浅谈如何加强信息系统内控建设防范安全风险.docVIP

浅谈如何加强信息系统内控建设防范安全风险 仲婕 江苏省电信有限公司苏州分公司 摘要：如何保证信息系统处理流程规范，系统数据安全完整准确，内控制度落到实处，本文从信息系统的开发建设、运行维护、审计检查几个方面论述如何加强内控制度建设防范安全风险。 关键词：信息系统、内控制度 随着电信企业各项生产运营系统的建立与使用，各类信息系统的内部控制是否健全、风险是否得到有效控制就成为了内部审计关注的重要课题。 近年来电信企业上线运行的重要信息系统有BSS业务受理系统、OA办公自动化系统、资源管理系统、综合调度系统、智能网管理系统、计费账务系统、计划建设管理系统等等。这些信息系统的建立运用能解决人工难以及时处理大量信息数据、难以及时进行复杂运算分析的难题，利用信息系统可以将人工处理的程序、模型预先设计好，帮助企业高效率地管理生产过程，帮助企业及时获取并提炼重要的信息，以利于提高企业综合竞争力。但这些系统是否安全、是否符合内控要求，信息数据是否完整准确，却无人来回答。内审部门作为企业的内部控制监督检查部门有责任有义务对信息系统的内控制度进行评估检查，分析系统的安全风险，堵塞系统漏洞，切实发挥信息系统在企业发展决策方面的支撑作用。 日前获悉，某电信运营企业因小灵通预付费系统超级密码被盗，导致被非法制作了1000多万元的小灵通充值卡，至案发时已全部充值消费，给电信企业造成了巨大的经济损失。由此看出信息系统的安全与否直接影响着企业的经济利益，对企业是至关重要的。 本文将就信息系统如何加强内部控制、防范安全风险谈几点看法： 一、信息系统从开发建设起就必须建立一套完整的内控流程 1、信息系统程序设计必须健全数据核对环节，保证数据准确 信息系统能提高企业管理效率，提升企业服务水平，提高企业竞争应变能力，但这一切是建立在信息系统能提供完整、真实、准确数据的基础上的。如果数据经过信息系统的一系列加工处理流程，其中发生了部分溢出、丢失或变异，那么信息系统会输出错误的数据，经营管理者依靠错误的数据肯定不会得出正确的结论。因此信息系统的数据完整准确是首先要保证的。如何保证数据准确呢，一般情况下采用在重要数据输入前和处理输出后进行总量比对、结构比对、逻辑验证等方法验证数据是否完整准确。 2、信息系统建设必须考虑数据安全存放，保证数据安全 一般情况下数据是否安全主要考虑两个方面，一是数据库是否安全，能否防止非法访问，如果发生有非法访问，或是发生恶意修改、篡改数据情况的，系统是否会留下记录，能否及时告警。另外一方面是数据存放介质是否可靠，有无备份，重要数据是否异地存放，防止自然灾害对数据安全的危害。 根据电信企业信息系统数据对企业生产经营、财务报告等的影响程度分别对数据进行ABC分类，A类数据库如会计核算系统、计费账务系统必须要具备可靠的存储介质，严格建立实时的异地备份，以保证数据安全。B、C类数据根据机房容量、建设成本情况分别制定备份计划，采用两种以上介质存储、两个不同机房存放等方法。 3、信息系统开发要考虑设置严谨的密码策略，杜绝非法入侵 信息系统必须建立用户身份的验证机制，对信息系统的访问必须使用用户名和密码，而且每个用户帐号被授予唯一的用户。同时要制定严谨的密码政策，并根据密码政策在系统固化相应的设置，以避免用户使用安全级别低的密码。密码政策具体包括: 用户密码长度不得低于6位、密码应至少每90天进行更新、不得使用最近的密码。以上称为’6901’密码策略，对于超级用户则需要按照’8901’来设置密码，位长不少于8位，更新周期同普通用户。 在对电信企业信息系统进行内控评估时，发现较多的系统存在用户名、密码共用的现象，不符合内控要求。共用账号、密码会影响密码的定期更换、不能防止非法访问，发生问题时也无法落实责任。因此有此现象的应当确认为重要缺陷，必须立即整改。 二、信息系统运行维护要严格遵守内控规定 1、用户账号变更严格履行审批 对信息系统的用户创建和授权必须通过信息系统主管部门主管人员审批后，方可由系统管理员在系统中创建用户帐号，以避免未经授权帐号及权限的创建或修改。在员工工作调动或离职等工作职能发生变化时，由人力资源部或用户所在部门及时正式书面通知系统维护部门，由系统管理员更新或删除其相应的访问权限。《内部会计控制规范》只是说“不相容职务主要包括：授权批准、业务经办、会计记录、财产保管、稽核检查等职务” 1