企业信息风险控制.pdf

企业信息风险控制 F273 A 1006-7833 (2010) 05-073-02 业外部获得的信息中，信息的真实性是需要使用者进行信 息选择与信息真实性辨别的。企业内部也存在着提供虚假 信息的情况，最常见的就是会计虚假信息，会计人员由于 自身或者迫于管理者的压力而提供虚假的会计信息。这些 虚假信息会引起信息风险。 当今黑客们越来越多的采用直接攻击企业的应用系统 以达到窃取企业数据，破坏企业信息的目的。黑客可以通 过万维网公共信息网采用木马、蠕虫和病毒等攻击手段， 破坏企业办公系统、窃取企业核心系统机密数据、篡改公 风险的基本含义是未来结果的不确定性。在一般情况 司网站信息、截获公司邮件等。这些攻击行为都会引起信 下，风险可以看作是实际结果与预期结果的偏离。风险不 息风险，对企业运行造成巨额的损失。 只是指损失的不确定性，而且包括了盈利的不确定性① 。本 文所指的信息风险，强调的是风险的损失的不确定性。 企业信息的接触传播者主要是内部员工。信息在不同 在以计算机为基础的会计电算化时代，企业信息风险 人员之间交互传播，参与信息传播的人员有意过滤或者加 管理关注的对象是信息安全。信息安全是指保护信息系统 工信息的不道德行为将会产生信息风险⑤ ，在企业信息的传 的硬件、软件以及相关数据，使之不因偶然或者恶意侵犯 递过程中，信息往往要通过很多的节点，也就是有很多的 而遭受破坏、更改及泄漏② 。建立在网络的基础之上后，信 成员会参与到信息的传播中去，如果所有的信息传播成员 息安全又扩大为强调、消减和控制风险，保护业务操作的 都依据自身需求考虑或者凭个人主观判断将加工信息（带 连续性，并将风险造成的损失和影响降低到最低程度。 有传播者个人色彩）向外传播⑥ ，信息风险将会被放大，甚 信息风险，指的是日常生产经营活动中，由于信息内 至会给企业造成重大的损失。 部和外部的原因，使得企业不能有效地保护自身重要信息， 或者不能充分的获取、利用外部信息，或者影响了企业内 目前国际上比较认可的一些规范包括：国际公认信息 外部信息的传递和交流等，造成了企业难以确保其企业目 认证标准、COSO 报告、eSAC 模型和信任服务。 标的完成，或对其战略实施的能力产生负面的影响，使企 国际公认信息认证标准是针对信息安全所设立的安全 业遭受损失。 规范原则，是考虑到信息传递过程中所面临的一切风险， 对于这些信息风险提出警示，并且对信息的分类和相关保 根据不同的性质，信息风险的分类方式有所不同，在 护措施应当考虑到信息共享和信息限制的业务需要，还要 这里笔者按照企业信息接触方式来分类，将企业信息风险 考虑这些需要对业务的