟迪您的思維,激發您的創作熱情�,歡迎您的閱讀與分享��!
篇1
隨著中國國際航空股份有限公司(以下簡稱“國航”)信息系統建設的飛速發展�,在2008年北京奧運會的安全保障工作中��,安全不再只是空防安全和飛行安全,信息安全也已經成為奧運安保的重要環節��,并被納入國航及信息管理部的年度重點工作之中����。
在此背景下,國航與IBM公司合作啟動了信息安全規劃咨詢項目�,它旨在為國航信息安全體系建設打下堅實的理論基礎�����。同時,國航也通過該項目完成了未來3~5年信息安全建設的發展規劃��,建立了信息安全管理體系���,并最終于2009年5月26日通過了ISO27001信息安全管理體系國際認證�,使國航成為國內民航業第一家獲得IS027001國際認證的單位。
與飛行安全一樣重要
由于信息化建設已經深入到國航業務的各個角落�����,所以����,幾乎所有業務都與信息技術相關��,特別是涉及到客戶信任度的商務及財務方面更是如此。因此,在國航未來的發展戰略中�,信息安全已經占據了越來越重要的位置?�,F在,公司上下已經形成一個共識:打造信息安全管理體系這張保護網,就像確保飛行安全一樣重要���。
基于這樣一個共識�,我們從國航的業務愿景出發,引導出了國航的信息安全愿景�,即國航需要建立起一個成熟的��、具備國際水平的信息安全保障體系,這個保障體系第一要保證國航的核心業務不中斷��,第二要保障國航信息系統不被攻擊��,第三要保障重要的客戶信息不被泄漏����,通過一個全方位的安全保障體系為國航的業務愿景保駕護航��。
雖然現在已獲得了ISO27001國際認證�,但國航的信息安全建設經歷了一個漫長的過程��,大致可以分為四個階段:
第一個階段是在2006年以前�����,當時信息系統對于國航的支撐力度相對有限,同時從整個業界來看��,的安全威脅還不是很明顯�,所以,信息安全建設的特點是以零星建設和被動建設為主��。
第二個階段是2007~2008年�,隨著國航核心系統逐步投入運行,以及北京奧運會的臨近�,的安全風險不斷增加�,這是��,國航開始針對性地對重點領域搭建技術防護措施�����。
第三個階段是從2008年開始,隨著國航對自身信息安全認識的不斷深入���,國航按照Is02700 L的標準�����,建立起了信息安全的管理體系��。同時,還啟動了全面的信息系統戰略規劃,根據國際最佳實踐并結合國航的特色�,制定了未來3~5年信息安全技術平臺建設的藍圖和路徑��。自此,國航整個信息安全建設有了一個更加科學和更加明細的路線圖。
搭建“安全翹翹板”
整體而言����,國航的信息安全體系主要是以IT基礎架構和安全技術架構為基礎��,通過信息安全組織與人員對業務邏輯的準確理解和制度流程的有效執行,實現完整的信息安全管理過程。
應該說,信息安全體系是一個非常復雜的體系����。業界有個說法叫“安全翹翹板”��,這個翹翹板主要是在IT基礎結構的基礎上,包括三方面內容:一是技術平臺��,二是組織和人員��,三是制度和流程�����,通過這三方面的有效執行,從而構成信息安全體系�����。另外,還要加上安全的管理架構和技術架構�,最后和業務邏輯結合起來�����,這樣才能構成一個完整的信息安全體系�。
目前,依據ISO27001標準,國航建立了包含三個一級方針,三十一個二級規章的信息安全管理策略體系。通過信息安全管理策略體系的建立�����、北京奧運會期間的整改措施以及1S02700I外審督促���,國航的管理體系評測水平不斷提升����,其中體系評價范圍從運行維護中心到全信息管理部,IS027001中要求的十一個領域都有大幅提高。
在技術平臺建設方面,國航針對一些緊迫性問題做了針對性的部署��。比如網絡安全架構不清晰��、來自互聯網的威脅日益增加���、防護能力偏弱��、用戶行為控制存在漏洞、系統服務器安全性不足等問題,國航不但劃分了安全領域����,還部署了防DOS攻擊���、入侵檢測���、入侵防御等設備���,另外�,在重點用戶單位引入終端安全管理����,利用弱點掃描工具發現系統漏洞等技術措施��,配合各項管理措施��,很好地完成了北京奧運信息安全保障工作。
在信息安全管理體系建立過程中����,國航還特別成立了公司級的信息安全管理委員會���,落實了信息安全管控中心職能����,借鑒國際最佳實踐的功能劃分�����,采用兩級管控機制����,在對組織機構不做大調整的情況下落實了安全管理責任�。
國航ISO27001信息安全管理體系策略文件于2008年底正式,并組織了近200人次的信息安全培訓�,采用自評結合復核為主的審查方式定期對體系文件的貫徹和執行情況進行了解���。通過內部認證培訓�,培養了專兼職質量安全員34人����,以承擔未來各部門的安全內審職責。
納入安全運行標準體系
正如國航副總裁賀利所說���,通過ISO27001國際認證�,并不代表國航的信息安全工作已經做到位,而是意味著信息安全工作開始起步,后面需要完善的工作還有很多�。
因此接下來����,國航首先將不斷對現有管理體系的操作細則進行完善,進一步細化信息安全管理域成熟等級評價機制����,在IBM公司提出的四級評價基礎上��,針對國航實際情況再進行細分,持續強化規章的定期評審機制�,同時要求所有部分在編寫自身業務指導書時落實信息安全規章��。
另外,信息管理郝還將和國航相關部門一起建立基于崗位信息資源的管控機制�����。以后國航每一個崗位上的工作人員�,可以訪問什么樣的內容,能夠訪問多大的資源����,都和崗位密切結合起來�,這樣就能使信息安全的控制預先做好相應的防控����。
在技術平臺方面,國航將依照既定的信息安全建設規劃���,在未來三年內,分步在用戶身份與信任憑證管理�����、訪問控制���、信息流控制�、完整性保護�、安全監控與審計五大安全服務領域增加功能組件,建立起符合國航的、完整的信息安全技術平臺�。
篇2
杭州帕拉迪網絡科技有限公司(簡稱帕拉迪)從金融行業的實際信息安全需求出發�����,充分吸收近年來信息系統安全保障理論模型和技術架構(如IATF等),全面參考《信息安全等級保護基本要求》��、《銀行業銀行機構內部審計指引》����、《商業銀行信息科技風險管理指引》等相關指引及法規要求,結合帕拉迪多年的攻擊防護經驗����,為金融行業提供IT運維的統一安全管理與綜合審計解決方案���。該方案主要解決金融機構信息中心運維管理面對系統復雜性����、網絡安全性��、IT內控外審等而產生的相關問題��。這一方案實現了按照行業標準進行金融機構的精確管理、實時監控和警告、事后追溯審計等�����,為管理人員的運維和決策提供了有效的技術手段���。
金融IT內部的運維風險
1. IT內部對服務器的維護和管理依賴于操作系統的口令認證���,口令易被轉授����、窺探以及遺忘等弱點��,以及授權不方便等問題造成管理困難�,成本較高。
2. 第三方廠商技術支持人員、項目服務商等在對內部核心服務器�、網絡基礎設施進行現場調試或遠程技術維護時�,無法有效地記錄其操作過程和維護內容����,核心機密數據容易泄露或遭到惡意破壞。
3. 研發部門在系統上線運行后,經常會通過普通的權限登錄系統分析軟件查看問題�����,從信息安全角度考慮��,這些查詢過程必須留有記錄���。
解決方案技術優勢
1. 獨創的數據庫運維操作審計平臺��,覆蓋主流商業數據庫的企業應用和運維操作。
2. 支持RDP圖形實時文字識別和文字提取功能。
3. 帶來無縫應用的用戶體驗��,所有應用均可本地化展示����。
4. 提供文件傳輸內容審計記錄。
5. 契合金融行業安全的三級會同功能(接入會同、密碼會同��、命令會同)���。
解決方案部署收益
1. 規范運維管理��。建立統一安全管理和綜合審計平臺,統一入口��、統一認證�����、統一授權���、統一審計����;用戶可以在平臺上基于權限進行訪問控制��,提高了系統安全性�����,同時減輕了管理員工作壓力,提高了工作效率����,確保管理制度的順利實施�。
篇3
關鍵詞:信息安全����;網絡安全危脅;安全防護系統
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)26-6245-03
計算機網絡技術迅猛發展�����,各發電企業信息化網絡日漸普及����,成為了企業科技化管理的重要手段�。通過對數據的集中、共享�����、處理使得信息系統為發電企業生產經營����、安全生產等各方面提供了巨大的科技支撐。但同時伴隨出現的病毒蔓延�����、不良黑客入侵、流氓軟件等多方面問題成為了不得不面對的問題��,同時對發電企業的安全生產也形成了巨大的威脅����,以此進一步加強發電企業信息化安全是在信息化建設初期首要考慮的問題。
1發電企業面臨的網絡安全威脅
因為信息網絡的互通性�,發電企業信息化威脅�����,既有可能來自本企業內部,也同時可能來源于外部��。其內部威脅主要來自于員工����、各信息系統管理員等,根據統計��,網絡安全破壞活動近80%來自于競爭對手�����、任何惡意的組織和個人。主要表現的安全威脅為:
1)截獲用戶標識:截獲標識指以非法手段取得合法用戶的身份信息�����,主要是用戶的帳號和密碼�,這是絕大多數發電信息系統采用的認證防護措施。如果侵入者得知了某位合法用戶的帳號和密碼,即便該合法用戶并未被賦予其他的特權��,也有可能威脅整個系統的安全�����。如果帳號�����,特別是密碼,被以明文的方式由信息網絡傳遞,侵入者通過安裝協議分析軟件對網絡通信進行監視���,則可以輕松獲取。如果密碼通過明文格式保存在用戶的計算機的內存或者硬盤中,侵入者更能夠有方法發現并利用這些密碼,同時如果密碼很簡單(如手機號碼、用戶生日�、私家車號牌����、用戶姓名等)���,更加容易被侵入者通過軟件得知��,在網絡上大肆傳播的黑客工具都是通過幾種常用習慣的詞典來獲取用戶密碼�。
2)偽裝:當未通過授權的用戶假扮成具有合法授權的用戶�����,登錄發電信息系統時就形成了偽裝。當未通過授權的用戶經過偽裝成信息系統管理員或者具有信息管理超級特權的有關用戶時���,截獲用戶標識的情況是威脅最大的。應為侵入者已經獲取了某位合法用戶的標識�,或者因為侵入者已經使信息系統相信其擁有另外的而實際上并不存在的權限�,所以偽裝是很容易出現的��。網絡地址欺騙實際上就是偽裝的一中形式��,侵入者通過一個合法的IP地址,然后通過此地址截獲已被授予該合法地址的系統或者是服務器訪問權限�����。
3)非授權操作:非授權操作使用信息系統或者資源時��,信息網絡安全就受到了極大的威脅��。例如,企業的發電數據和財務數據有可能被未經授權的侵入者���,非法修改并利用。
4)病毒:病毒是伴隨計算機技術產生���,能夠通過不斷自我復制�����,大范圍傳播,對計算機、信息系統及其數據產生極大破壞的程序。因為病毒具有的隱藏性和可變異性����,使得廣大用戶無法防范�����。據有關資料調查�,99%的企業或者個人受到過計算機病毒的感染,63%的數據和系統損壞來源于病毒�����。給受害企業或個人帶來巨大的時間和人力資源的浪費����,同時重要數據文件的丟失和損壞是無法用金錢來衡量的。
5)服務拒絕:通過向發電企業信息化系統發送大量的請求或者垃圾數據����,使得服務器的資源被大量占用�,直至資源耗盡����,使其達到無法繼續提供正常服務或者服務器崩潰的目的。在發電企業信息化系統中����,這樣的攻擊可能造成重大的安全威脅��。
6)惡意程序代碼:伴隨著可自執行的計算機程序與WWW站點的集成,惡意程序代碼通過Microsoft ActiveX控件或Sun Java程序的大量使用形成了極大的安全威脅���。
7)特權濫用:信息系統的超級管理員故意或者錯誤地通過對某系統的特權來獲取其不應獲取的敏感數據。
8)誤操作:信息系統超級管理員���、業務系統管理員、一般用戶等因對技術方面熟練度不高�,操作時的失誤����,引起對信息系統安全性�����、完整性和可靠性的損壞。
9)權限變更:一般用戶利用信息系統的漏洞提高其用戶等級,以獲取未經授權的系統權限�����。
10)后門:信息系統研發人員出于故意或者為了日后維護便利在信息系統中設置的專用通道��,使用其可以不受企業信息系統安全措施的控制���。經常被人為利用控制����、破壞正常運行的系統�。
11)系統研發中的錯誤和調試不全:其包含對有關數據不進行充分的檢查、對系統的邏輯運行定義不準確,同時這些錯誤和不完善沒有通過大量的�、齊全的系統調試檢查出來���,有可能在運行中導致數據被錯誤生成且引入信息系統�����,破壞了實際數據的準確性。
12)特洛伊木馬:它通過提供一些有價值的或者僅僅是有趣的功能����,在用未經用戶許可的情況下拷貝文件�����、竊取用戶的帳號和密碼����、發送用戶的重要資料或者破壞用戶系統等���。木馬程序是一種常見的危害性較大的威脅���,由于其不易被發現��,在一般情況下,它是在二進制代碼中被發現,且大多數后綴名都為無法直接打開的文件����,其特點與病毒有許多相似的地方�����。
13)社會工程共計:主要是的是攻擊者利用人的心理活動進行攻擊,其無需采用高深的科技手段����,同時無需入侵系統來完成��。僅需要通過向特定用戶了解帳號和密碼,達到其獲取數據或者信息系統訪問權的目的。絕大多數情況下、攻擊者的主要目標是企業的辦公室接待員、行政或者技術支撐人員����,通過對這些類別的用戶通過電話���、EMAIL或者聊天工具等方式即可完成攻擊����。
2發電企業信息化情況(以五大發電集團某下屬發電公司為例)
2.1信息化網絡狀況
圖1
2.2信息化系統狀況
1)財務及資產管理(簡稱:FAM)系統����,是集中部署的核心應用系統,涵蓋電廠財務核算、費用報銷、資金計劃����、物資采購、庫存管理�����、物資計劃�、超市管理、合同管理��、缺陷管理���、檢修管理�、設備維護等功能模塊。
2)OA辦公自動化系統����。實現下屬企業以及與集團公司間收發文交互�、內部收發文管理�����、郵件及通訊目錄功能�。系統還提供了值班管理�、督察督辦、會議管理����、車輛管理����、辦公用品等行政辦公管理功能��。
3)PI實時信息系統:本系統采集����、存儲DCS系統����、電能量、環保系統等實時運行參數�����,除滿足電廠對實施信息的管理需求外�,還將有關數據實時傳送集成到集團公司實時系統、集團公司生產與營銷實時監管系統��。
4)電廠多業務管理平臺�。系統包括運行管理、計劃管理���、生產統計、班組管理�����、標準制度���、政工管理�、監審管理、合理化建議等功能�����,其中統計���、政工���、監審等模塊實現了與集團公司層面相應管理模塊的系統集成�。
5)安全管理平臺:功能包括安全信息���、安全報表�����、安全檢查���、工作票�、操作票等管理�����。
6)公司MIS系統:本系統不僅作為下屬企業所有管理信息系統入口門戶�����,還提供了項目申報、生產日報、人力資源、融合機制管理��、培訓考試����、安全認證管理、靈活報表等應用功能。
7)檔案管理系統:本系統由集團公司統一實施,各單位檔案系統建設須按照集團公司統一規劃,以便于OA系統統一接口�、版本升級�、技術培訓等���。
8)網站系統由各下屬企業自主建設和運維管理���,界面設計須符合集團公司VI視覺識別系統標準���,內容�、運維管理遵照公司和集團公司有關規定和要求�,嚴格執行安全保密等有關規定。
3發電企業網絡安全防護設計方案
發電企業信息安全體系機構由網絡安全防護、數據備份和恢復�、應用系統安全�����、信息安全管理等幾部分組成����。
3.1網絡安全防護
3.1.1系統安全域防護
將企業信息系統通過網絡安全域的形式�����,分為服務器�、用戶兩個安全域����,同時劃分多個二級安全域,主要為生產信息系統、財務系統、系統管理員���、一線生產班組、普通用戶等。
3.1.2網絡的高可靠性
1)企業核心網絡設備采取雙機互為熱備形式��,兩臺中心交換機設備通過雙鏈路互聯���;接入層與核心層也通過雙鏈路互聯��。
2)重要用戶安全域通過雙鏈路與企業核心交換連接����,進一步保證其鏈路的可靠性�。
3)企業核心業務系統服務器也必須通過雙鏈路接入核心層。
3.1.3防病毒
1)企業管理信息大區按照要求統一部署防病毒系統,采用國內知名品牌網絡版�����。安全區一��、二與三區各自擁有自己的防病毒服務器。
2)對管理信息大區的服務器��、終端用戶��,強制按照規定部署統一的可網管的防病毒產品����。
3)在互聯網接口部署防病毒網關����,以防其從外部傳播到企業管理信息大區。
4)注重防病毒管理��,保證病毒特征碼得到有效的更新�����,通過查看病毒軟件的歷史記錄�����,了解病毒威脅情況并積極應對。
3.1.4防火墻
在位于內外網接口處部署防火墻一臺��,采用高性能硬件防火墻�����,國內知名品牌�,具有雙安全操作系統�����;可以提供對復雜環境的接入支持,包括路由����、透明以及混合接入模式��;具備防火墻、IPSEC VPN,SSL VPN����、防病毒����、IPS等安全功能。
3.1.5入侵檢測系統
在核心層部署一個入侵檢測的探頭�����,保證入侵檢測系統能夠及時發現有關威脅�。
3.1.6主機安全加固
發電企業的關鍵應用系統(如生產營銷實施監管系統、財務系統)的服務器����,采取定期安全加固的形式�。形式包括:定期檢查安全配置��、安全補丁����、加強服務器系統的訪問控制能力等���。
3.2備份與恢復
對于關鍵應用系統�����,必須采用每天定期備份,同時人工每月全備份一次。備份的數據必須采用異地存儲的形式����,且需做到專人定期檢查����,防止遺漏���。
3.3應用系統安全
管理信息大區中的發電企業應用系統應著重確保其安全性能夠得到保證�。其主要安全建設內容包括:對系統的訪問控制、用戶帳號密碼及權限管理、操作審計管理、數據加密管理��、數據完整性檢查等�����。
3.4信息安全管理
1)通過成立企業信息化領導小組�����,加強信息工作包括信息安全工作的整體管理;
2)通過制定信息網絡管理制度及各級安全防護策略��;并通過正式公文下發���,嚴格執行�。
3)通過設立專業的信息管理人員和成立涵蓋各業務部門的兼職信息員,形成覆蓋全面的信息化安全管理網絡。
綜上所述�����,發電企業網絡信息安全是一個系統工程�����,不能僅靠殺毒軟件、防火墻�����、漏洞掃描等硬件設備的防護�,還要意識到計算機網絡系統是一個人機系統,在建立以計算機網絡安全硬件產品為基礎的網絡安全系統的同時�����,也應樹立各個用戶的網絡信息安全意識才能防微杜漸���,構建一個高效���、安全的網絡系統�����。
綜上所述�����,發電企業信息安全是一個系統工程�����,不僅需要入侵檢測系統、防火墻等硬件安全設備,同時還要注意信息系統是一個廣泛使用的人機互動系統����,必須通過系列的安全管理措施和規章制度����,進一步強化各級用戶的信息安全意識��,做到信息安全人人有責、信息安全從自我做起�,才能構建起一個高效�、安全的企業信息化網絡��。
參考文獻:
篇4
巧合的是����,當天有媒體報道了我國30省份至少有275位艾滋病感染者個人信息遭泄露的事件�����。犯罪分子在詐騙電話中能準確地描述出病患的個人信息���,包括真實姓名���、身份證號�、聯系方式�����、戶籍信息��、確診時間、隨訪的醫院或區縣疾控等等���,并謊稱能為病患辦理補助而需要收取不菲的手續費。中國疾病預防控制中心相關負責人于7月17日表示���,國家艾滋病感染者相關信息系統被列為國家網絡信息重點安全保護對象,目前已經報案����,將積極配合公安部門盡快破案。此事還引起了世界衛生組織駐華代表處和聯合國艾滋病聯合規劃署駐華代表處的關注。7月18日,兩家代表處聯合發表聲明�����,強調“加強現有系統以杜絕類似信息入侵事件再次發生�,至關重要”。
國家對于健康醫療大數據的安全十分重視,據統計���,《意見》中,“安全”這個詞出現了33次。而此次疑似真實發生的醫療數據安全事件�����,成為“安全是核心基礎”的最佳注腳����。
他山之石,可以攻玉
――英國健康醫療數據安全的審查和建議
不止我們����,許多其他國家也發生了一系列事件�����,向全世界宣告了他們對健康醫療數據安全的關切���。在英國��,國家醫療服務體系(National Health Service, NHS)于2016年7月6日做出停止care.data健康醫療大數據平臺的決定中����,“安全”即是重要原因之一。
在很大程度上,NHS決定關閉care.data�,是基于7月6日的兩份評估報告��。第一份報告《安全的數據,安全的醫療》(“Safe Data, Safe Care”)由英國醫療質量委員會(Care Quality Commission,CQC)��。醫療質量委員會是英格蘭健康和社會醫療的獨立監管機構�����,其職責是監控�、檢查和評價醫療服務����,促進醫療服務符合標準規范以保證其質量和安全。作為獨立第三方,CQC經常地區�����、國家級的健康和社會醫療質量報告��。2015年9月��,受英國衛生大臣委托,CQC對NHS處理病人敏感數據過程的安全現狀進行審查,并提出改進數據安全的建議��。
第二份報告《對數據安全��、同意和選擇退出的審查》(“Review of Data Security�, Consent and Opt-Outs”)是由英國“國家健康和醫療數據守護者”(National Data Guardian for Health and Care�����, NDG)�。2015年9月�����,英國衛生大臣也委托其與CQC緊密合作,共同提出新的數據安全標準���、測評數據安全合規的新方法,以及獲取同意共享數據的新模式���。在英國,NDG由衛生大臣任命�,其主要職責是確保公眾能夠信任醫療健康系統將保護個人信息��,以及個人信息將被用于提高健康醫療水平。
CQC和NDG在對533起數據安全事故調查后發現����,大多數事故與紙質的醫療記錄相關�,且80%到90%的數據安全事故是因為工作人員的習慣無意之中引起的�����,比如點擊了不安全的鏈接�、丟失了存儲數據的介質等����。但是隨著醫療信息系統的普及、數據的逐步集中化及對公眾開放訪問入口���,如果不提升安全防護水平,更嚴重��、更大規模數據泄露的風險將會增加����。綜合CQC和NDG的報告,英國NHS數據安全工作中存在以下問題:
首先�,雖然很多機構都建立了數據安全方面的策略與規程��,但并沒有在日常工作中得到有效實施����,很多機構只依賴策略和規程���,而不是通過檢測驗證系統是否足夠安全�����,也未要求其供應商也遵循同樣的管理措施。
其次�����,NHS的絕大部分工作人員認可數據安全的重要性�,但是培訓質量參差不齊,有些機構培訓覆蓋面不夠�,未涉及合同商�、數據共享方�、臨時員工等,有些機構未將安全事故經驗作為培訓內容的重要參考�。
再次���,機構往往不清楚如何從目前存在的大量安全標準中選取合適的參考��,許多機構很少去學習其他機構保護數據安全的做法,也很少請外部第三方機構做專業的安全測評��。
針對上述問題���,CQC和NDG提出的建議簡要概括如下:第一��,每個機構的領導應該明確數據安全的責任人和其職責�,類似于組織醫療事務和財務的管理和問責制度�����,包括建立有效的內審機制�����,必要時進行外審以驗證安全措施有效性�����,對惡意類數據安全事件進行嚴厲處罰等���;第二�����,所有的工作人員應該獲得足夠的資源,包括正確的信息、工具�、培訓等�����,以便于他們履行數據安全處理和共享的職責;第三,IT系統和所有的安全協議都應該按照實際的病人治療過程和一線工作人員的需求進行設計;第四����,應該按照新的數據標準要求設計自評估系統����,并選取優秀的案例供其他機構進行同步學習�����;第五���,NHS應該修改通用財務合同模板�����,確保各機構能夠落實數據安全標準,地方機構和供應商簽署的合同也應有相應的條款,當供應商無法滿足安全要求時不應與其續簽合同��。
雖然NHS以及care.data計劃在數據安全管理方面受到詬病���,但從以上審查結果中不難看出����,英國作為健康和醫療大數據集中應用的先行者,已經在數據安全方面做了很多有價值的工作,比如配套的法律法規��、標準規范�,任命了專門的數據保護官員,建立了獨立的監管和審計機構,建立了數據安全風險管理的信息系統等。
但是��,由于健康和醫療數據的高度敏感性�����,對其進行集中存儲和管理后��,一方面會引起惡意人員的高度關注,另一方面一旦發生數據泄露其影響面非常廣,對于每個病人來說其后果很難挽回�;因此����,健康醫療數據的安全工作可謂難上加難���,即便英國具備一定的基礎����,其數據安全治理也未在一開始取得理想的效果,但從近期頻繁的安全審查中可以看出,英國政府建立的數據安全監督機構、數據保護官等正在發揮積極作用,正視已出現的問題并提出注重實效的解決方案���,以重新贏回公眾的信任���。
善治病者���,必醫其受病之處
――我國健康醫療數據安全形勢嚴峻
早在2013年底�,國家衛生和計劃生育委員會就了《關于加快推進人口健康信息化建設的指導意見》,提出在“十三五”期間將大力推動全國人口健康信息大平臺的建設�。從安全需求上來說���,這個信息平臺一是將承載全國13億公民的人口��、健康、醫療等隱私信息����,數據保密性要求高��;二是將提供公民個人醫療保障、診療等信息化服務不能中斷����,業務連續性要求高�;三是將為國家衛生計生行業未來發展提供決策依據���,信息容錯率要求高���。然而目前����,我國在健康醫療數據安全保障方面情況堪憂,行業整體安全態勢趨于嚴峻����。主要問題包括:
首先,行業合并導致底數不清��。衛生���、計生行業合并時間并不算太長�,業務層面的整合已初步實現,但數據層面的整合尚屬起步階段�����,在實際執行過程中易滋生死角盲區。從網上已公開的醫療行業信息安全事件中不難發現����,絕大多數安全事件的第一步突破點來自于安全管控體系的“法外之地”���。
其次��,行業信息安全人才與經費保障缺口較大。據不完全統計��,醫療行業2015年整體信息化建設資金超過300億�,但信息安全投入不足6億,占比不足2%�����,而對于有較高安全保障要求的行業���,安全占比普遍超過10%���;在人才隊伍方面�,專業信息安全從業人員嚴重缺失,許多機構甚至出現“身著白大褂的大夫在看病之余兼職管安全”的狀況��。
再次�,缺乏具備行業特色的信息安全指導框架。健康醫療行業特殊性較高����,目前行業雖然已推行國家信息安全等級保護要求,但尚未建設具備行業業務特點的信息安全保障體系,也沒有專門的行業信息安全技術標準����,不利于有針對性地開展安全防護工作����。
第四�,行業網絡涉及面廣,不易管控。我國醫療衛生機構總數已超百萬�����,以藥品方面為例���,我國有6000多家化學制藥企業�,藥品經營流通企業17000多家,而作為世界制藥大國的美國,才分別為200多家和50多家。超大規模、超復雜接入對構建安全的衛生計生網絡來說��,難度巨大��。
另外��,不易樹立行業信息安全標桿。全國醫療信息化及軟件生產供應商達數百家。以行業龍頭東軟集團為例,其擁有的市場份額不足5%�����,離散化的分布導致安全的最佳實踐無法快速復制推廣���,在現有保障能力下也很難做到“避輕就重”“抓大放小”�。
篇5
關鍵詞:XBRL 審計 影響 應對措施
中國XBRL系列國家標準自2011年1月1日起全面實施,企業會計通用分類標準在美國紐約證券交易所上市的我國部分公司、部分證券期貨資格會計師事務所首先執行����,自此我國已全面啟動XBRL建設。XBRL的應用和推廣將會給財務報告供應鏈各個環節帶來深刻變革����,審計作為其中一環勢必會受到這一變革的深遠影響�����。
一、XBRL對審計的影響
XBRL對審計的影響主要體現在以下幾個方面:
1���、 審計對象范圍擴大
XBRL環境下審計人員首先面對的是鑒證對象在存在形式、結構組成及傳輸形態上的改變����。被審單位財務信息的XBRL文檔可經XBRL格式轉換器轉換得到或由內嵌XBRL適配器的會計軟件�����、ERP系統直接生成����。此時審計人員不僅要關注XBRL財務數據本身的公允性���、合法性����,還應審計包括生成XBRL數據的整個企業會計信息系統可靠性,這使得審計對象范圍擴大。
2����、 審計風險增加
XBRL環境下除了傳統審計風險外�,還包括:一����、XBRL文檔由被審單位企業財務信息系統生成�,審計范圍已不限于財務數據,增加了XBRL生成系統的檢查風險�����;二�����、源自被審單位能否正確運用分類標準�����,標簽與數據的映射是否完整、準確的重大錯報風險��;三�、由于XBRL和企業財務信息系統置于網絡環境中,XBRL實例文檔面臨被非法篡改而導致的安全風險�。
3��、 審計技術改進
隨著XBRL的廣泛應用,XBRL成為審計的強大助力�?��;赬BRL的會計系統審計中���,審計人員可以利用XBRL數據接口采集原始數據至審計數據庫��,變分散數據為數據聚集,利用聚類關聯����、統計分析等數據挖掘方法從海量數據中發現隱含的�����、潛在的規律或蛛絲馬跡�����。數據分析廣泛應用于審計過程中����,而不僅限于實質性測試程序�����。借助XBRL數據庫平臺�,審計人員既可以“下鉆”到被審單位財務信息系統的底層數據�,也可以便利地查閱他人利用已公布的財務與業務數據編制的分析報告。
借助于網絡,審計取證模式實現了審計資料收集與不同企業信息系統的平臺無關性,具有廣闊的適用范圍����。審計人員無需深入了解不同信息系統的具體數據結構即可獲得所需審計證據,減少人工干預,從而提高審計效率和正確性�����。
4����、審計報告模式變革
傳統的審計從企業會計報告完成到審計報告完稿�,往往間隔幾個月,時效性不強���,且往往發生期后事項,須在審計報告中追加披露���。XBRL和網絡技術的應用����,使隨時獲取會計信息成為可能,為實時審計的實現鋪平了道路。從報告內容和結構來看����,現行審計報告對被審單位的預測信息披露較少���,隨著XBRL應用于審計����,審計人員更容易找出企業經營中的“規律”�,對企業經營預測做出可靠的判斷,使事前預測和控制成為可能,未來預測信息及會計事項在XBRL環境下成為審計鑒證的重點之一�。
5�����、對審計人員的全新要求
XBRL對審計人員的素質和知識技能提出了全新的要求。XBRL的實施需要的是跨會計、IT的復合型人才����,審計人員除了要求精通經濟����、財會��、企業管理等多方面的知識�,還需要掌握信息系統應用技術�、數據庫應用技術、互聯網環境下的財務報告和鑒證技術(如XML、XBRL��、XARL)等�����;雖然大部分審計工作可能通過相關軟件工具即可完成,但擁有復合型知識無疑更有利于對審計工作的展開以及業務的擴展升級��。
二����、應對措施
XBRL給審計帶來了新的發展機遇,同時也提出了挑戰�����,面對挑戰需要從技術�����、資源�����、人員素質及理論與法規等方面加強建設。
1�����、 加強軟件開發支持
XBRL數據轉換及生成����、XBRL文檔的審核和管理以及自動分析是審計能否應對新變化的關鍵技術��。相關財務軟件商應大力開發XBRL嵌入式應用的財務軟件,增加ERP或會計軟件的XBRL生成能力��,實現開發���、擴展和管理分類標準���、創建和管理報表����,以及開發網上電子填報至XBRL數字報告生成一體化解決方案的XBRL平臺��。進而將研究重點轉至數據挖掘��、專家系統等方向,從而整體提高審計的智能化應用和整體水平���。
2、 建立基于XBRL的公共信息平臺
該平臺包括公司財務信息��、審計信息�����、稅務信息��、工商信息等,這些信息在統一的數據庫或數據倉庫中相互援引�����,一方面可以實現審計系統與其他監督系統的信息交流�,實現數據共享,發揮數據發掘潛力�,提高審計效率�,降低審計成本�。另一方面也可以組建戰略合作性的審計網絡,強化審計領域的縱向和橫向數據傳輸����,資源共享�。例如普華永道的內部數據平臺可以實現跨界服務���,對來自全球超過7萬5千家上市公司的信息披露文檔進行評估的時候�,其員工能夠快速地獲取����、創建、分享和調整用于分析的模型�����、數據和可視化選項����。可想該技術推廣到整個注冊會計師行業的巨大潛力。
3���、 構建多層次的信息安全體系
XBRL格式信息其所有內容都是以數字形式流通于互聯網上,因此要保證交流雙方進行安全數據傳輸,需要建立安全保障體系。一是要保障數據存儲安全���,建立包括如訪問控制、數據庫安全、防火墻等保障措施���。二是要保障信息通訊安全。可以構建審計機構和被審計單位之間安全的VPN通信網絡,不但提供及時的安全信息交流而且可以大大節約通信雙方的費用���,還可通過該VPN網絡,配置相應的軟件,實現對被審單位的實時監控����。此外��,切實做好XBRL數據庫的備份,以應對網絡環境下內外數據資源和信息系統安全隱患���。
4、 加強人員的培訓和復合型團隊建設
為應對XBRL審計的挑戰,一方面加強人員的培訓工作��,培養復合型人才;另一方面構建復合型團隊���,通過經濟�、財會、計算機、企業管理等多方面人才的通力配合、默契協作,應對XBRL審計需求。
5��、 構建信息系統審計概念框架
XBRL為審計信息化建設搭建了一個平臺�����,然而信息系統審計目前還沒有形成規范理論��,應當從實踐出發,研究XBRL環境下信息系統審計的審計風險、業務流程和智能審計的技術方法����。在理論的指導下結合審計實踐加強計算機審計準則的確立與完善��。例如對xbrl文件和分類標準應用的審計準則、對生成xbrl信息系統的審計準則等。應盡快構建以理論為基礎,以準則為指導的計算機審計概念框架���。
三、結語
可以預見,XBRL的推廣應用將會提高審計效率�����,減輕審計人員工作負荷��,使審計 人員更多地投入對被審單位的深度分析����,提高審計工作的附加價值�,提高審計信息化水平。XBRL的推廣應用為審計智能化、實時化發展提供了良好契機����,只有抓住機會����,應對挑戰���,審計才能在新的環境下提升自身的價值����,向更高更深遠的方向發展����。
篇6
關鍵詞: 網絡財務;安全問題�;對策
中圖分類號:F812.0 文獻標識碼:A 文章編號:1001-828X(2013)02-0-01
一��、網絡財務的安全問題
(一)原始數據的安全問題
傳統會計中的原始憑證因筆跡各異具有可辨認性,因多聯復寫具有相互牽制性�����,難以非法修改���。而在以電子商務為主要內容的網絡會計中�,原始憑證的數據轉變成磁性介質,對電子數據的刪除或修改可以不留任何痕跡��,給原始數據的安全帶來很多隱患�。
(二)會計信息的真實性問題
一方面,網絡財務是一個開放的會計系統��,一些企業內部和外部計算機高手出于某種利益����,故意破壞系統的安全,盜取會計資料�����、篡改會計信息�;財務硬件設施偶然故障���;財務人員操作不當都會造成會計信息的失真�����、缺乏完整���。另一方面��,網絡技術下�,會計信息透明度是非常高的�。其在互聯網上傳播速度非常快����,財務數據的收集及大量經濟業務處理也缺乏有效的確實標識����,這將直接影響會計信息數據庫系統中派生的會計賬簿和會計報表的真實性和準確性�����,從而使網上會計信息的真實性受到質疑����。同時�����,信息使用者和提供者的理解差異都會給企業會計信息帶來失真的風險���。
(三)企業內部控制問題
在網絡財務軟件中,會計信息的處理和存儲集中于網絡系統,大量不同的會計業務交叉在一起��,財務信息復雜�,交叉速度加快,使傳統會計系統中某些職權分工的控制失效。網絡的應用減少了人工輸入環節����,數據訪問和數據交換都通過應用服務器進行�����,網絡數據處理的集中性使得傳統的組織控制功能減弱。網絡計算機集成化處理促使傳統手工會計中制單、記賬���、復核等崗位相互制約關系弱化。原來靠賬簿核對糾正差錯的控制已不復存在,光、電���、磁介質所載信息能不留痕跡地被修改和刪除,從而加大了會計系統安全控制的難度�。
(四)網絡會計人員素質問題
網絡財務需要大批既懂會計又懂管理�;既熟悉電算化知識����,又熟悉網絡知識;既會業務操作,又能解決實際問題的會計人員�。目前相當數量的會計人員的專業知識薄弱��,尚不能適應網絡會計的發展要求。因此,會計人員素質不高也是網絡會計發展中面臨的一個問題。
針對上述問題����,我們應從信息安全����、內部制度和人才應用等幾方面采取相應的措施��。
二�����、對網絡財務發展的對策建議
(一)會計信息系統安全對策
會計信息系統是一種特殊的信息系統�����,它除了一般信息系統的安全特征外���,還具有自身的一些安全特點��。會計信息系統的安全風險是指由于人為的或非人為的因素使會計信息系統保護安全的能力的減弱�����,從而產生系統的信息失真、失竊,使單位的財產遭受損失����,系統的硬件�����、軟件無法正常運行等結果發生的可能性。保障會計信息系統安全對會計信息安全有著重要的意義。
保障會計信息安全的措施有二個方面:一是采用有效安全技術���,網絡財務軟件采用兩層加密技術。為防止非法用戶竊取機密信息和非授權用戶越權操作數據,在系統的客戶終端和服務器之間傳輸的所有數據都進行兩層加密�,確保會計信息的傳輸安全���。二是制定和實施安全管理措施��。根據會計電算化要求,建立健全崗位責任制度、安全日志等相關制度規定����。
(二)內部控制措施
為了保證會計信息的準確性和可靠性,企業應在內部采取必要的控制措施���,來維護網絡會計信息系統的安全。
(1)組織與管理控制���。一是要設置網絡管理中心,由網管中心全盤規劃�,采取措施確保各工作站�����、終端和人員之間適當的職責分離。二是要優化配置人力資源�。制定措施�����,確保人力資源的合理利用。三是要發揮內部審計的作用��。通過內部審計部門對網絡會計系統信息質量進行獨立和公正地監督與評價�,有利于系統內部自我約束機制的建立。
(2)系統開發控制�����。系統開發控制是為保證網絡會計系統開發過程中各項活動的合法性和有效性而設計的控制措施�,它貫穿于系統規劃、系統分析���、系統設計、系統實施和系統運行測試與維護各個階段��。其主要內容包括:第一����,明確開發目標,制定管理計劃���,監督開發質量����,檢查各功能模塊設置的合理性及程序設計的可靠性,提高系統的可審性。第二,利用網絡在線測試功能,檢驗整個系統的完整性,并應對系統抗干擾能力和發生突發事件的應變能力以及系統遭遇破壞后的恢復能力進行重點測試。第三��,一旦發現網絡系統各類軟件可能存在的安全漏洞���,應立即進行在線修補與升級���,并將所有與軟件修改有關的記錄報告及時存儲歸檔����。
(3)網絡系統安全控制。第一,硬件設置安全控制����。應制定網絡計算機機房和設置的管理制度��、崗位職責和操作規程�,嚴格禁止無關人員接觸系統��,關鍵的硬件設置可采用雙系統備份��。第二,系統軟件安全控制�。嚴格控制系統軟件的安裝與修改���,對系統軟件進行定期檢查��,系統被破壞時,要求系統軟件具備緊急響應�����、強制備份�����、快速恢復的功能。第三��,會計信息安全控制���。會計信息安全的基礎是密碼�。如通信線路上的數據流加密,數據庫中的數據文件加密,及訪問者的身份認證等����。除此之外���,模式識別的方法也在網絡信息安全方面得到應用���。
(4)應用控制����。應用控制是指在網絡會計系統的數據輸入��、通訊�、處理和輸出環節所采用的控制程度和措施����。第一,輸入控制。輸入控制的重點在于建立適當的授權和審批機制,并對輸入數據的準確性進行校驗。第二���,通訊控制。通訊控制的重點在于批量控制�����,業務時序控制���、數據編碼控制與發放和接收的標識控制等�����。第三,處理控制��。處理控制的重點在于處理過程的現場控制�、數據有效性檢測和錯誤糾正控制等。第四��,數據輸出控制��。輸出控制的重點在于數據稽核控制�,授權輸出控制和打印程序控制等�。
(三)建立安全防范機制
安全問題是網絡財務發展中不可回避的重要問題。在網絡財務中��,處在網絡中的任意一臺計算機都可獲得其他計算機的信息資源�����,本企業的網絡財務系統隨時都可能受到威脅�����,企業的財務數據等重大商業機密很容易遭到破壞或泄密�����,這將造成不可估量的損失,因而保證網上財務信息安全可靠成為了關注的焦點�。建立安全防范機制��,保障網絡系統的安全性是我們必須要做的工作。
保障網絡系統的安全性:首先,建立一個安全���、可靠的通信網絡是非常必要的���,這樣可以確保會計信息快速安全傳遞����;其次,制定網絡計算機機房和設備的管理制度��、崗位職責和操作規程�,嚴格禁止無關人員接觸系統,加強網絡財務的硬件系統安全�����;第三�����,加強系統軟件安全控制�����。建立定時檢查更新制度,定期對網絡財務系進行維護 更新���,確保數據庫信息的真實完整,把一些陳舊的會計信息保存起來�,及時上傳新的會計信息�,以便投資者及時用于投資決策��。 第四���,技術防范措施�。一些黑客為了獲取企業重要的�����、秘密的信息非法對網絡財務系統的入侵,或者采用病毒對企業網絡財務信息進行攻擊,使企業會計信息流失�����。為了防范這種人為的侵襲����,應采取設置防火墻、身份認證和授權管理、設立密鑰等安全技術,限制外界故意的侵入����,用以隔離開局應用系統與外界訪問區域之間的聯系����,限制外界穿過訪問區域對網絡應用系統服務器尤其是對會計數據庫系統的非法訪問����;加強原有的基本賬戶和口令的控制,提供授權訪問控制和用戶身份識別。
(四)企業人才策略
企業要順應市場的競爭,首先要引進高層次會計人才���,其次,要有計劃、有步驟�、有針對性地組織開展會計人員的培訓工作��。改善會計人員的知識結構,不斷進行知識更新。提高會計人員的計算機應用水平����,特別是計算機網絡技術���,培養熟悉科技與管理知識的復合型會計人才�,以適應國際競爭需要。
篇7
一��、農機監理電子檔案所包括的主要內容
農機監理電子檔案主要包括全市拖拉機及駕駛員電子檔案���、外省籍駕駛證及拖拉機登記電子檔案��。采用的是浙江省農機監理業務系統軟件,整個軟件分為牌證受理崗、牌證管理崗�、考試崗和檔案管理崗四個崗位��。在一崗中主要進行拖拉機注冊登記、轉入登記、變更登記����、轉移登記��、抵押登記、注銷登記、拖拉機變更備案��、補換牌證��、換發牌證等牌證受理業務�。同時還進行拖拉機駕駛證初次受理��、增駕受理����、轉入受理�����、其他業務受理��、管理崗、違法行為記分、駕駛證注銷等業務�。在二崗中�,主要對一崗中受理的拖拉機及駕駛員檔案業務進行管理送審�����,屬于牌證管理崗的范疇。在三崗中���,主要為考試崗,對于在二崗中拖拉機駕駛員初次受理和增駕受理的人員進行科目一�����、二����、三、四的考試��,并給予考試評分���,只有通過科目一����、二、三�����、四的拖拉機駕駛員才可在二崗里核發拖拉機駕駛證��。在四崗中���,主要是檔案管理崗��,主要為拖拉機及駕駛員檔案歸案、檔案查詢��、檔案更正���、檔案增補及對已被注銷的拖拉機及駕駛員檔案的高級查詢���。農機監理電子檔案的應用�����,可以迅速和準確地計算出全市拖拉機及駕駛員在冊的擁有量���、年檢年審的情況�、農機事故的統計數據和外省籍駕駛證及拖拉機的登記情況�����,給農機監理工作帶來了很多便利����,大大提高了工作效率��。
二����、影響農機監理電子檔案安生性的不利因素
1.檔案安全保護意識薄弱
檔案安全保護教育不普遍���,檔案安全意識淡薄�����,缺乏安全風險意識���,突出表現在檔案網絡工作“安全第一�、預防為主”的意識不強���。檔案服務及利用人員由于網絡安全防護技術較低和安全防護意識不高�����,造成的無意侵權或電子檔案光盤存儲的選擇等問題,都給農機監理電子檔案的安全保管帶來威脅。
2.計算機軟硬件的設備故障
由于農機監理的電子檔案一般不能直接利用����,它的形成和處理與利用均需借助計算機軟硬件設備的支持才能實現�。而計算機系統是由許多部分組成����,每個部分的薄弱環節都極易遭到破壞。如:數據易被誤輸;應用軟件易被篡改或盜用;硬件設備中的芯片和電子線路易被損壞等。這些故障的發生都有可能導致農機監理電子檔案的丟失或破壞����,從而對農機監理造成不可挽回的損失����。
3.電子檔案存儲載體的保護技術問題
農機監理電子檔案的載體材料是磁性物質和光盤���。聚酯底基是磁盤和磁帶的支持體��,它具有易產生靜電而吸引塵埃導致卷曲��、易與磁粉脫離、伸長后不易恢復等缺點。粘和劑起著連接底基和磁粉的作用��,它具有易熱脹冷縮��、磨損���、脫落��、粘連��、生霉等缺點�����,直接影響信息再現���。并且磁粉中的磁性氧化物顆粒的剩磁感應強度是記錄和再現信息的決定因素����,它極易受外磁場的影響而導致退磁�����、消磁等����。目前光盤常用的介質主要有碲��、碲合金����、硒�、碳鋁化合物以及一些在激光熱效應作用下易產生物化性質變化的材料,這些材料不穩定,易氧化�����,易與堿溶液發生反應��。因此��,電子檔案載體材料的這些特點����,決定了農機監理電子檔案容易受外部環境的影響。
4.計算機病毒與黑客的攻擊
計算機病毒已成為當今破壞計算機操作系統的頭號殺手���,它是一種特殊的具有破壞力的計算機程序,具有自我復制能力�����,會以各種方式和途徑攻擊計算機系統的應用軟件和數據庫以及硬件設備�����,并可通過非授權入侵在可執行程序或數據文件中����,從而造成電子文檔的破壞或系統的癱瘓���。此外����,有些計算機黑客也利用電腦網絡進行犯罪活動,他們伺機尋找系統和軟件方面的某些缺陷來攻擊��,通過破譯口令與密碼而獲取使用權限����。非法訪問、刪除或修改某些重要電子文檔�����,使文件所有者和利用者均遭受巨大損失��。
三、加強農機監理電子檔案安全管理的相應對策
1.加強電子檔案安全管理的宣傳教育��,增強責任意識
要大力普及農機監理電子檔案信息安全知識及網絡竊密知識�,使廣大農機監理檔案人員了解電子文檔的特性,防范農機監理電子文檔無意丟失或泄密���,提高對各種攻擊手段的認識和警惕性,如不隨意下載或安裝不明軟件����,不隨意打開陌生電子文件等�。對農機監理電子檔案保護意識融入到檔案的價值論中�����,從而營造農機監理電子檔案安全保護新環境���。
2.充分采用信息備份技術
信息備份是信息安全保障最重要的輔助措施����,它可以為受損或崩潰的信息系統提供良好、有效的恢復手段�。一旦原文件遭到破壞��,還有相同的備份文件可以取而代之,為了防止存檔載體物理性能變化或設備故障而丟失信息�,農機監理電子檔案的備份系統可以從硬件級備份����、軟件級備份����、人工級備份三個層次入手。每年應對備份磁帶或光盤進行抽檢����,并對農機監理電子檔案的讀取、處理設備的更新情況進行一次檢查登記,這種多層次的綜合應用才能達到理想的備份目的����,做到萬無一失�。
3.加強電子文件的載體保護
電子文件載體使用的是磁性���、光學材料等精密型載體����,對保存環境提出了很高的要求。因此對電子文件載體的保護可以參照《電子文件歸檔與管理規范》的要求,改進電子檔案的存放環境,保持適應的溫濕度�����,采用去濕機��,去濕劑氯化鈣和硅膠�、空調調節系統等措施調節檔案庫內溫濕度�。并將農機監理電子檔案避光保存,避免光線尤其是紫外線直接照射光盤,最大限度地減少電子檔案曝光時間和曝光強度�����。同時��,農機監理電子檔案在整理�、保管����、利用時應避開電動機、發電機、變壓器����、電視機、消磁器����、無線電裝置等具體退滋或消磁設備的干擾�。
4.多渠道防治計算機病毒和各種攻擊
篇8
由于我國會計審計領域制度的不完善以及會計市場的無序競爭����,越來越多的會計從業者抵擋不住誘惑,出現了做假賬等行為�,導致誠信問題成為會計行業的熱點話題�����。本文立足信息環境的大背景對當前會計審計誠信問題展開討論,并提出相應解決方案以期能凈化當前會計審計領域風氣��,為企業提供一定的參考��。
毋庸置疑����,誠信問題對會計行業及會計從業者來說十分重要,會計行業從業者的職業操守是會計行業的立業之本����,也是會計工作進行過程中的基礎�。而當今��,諸多誠信問題卻在挑戰會計行業的底線����。信息時代的到來給會計工作提供了許多便利�����,很多企業逐漸成了一套具有整體性和規模性的信息化建設體系,但這同時也為會計作弊操作帶來了更多的操作空間�,使會計誠信問題更加嚴峻����。我們需要時間來完善相關法律和制度來適應信息時代的到來���。
1 信息環境下出現會計誠信問題的主要原因
1.1 信息不對稱是當前諸多會計誠信問題出現的前提
會計行業的信息不對稱是指在信息環境下���,經營者掌握著大量的會計信息����,處于有利地位,而其所有者則出現信息不對稱處于弱勢地位�。隨著市場經濟的發展和成熟����,企業內部的所有權和經營權分離是大勢所趨����,因此在會計審計過程中,信息不對稱會給做假賬以可趁之機進而導致所有者政策制定的失誤��。
1.2 會計制度不完善
市場經濟的快速發展以及互聯網信息技術的不斷成熟極大地改變了原有會計運作方式����,致使很多新的經濟事項的不斷涌出。而我國當前的會計制度和會計體系還相對比較落后�,因此導致其在執行過程中較為無力����。很多繁雜的規定不但會影響到現有工作的效率�,很多領域的空白也為很多從業者提供了鉆空子的機會。
1.3 缺乏系統�、合理的會計監督體系
會計審計工作中的監督體系不健全的問題在全國廣泛存在�,現有的監督體系和工作監督流程缺乏科學行���、完善性和時代性�,這就導致相關工作人員在進行審計工作時無法可依��,無章可循����,對有些違法和舞弊行為無法作為�。
1.4 會計審計工作存在信息安全漏洞
計算機和互聯網技術的廣泛應用極大地提高了當前會計工作的效率,但同時產生了大量的信息安全問題。很多企業和單位在計算機系統上沒有必要的保護措施����,沒有處于保護狀態的會計審計數據極易受到黑客或木馬的攻擊����,侵入者非法操控或篡改數據嚴重影響了會計審計信息的安全���。同時一些會計審計人員缺乏防范和安全意識��,沒有定期更新安全系統或誤使計算機中毒等操作也會嚴重影響到會計數據的安全性��。
1.5 缺乏良好的誠信環境
沒有一個良好的大環境,加之違法成本低�����,很多會計從業者受利益的驅動出現造假問題。誠然�,從業者職業道德不高是產生會計審計造假的一個主要原因����,但更深層次的原因是誠信行為缺乏支持和保證�,政府和行業沒有起到良好作用。應該看到���,對此類違背誠信現象的縱容就是對守誠信者的打擊����。
2 信息環境下實現會計審計誠信的解決方案
2.1推行會計委派制度
向企業委派的會計具有身份獨立性和工作自主性的特點,此舉可有效針對會計審計中的信息不對稱問題,有效預防傳統審計方式中會計人員迫于周圍壓力而進行的信息造假,從而在企業內部建立一套會計審計工作新秩序�。
企業推行會計委派制度能夠有效縮減內部監督成本�,推動內部控制制度的執行���。在這種制度下�,外部委派的會計人員進行會計審計工作時能夠真實反映實際經濟狀況,塑造企業的誠信形象。
2.2 營造誠信氛圍
企業在維持正常開支之外應定時開展對會計審計人員的誠信教育�����,確保從業人員建立誠信意識���、遵守職業道德�。根據實際,采用有效手段營造誠信為先企業經濟環境和管理環境���,構建一個“誠信為榮、背信為恥”的企業文化氛圍。除了這些長久之計外��,還要加大對破壞誠信氛圍的打擊力度����,提高會計審計工作的質量。
2.3 營造安全的會計審計信息環境
安全的信息環境是確保會計審計工作誠信的一個重要的物質層面,應從以下四個方面入手:一是要推進會計審計工作的信息化�,加大會計審計軟件和系統的開發和升級�,最大程度減少人為篡改信息的可能�����。二是做好會計審計人員的教育和培訓����,使得會計審計工作得到數量和質量上的提高�。三是要建立起一套完整的會計審計信息系統安全防護體系�����,通過身份認證��、權限設定、功能限制和加密處理等一系列措施防止企業內部經濟數據丟失和被篡改����。四是要做好會計審計信息系統的防病毒和防黑客工作�,防止信息出現安全問題���。
2.4 完善和健全會計審計工作監督體系
在當前的信息環境下�,很多人確實意識到會計監督的重要性和必要性,但實施和執行結果卻不盡人意�����,因此需要政府和行業完善和健全相應法律和法規���。在法律法規得到完善之后���,加大對違規和違法行為的執法力度���,做到有法可依�,有規可循。
3 結語
誠實守信是會計審工作的靈魂��。在市場經濟不斷發展的大環境下����,那些誠實守信的企業會有更好的前景��。
誠信原則的建立會使簽約成本���、契約成本以及監督成本大幅減少��,建立良好的社會經濟體系���,讓每個企業都在誠信有序的經濟環境中發展�,有助于實現企業經濟效益的最大化及社會資本的積累���。
