顧同花 趙冬琳

2021年9月，《中華人民共和國數(shù)據(jù)安全法》頒布，對建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力，倡導全社會共同維護數(shù)據(jù)安全等方面提出明確要求。財務數(shù)據(jù)是眾多數(shù)據(jù)形式中的一種，作為企業(yè)的重要資產(chǎn)，不僅代表著企業(yè)以往的業(yè)績和財務狀況，也是企業(yè)未來發(fā)展的基石。保障財務數(shù)據(jù)安全是企業(yè)必須高度重視的工作，企業(yè)必須提高數(shù)據(jù)安全風險意識、加強財務數(shù)據(jù)安全管理、 筑牢財務數(shù)據(jù)安全屏障，以保障企業(yè)持續(xù)健康發(fā)展。

保障財務數(shù)據(jù)安全的重要性

財務數(shù)據(jù)在狹義層面上，包括各種資產(chǎn)、負債、股東權益、收入、利潤、現(xiàn)金流量、稅金等數(shù)字資料；廣義層面上，基于業(yè)財融合的財務管理角度，財務數(shù)據(jù)包括公司所有經(jīng)濟業(yè)務活動的業(yè)財數(shù)據(jù)、財務對外報送數(shù)據(jù)等各類數(shù)據(jù)。財務數(shù)據(jù)的特殊之處在于其具有較高的機密性、完整性、可靠性。

數(shù)字化時代，公司將利用數(shù)據(jù)進行數(shù)據(jù)化營銷、數(shù)字化服務、數(shù)字化運營、數(shù)字化管理、數(shù)字化決策。公司各部門的運營數(shù)據(jù)最終在財務環(huán)節(jié)做最終收口，同時財務的各種業(yè)財分析數(shù)據(jù)將賦能業(yè)務部門運營、管理及決策，所以財務數(shù)據(jù)是企業(yè)的核心資產(chǎn)，包含著機密信息，如果這些數(shù)據(jù)被泄露盜用或者損壞，將會對企業(yè)的聲譽和市場競爭力造成不可逆轉(zhuǎn)的損失。財務數(shù)據(jù)安全是企業(yè)必須守住的生命線。

守好財務數(shù)據(jù)安全有利于提高公司決策的準確性。對于大型企業(yè)，財務管理體系信息平臺有助于公司實現(xiàn)信息的縱向貫通和橫向聯(lián)系，準確的業(yè)財數(shù)據(jù)將是公司運營決策的基礎，如果數(shù)據(jù)信息被篡改，將會導致決策的失誤，從而給企業(yè)帶來巨大的風險和損失。

守好財務數(shù)據(jù)安全有利于保障公司聲譽和形象。財務數(shù)據(jù)信息的泄露會影響公司的聲譽和形象，尤其是當公司的用戶、客戶或投資者發(fā)現(xiàn)個人信息被泄露后，將會導致其對公司的信任度降低，從而影響公司的品牌形象。

守好財務數(shù)據(jù)安全有利于提高企業(yè)核心競爭力。數(shù)據(jù)是已被社會公認為有價值的資產(chǎn)，財務管理內(nèi)部分析數(shù)據(jù)有助于企業(yè)在關鍵事項上的決策，對提升企業(yè)的核心競爭力有著重要影響。例如航空公司的航線客座率、載運率、飛機利用率、航班之間的最短銜接時間，以及對成本的控制、航線的收益水平、對資產(chǎn)的利用、人力薪資成本等方面的重要數(shù)據(jù)，若被同行業(yè)競爭對手竊取，無疑是將企業(yè)的命脈暴露給了對方。

財務數(shù)據(jù)安全面臨的風險點及挑戰(zhàn)

數(shù)字化時代，財務數(shù)據(jù)多存儲于電子設備中，這給數(shù)據(jù)的保存和維護帶來一定的風險與挑戰(zhàn)，這些風險和挑戰(zhàn)主要包括以下幾個方面。

（一）系統(tǒng)技術風險

硬件系統(tǒng)風險。任何系統(tǒng)軟件都必須通過硬件來運行，硬件是軟件的承載體。硬件系統(tǒng)發(fā)生故障時，將會導致網(wǎng)絡系統(tǒng)癱瘓，軟件無法運行，業(yè)務處理停滯，給財務使用者造成很大影響。如果硬件中的存儲系統(tǒng)發(fā)生嚴重損壞，所有數(shù)據(jù)將會面臨全部丟失的風險，給財務工作帶來災難性后果。

軟件系統(tǒng)風險。財務軟件的正常運行，除需要硬件系統(tǒng)保障外，還需要操作系統(tǒng)、中間件和數(shù)據(jù)庫等軟件的支撐，這些軟件系統(tǒng)是否存在漏洞，技術上是否成熟，運行是否穩(wěn)定，直接影響財務信息安全程度和財務軟件運行效率。

數(shù)據(jù)存儲風險。在網(wǎng)絡財務環(huán)境下，財務信息存儲介質(zhì)發(fā)生變化，所有財務數(shù)據(jù)以電子格式存儲于服務器端，財務數(shù)據(jù)更容易丟失、被盜和損壞。此外，隨著財務軟件的應用，財務數(shù)據(jù)量不斷增多，存儲設備還面臨著容量不夠的風險。

信息傳遞風險。財務運行過程中，財務信息需要借助計算機網(wǎng)絡在客戶端和服務器端之間不斷地進行數(shù)據(jù)傳遞和交換，任何聯(lián)網(wǎng)計算機都有可能獲取網(wǎng)絡資源，竊聽網(wǎng)絡信息，這就大大增加了財務信息被截取、泄露、篡改的風險。

病毒破壞風險。隨著互聯(lián)網(wǎng)技術迅速發(fā)展，計算機病毒的破壞能力不斷提高，破壞范圍不斷擴大，并且呈現(xiàn)出了傳播速度快、自我復制力強、難以防范的特點，給財務信息安全造成了極大的威脅。在網(wǎng)絡環(huán)境中，一些人可能出于各種目的，利用黑客程序，破壞網(wǎng)絡系統(tǒng)，進行黑客攻擊。而且，黑客攻擊比病毒破壞更具目的性和破壞性。

（二）保障財務數(shù)據(jù)安全制度的缺失

網(wǎng)絡監(jiān)控管理方面，技術人員責任心不強或者防范措施不嚴格，對網(wǎng)絡系統(tǒng)未進行必要的安全配置和管理，對網(wǎng)絡信息缺乏嚴密的監(jiān)控。

財務系統(tǒng)密碼機制方面，財務系統(tǒng)用戶不注意口令保護，口令密碼設置簡單或長期不更改，致使別有用心的入侵者輕易冒充合法用戶進入系統(tǒng)，竊取、篡改、破壞數(shù)據(jù)。

財務數(shù)據(jù)分級分類管理方面，財務部門未對數(shù)據(jù)進行授權和分級分類管理，導致企業(yè)內(nèi)部人員可任意獲取財務數(shù)據(jù)。

（三）員工缺少數(shù)據(jù)安全保護意識

所有財務人員日常工作幾乎都離不開數(shù)據(jù)，但部分財務人員對于數(shù)據(jù)安全的保護意識卻十分淡薄。在財務日常工作中，有的財務人員將數(shù)據(jù)從系統(tǒng)中導出后，又通過郵件、微信、QQ等各種途徑擴散，甚至還進行U盤拷貝、上傳網(wǎng)絡云盤等操作。只圖操作之便，卻忽略了數(shù)據(jù)安全風險。

（四）自然災害

自然災害或者不可抗力因素也會導致財務數(shù)據(jù)的損壞和丟失。

多措并舉保障財務數(shù)據(jù)安全

財務數(shù)據(jù)安全對企業(yè)非常重要，是企業(yè)生存和發(fā)展的生命線，保障財務數(shù)據(jù)安全，就是保障企業(yè)發(fā)展底線。維護財務數(shù)據(jù)安全，主要可通過以下幾種方式。

（一）提高財務系統(tǒng)硬件軟件的配置

硬件方面，雖然財務系統(tǒng)整體對電腦的要求不算高，但在穩(wěn)定性和安全性方面要求嚴苛。使用穩(wěn)定的服務器、大容量的存儲，同時可以配合智能USB屏蔽措施，以防止數(shù)據(jù)泄露和被篡改。

軟件方面，使用正版軟件，不隨意下載網(wǎng)絡上的插件，并安裝殺毒工具，定期進行漏洞掃描更新。

（二）制定財務數(shù)據(jù)安全保障管理制度

組建財務數(shù)據(jù)安全管理團隊。由企業(yè)信息部與財務信息化團隊共同組成財務系統(tǒng)相關的數(shù)據(jù)安全管理團隊，負責財務數(shù)據(jù)安全的管理。財務部門應遵循公司信息安全管理要求，配合公司信息安全部門開展漏洞掃描工作，包括但不限于掃描工具選擇、掃描策略定義、掃描范圍選擇和掃描結果通報等。雙方共同協(xié)作，提前發(fā)現(xiàn)財務系統(tǒng)存在的風險和漏洞，提升企業(yè)的數(shù)據(jù)安全管理水平。

合理使用保障財務數(shù)據(jù)安全的方法和工具。建立財務系統(tǒng)賬號權限管理制度，非權限范圍內(nèi)的用戶，無法訪問登錄財務系統(tǒng)。同時在財務系統(tǒng)中增加行為留痕、日志審計、自動錄屏等功能，實現(xiàn)員工訪問行為的留痕可追溯。例如，員工在登錄財務系統(tǒng)處理數(shù)據(jù)時，所有訪問記錄都會得到記錄和留存，形成日志。針對特別敏感的財務數(shù)據(jù)訪問時，自動開啟錄屏，記錄其所有的訪問過程，以便后續(xù)出現(xiàn)問題時回溯。同時，員工在訪問財務系統(tǒng)時自動加上員工信息水印，以防截圖等形式的數(shù)據(jù)傳播。

統(tǒng)一數(shù)據(jù)安全分級分類標準。對企業(yè)所有的財務數(shù)據(jù)進行識別、對敏感數(shù)據(jù)進行發(fā)現(xiàn)，識別出元數(shù)據(jù)、敏感數(shù)據(jù)后才能對數(shù)據(jù)進行科學的分級和分類，為后續(xù)數(shù)據(jù)安全保護打好基礎。有了統(tǒng)一的標準，員工不會再疑惑手里的數(shù)據(jù)是否可以被流轉(zhuǎn)，不會再有模棱兩可的判斷。數(shù)據(jù)分級分類保護是現(xiàn)有的針對數(shù)據(jù)安全保護最行之有效的辦法之一。

（三）建立數(shù)據(jù)安全培訓體系，提高員工防范風險的意識和能力

數(shù)據(jù)安全行業(yè)調(diào)研報告統(tǒng)計顯示，企業(yè)在逐步重視數(shù)據(jù)安全方面人員的能力提升，58.8%的企業(yè)認為在保障數(shù)據(jù)安全方面最大的挑戰(zhàn)是人員識別和防范風險的能力。

企業(yè)需要逐步建立健全數(shù)據(jù)安全方面人才培訓體系，培訓內(nèi)容覆蓋法律法規(guī)、保密意識教育、數(shù)據(jù)安全技術培訓等多個方面。企業(yè)財務人員必須對保障財務數(shù)據(jù)的安全性予以高度重視，并能提前對可能危害到財務數(shù)據(jù)安全的事件做到預警。

日常辦公時面對電腦突然出現(xiàn)的異常，例如黑屏、藍屏、不知名程序占用空間等問題，應及時聯(lián)系公司技術部門，請專業(yè)人員排查。面對郵件木馬病毒、釣魚網(wǎng)站，財務人員更應具備“慧眼”，識別這些網(wǎng)絡危險因素。日常工作數(shù)據(jù)應定期備份，財務重要數(shù)據(jù)適當增加備份頻率。

（四）明確財務數(shù)據(jù)備份機制

財務數(shù)據(jù)丟失，將會給公司帶來嚴重的損失，因此數(shù)據(jù)備份很重要，可每日定時增量備份數(shù)據(jù)，周末全量備份。另外，定期對月結、半年、年終數(shù)據(jù)進行集團私有云備份。同時，在企業(yè)能力范圍內(nèi)，盡量在全國或全球不同地方建立災備，降低因自然災害等不可抗力因素導致的數(shù)據(jù)泄露或丟失的風險。

（作者分別為上海吉祥航空股份有限公司財務大數(shù)據(jù)業(yè)務經(jīng)理、會計信息化管理高級專員；本文配圖均由上海吉祥航空股份有限公司提供）