文/沈沁

?

試析企業(yè)內(nèi)部控制管理中信息化安全管理

文/沈沁

摘要：隨著信息化技術(shù)的發(fā)展，信息化工具被廣泛應(yīng)用，信息化安全越來越重要。企業(yè)應(yīng)提升企業(yè)信息化安全管理，做好信息化物理安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、應(yīng)用安全管理，通過信息化安全工作檢查，落實信息化內(nèi)部控制。

關(guān)鍵詞：企業(yè)內(nèi)部控制；信息化；安全管理

隨著信息化技術(shù)的發(fā)展，企業(yè)信息化工具擴(kuò)展度越來越高，擴(kuò)展面越來越廣，大大提升了企業(yè)運(yùn)營及管理的便捷性，企業(yè)依賴系統(tǒng)大數(shù)據(jù)的信息處理和分析來提升效率，信息化技術(shù)應(yīng)用為企業(yè)創(chuàng)造了不可替代的價值。企業(yè)財務(wù)系統(tǒng)、資源管理系統(tǒng)、辦公系統(tǒng)等形成企業(yè)信息化綜合平臺，隨著信息數(shù)據(jù)的大量輸入、輸出、交換、應(yīng)用，信息處理的便捷使企業(yè)信息化安全工作越來越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丟失或泄露，使企業(yè)產(chǎn)生影響或經(jīng)濟(jì)損失，以信息化平臺為重要工作工具的單位，影響更加重大。4G時代的到來，為企業(yè)信息走向移動化鋪好了平臺，也為企業(yè)信息安全管理提出了新一步要求。

我國的《企業(yè)內(nèi)部控制基本規(guī)范》中提到信息化安全管理問題，該規(guī)范第四十一條指出：“企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，充分發(fā)揮信息技術(shù)在信息溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對信息系統(tǒng)開發(fā)與維護(hù)、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行?！彼孕畔⒒踩芾響?yīng)為現(xiàn)代企業(yè)內(nèi)部控制管理重要內(nèi)容，如何優(yōu)化信息化管理，提升信息化安全，成為需要思考的問題。

一、信息化安全管理分析

企業(yè)信息化安全管理包括物理安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、應(yīng)用安全管理等，內(nèi)部控制的實施有助于預(yù)防信息化管理下企業(yè)信息數(shù)據(jù)尤其是財務(wù)數(shù)據(jù)丟失的風(fēng)險，降低借助信息系統(tǒng)舞弊的可能性，保證企業(yè)各項經(jīng)營活動有效運(yùn)行。企業(yè)應(yīng)通過企業(yè)信息化安全工作分析，定期進(jìn)行信息化安全工作檢查，落實信息化安全內(nèi)部控制管理。

（一）物理安全內(nèi)部控制管理

1.硬件安全

信息化處理以電腦、服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備作為硬件設(shè)備，電腦等信息終端設(shè)備不完善或故障會影響辦公；服務(wù)設(shè)備如服務(wù)器、存儲設(shè)備的損壞，會直接造成數(shù)據(jù)的丟失和數(shù)據(jù)處理的中斷；網(wǎng)絡(luò)設(shè)備如路由器、交換機(jī)的損壞，會讓系統(tǒng)停止。沒有安全設(shè)備或安全設(shè)備不工作會讓系統(tǒng)受外界所攻擊或盜取重要信息。企業(yè)信息化安全管理應(yīng)對硬件安全有應(yīng)急預(yù)案，增加必要的備用設(shè)備，如服務(wù)器、路由器、交換機(jī)等，設(shè)備一旦損壞，備用設(shè)備馬上進(jìn)入工作狀態(tài)，使業(yè)務(wù)不中止或恢復(fù)時間短。設(shè)備應(yīng)支持雙路電源供電，對于有可能的停電，企業(yè)應(yīng)準(zhǔn)備和啟用備用電源。

2.信息設(shè)備環(huán)境安全

環(huán)境安全包含防火、防盜、溫度、濕度、潔凈度等環(huán)境安全，只有安全的信息設(shè)備環(huán)境才能保障信息設(shè)備正常、高效工作，防范設(shè)備滅失或信息損失。對于一個大型或中型企業(yè)應(yīng)專門建設(shè)符合上述環(huán)境要素的機(jī)房，服務(wù)器等設(shè)備應(yīng)放在機(jī)房，因機(jī)器不間斷運(yùn)轉(zhuǎn)造成溫度較高，應(yīng)配備精密空調(diào)等制冷設(shè)備，確保溫濕度得到精確控制，服務(wù)器的放置空間要合理，保持空氣的流通并符合設(shè)備散熱需求。機(jī)房配置消防報警裝置、氣體滅火裝置，以應(yīng)對突發(fā)火災(zāi)事件。機(jī)房重地應(yīng)有門禁管理，確保防盜和人為破壞的發(fā)生，信息化管理人員應(yīng)就機(jī)房建設(shè)及日常管理進(jìn)行檢查。

另外移動辦公設(shè)備（筆記本電腦、平板電腦、手機(jī)）的廣泛使用使設(shè)備不安全性增加，云技術(shù)、云方案不斷推新應(yīng)用，使移動辦公增加，企業(yè)應(yīng)對于移動辦公設(shè)備丟失制訂預(yù)案，對重要移動設(shè)備做防盜防丟失部署，以使設(shè)備被盜或丟失時由信息管理員實施遠(yuǎn)程鎖定，阻止非法入侵或直接銷毀設(shè)備中的數(shù)據(jù)。

3.數(shù)據(jù)安全

數(shù)據(jù)的安全分為數(shù)據(jù)保護(hù)、數(shù)據(jù)保密和數(shù)據(jù)恢復(fù)。存儲設(shè)備是數(shù)據(jù)的載體，也是實施信息化企業(yè)的生命，數(shù)據(jù)丟失可以是致命的，一個安全穩(wěn)定的存儲設(shè)備對數(shù)據(jù)保護(hù)至關(guān)重要。重要數(shù)據(jù)應(yīng)以加密存儲，存儲介質(zhì)廢棄時的完全抹除是數(shù)據(jù)保密應(yīng)注意事項，可使用硬件自加密硬盤簡化數(shù)據(jù)保密過程。而存儲備份和恢復(fù)方案的實施是數(shù)據(jù)安全的最后一道防線，可以在事件發(fā)生后數(shù)據(jù)得以恢復(fù)。企業(yè)應(yīng)及時做好數(shù)據(jù)備份、異地備份，防范火災(zāi)、地震等不可預(yù)知事項帶來的數(shù)據(jù)滅失。企業(yè)應(yīng)做出數(shù)據(jù)恢復(fù)預(yù)案并進(jìn)行演習(xí)以應(yīng)對可能的數(shù)據(jù)安全事故。

（二）網(wǎng)絡(luò)安全與信息傳輸安全內(nèi)部控制管理

網(wǎng)絡(luò)提供了便捷的信息傳遞、快速的信息查詢，實現(xiàn)多人多組織的便捷工作，但也帶來網(wǎng)絡(luò)風(fēng)險。企業(yè)首先應(yīng)做好網(wǎng)絡(luò)訪問控制，最主要的措施是建立有效的防火墻，應(yīng)檢查企業(yè)網(wǎng)絡(luò)設(shè)備是否安裝了有效的防火墻，防火墻的版本是否能及時最新，是否安排專門人員定期通過收集分析網(wǎng)絡(luò)行為、安全日志等進(jìn)行入侵檢測，檢查訪問控制權(quán)限審批授予是否得當(dāng)，是否對不適當(dāng)?shù)娜俗鲈L問權(quán)限的撤銷管理。

終端用戶操作不當(dāng)，如違規(guī)安裝軟件或互聯(lián)網(wǎng)資訊點擊可能使病毒侵入網(wǎng)絡(luò)，故企業(yè)防止內(nèi)部局域網(wǎng)風(fēng)險，需規(guī)范終端用戶操作，對網(wǎng)上下載文件有必要要求及管理。針對承載保密信息的電腦，企業(yè)應(yīng)專機(jī)專用并禁止與外網(wǎng)進(jìn)行連接。對于有特殊安全需求的部門可部署桌面云方案，將數(shù)據(jù)和操作安全策略放置到服務(wù)器上統(tǒng)一管理。企業(yè)可通過部署網(wǎng)絡(luò)防病毒軟件并實時更新保證各終端使用相同的安全策略，避免個體不正確的安全習(xí)慣，保證定期進(jìn)行病毒和惡意軟件的查殺和清除，保障系統(tǒng)不因病毒侵入而崩潰，是信息化安全內(nèi)控管理的有效手段。

運(yùn)營商的線路故障，可能造成整個網(wǎng)絡(luò)信息溝通中斷，雖然幾率較少，但對于以信息化工具為重要手段的單位影響會很大；為防止外部網(wǎng)絡(luò)中斷，檢查評估是否需要選擇兩家運(yùn)營商，保證信息傳輸?shù)恼！?/p>

（三）系統(tǒng)安全內(nèi)部控制管理

軟件是信息化實現(xiàn)的載體，所有信息都是基于軟件進(jìn)行輸入、輸出、運(yùn)算、分析和應(yīng)用的。

軟件安全成為一個越來越不容忽視的問題，軟件漏洞會造成信息丟失、信息泄露。軟件病毒會造成系統(tǒng)崩潰、信息錯誤。提升軟件安全性，是企業(yè)信息化建設(shè)的重要環(huán)節(jié)。

企業(yè)的軟件安全管理應(yīng)檢查是否使用可靠的系統(tǒng)操作平臺軟件，比如：Windows、Linux；是否安裝有效的防病毒軟件并及時更新，比如：卡巴斯基、諾頓等；是否選擇安全保障高的信息化應(yīng)用系統(tǒng)軟件，比如：SAP、Oracle、金蝶、用友軟件等；信息化軟件是否有穩(wěn)定后期保障服務(wù)。完善的軟件是信息化數(shù)據(jù)安全和信息化功能應(yīng)用的保證。

（四）應(yīng)用安全內(nèi)部控制管理

1.系統(tǒng)平臺應(yīng)用內(nèi)部控制管理

企業(yè)信息化最主要應(yīng)用是使用系統(tǒng)平臺完成會計信息自動化處理與分析、實現(xiàn)業(yè)務(wù)流程記錄與信息傳遞。企業(yè)應(yīng)做到信息化平臺統(tǒng)籌規(guī)劃，使財務(wù)信息化和業(yè)務(wù)流程信息化充分結(jié)合，提高信息處理效率及信息管控力度，將企業(yè)的管理思想有效置入信息化流程使信息化平臺成為企業(yè)內(nèi)部控制管理的有效工具和手段。

企業(yè)信息化系統(tǒng)平臺應(yīng)用工作包括系統(tǒng)上線實施建設(shè)和系統(tǒng)日常運(yùn)維管理，都有內(nèi)部控制風(fēng)險點管理。系統(tǒng)上線實施建設(shè)為系統(tǒng)平臺應(yīng)用的基礎(chǔ)，對企業(yè)信息化應(yīng)用起到關(guān)鍵作用。對于信息化應(yīng)用程度深的企業(yè)，若實施不成功會給企業(yè)帶來經(jīng)濟(jì)損失乃至巨大風(fēng)險，為內(nèi)部控制管理重大風(fēng)險點，應(yīng)予以高度重視。企業(yè)應(yīng)制定詳細(xì)的工作計劃及實施方案，優(yōu)化系統(tǒng)流程，制定編碼規(guī)則，項目經(jīng)理應(yīng)實施有效的進(jìn)度管理以保證系統(tǒng)上線成功，系統(tǒng)上線后應(yīng)對項目進(jìn)行驗收，對應(yīng)用中發(fā)現(xiàn)問題予以改善。系統(tǒng)日常運(yùn)維管理（包括變更管理）是信息化有效穩(wěn)定運(yùn)行的保證，企業(yè)應(yīng)制定管理制度進(jìn)行規(guī)范化管理，信息化管理人員做好工作表單記錄，通過檢查表單記錄評估信息化工作開展是否得當(dāng)。

系統(tǒng)平臺應(yīng)用離不開系統(tǒng)流程與系統(tǒng)授權(quán)管理，只有信息化系統(tǒng)操作流程及權(quán)限設(shè)置合適，內(nèi)部控制管理工作才能有效開展，風(fēng)險得到即時控制。系統(tǒng)流程管理要求系統(tǒng)流程與企業(yè)管理流程文件相符；系統(tǒng)流程設(shè)置應(yīng)合理有效，以企業(yè)增值及反應(yīng)速度為原則，在實現(xiàn)內(nèi)部控制基礎(chǔ)上盡量做到流程簡化，體現(xiàn)內(nèi)部控制管理的全面性、重要性、制衡性、適應(yīng)性和成本效益性。授權(quán)管理為企業(yè)內(nèi)部控制管理關(guān)鍵點，如何做好系統(tǒng)授權(quán)？首先，授權(quán)人適崗，要求系統(tǒng)授權(quán)人或批準(zhǔn)人對公司流程掌握，對內(nèi)部控制管理有清醒的認(rèn)識，對不相容崗位分離有清楚的把握，保證授權(quán)批準(zhǔn)人與執(zhí)行人分離，業(yè)務(wù)執(zhí)行人與審核人分離，執(zhí)行人和記錄人分離，物資保管人與記錄人分離，執(zhí)行業(yè)務(wù)人與物資保管人分離；其次，配備必要的授權(quán)審核人員，授權(quán)審核人員可以是企業(yè)內(nèi)控管理人員也可以是企業(yè)制度制訂及管理人員，在系統(tǒng)流程制訂時對授權(quán)設(shè)置進(jìn)行審核，定期開展授權(quán)審計，以發(fā)現(xiàn)授權(quán)中問題，及時更正；再次，授權(quán)管理包括授權(quán)工作也包括撤銷授權(quán)工作，需及時做好離職離崗人員系統(tǒng)權(quán)限調(diào)整，以保證系統(tǒng)操作人權(quán)限適合。

鑒于系統(tǒng)平臺將企業(yè)信息做了大規(guī)模的集中，信息泄露的風(fēng)險加大，所以對于系統(tǒng)數(shù)據(jù)、信息引出（下載）的權(quán)限管理應(yīng)高度重視，尤其是關(guān)鍵數(shù)據(jù)及信息引出，避免信息批量式流出或關(guān)鍵信息被不適合人使用，給企業(yè)帶來災(zāi)難性損失或技術(shù)成果和管理成果被他人竊取。

2.密碼內(nèi)部控制管理

服務(wù)器、電腦、平臺系統(tǒng)進(jìn)入都需要密碼管理，企業(yè)應(yīng)要求操作人員有效設(shè)置密碼，不得將密碼告知他人，定期更換密碼，企業(yè)應(yīng)檢查企業(yè)員工外出離崗時有無告知他人密碼協(xié)助處理流程的行為。隨著技術(shù)進(jìn)步，企業(yè)可通過技術(shù)手段實施密碼管理。

3.電子郵件和即時交流工具安全管理

信息傳輸?shù)谋憬菪允剐畔⒒L(fēng)險加大，信息傳輸風(fēng)險包括重要信息流出后不受控制及內(nèi)部數(shù)據(jù)信息通過電子郵件、QQ等即時通訊工具方式泄露，企業(yè)應(yīng)評估重要崗位、重要文檔信息流出的風(fēng)險度，必要時使用信息安全軟件管理，進(jìn)行重要文檔加密或?qū)μ囟▍^(qū)域信息加密管理；通過網(wǎng)絡(luò)行為管理軟件跟蹤敏感文件和信息的泄露，使企業(yè)信息安全得到控制。對于即時通訊系統(tǒng)如QQ等可能帶來的病毒和入侵風(fēng)險，企業(yè)可根據(jù)信息化管理的重要程度確定是否部署內(nèi)部專用即時通訊系統(tǒng)予以防范。

（五）隨著信息技術(shù)的不斷發(fā)展與進(jìn)步，各種云平臺服務(wù)推出，服務(wù)提供商可以提供專業(yè)的機(jī)房、服務(wù)器、存儲、網(wǎng)絡(luò)、信息化平臺等供企業(yè)租用，企業(yè)只需付一定的服務(wù)費，為企業(yè)解決大部分信息化安全問題。使用云平臺服務(wù)要做好服務(wù)商的選擇，對于關(guān)鍵信息和數(shù)據(jù)采用做好方案選擇。

二、結(jié)語

信息化工具提升了企業(yè)經(jīng)營效率和內(nèi)部控制管理，對企業(yè)提出新的挑戰(zhàn)，信息化安全管理作為企業(yè)內(nèi)部控制管理工作重要部分應(yīng)予以落實。企業(yè)根據(jù)自身情況做好信息化安全部署與管理，在享受技術(shù)進(jìn)步帶來工作便捷及管理高效的同時做好信息化安全風(fēng)險防范，同時運(yùn)用信息化工具實現(xiàn)企業(yè)內(nèi)部控制管理，為企業(yè)的高效運(yùn)行保駕護(hù)航。

（作者單位：深圳市泛海三江電子有限公司）