试析企业内部控制管理中信息化安全管理.docVIP

PAGE  PAGE 8 试析企业内部控制管理中信息化安全管理 　　摘要：随着信息化技术的发展，信息化工具被广泛应用，信息化安全越来越重要。企业应提升企业信息化安全管理，做好信息化物理安全管理、网络安全管理、系统安全管理、应用安全管理，通过信息化安全工作检查，落实信息化内部控制。 　　关键词：企业内部控制；信息化；安全管理 　　随着信息化技术的发展，企业信息化工具扩展度越来越高，扩展面越来越广，大大提升了企业运营及管理的便捷性，企业依赖系统大数据的信息处理和分析来提升效率，信息化技术应用为企业创造了不可替代的价值。企业财务系统、资源管理系统、办公系统等形成企业信息化综合平台，随着信息数据的大量输入、输出、交换、应用，信息处理的便捷使企业信息化安全工作越来越重要。任何信息安全方面缺失或弱化都可能造???工作的中止、信息的丢失或泄露，使企业产生影响或经济损失，以信息化平台为重要工作工具的单位，影响更加重大。4G时代的到来，为企业信息走向移动化铺好了平台，也为企业信息安全管理提出了新一步要求。 　　我国的《企业内部控制基本规范》中提到信息化安全管理问题，该规范第四十一条指出：“企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。”所以信息化安全管理应为现代企业内部控制管理重要内容，如何优化信息化管理，提升信息化安全，成为需要思考的问题。 　　一、信息化安全管理分析 　　企业信息化安全管理包括物理安全管理、网络安全管理、系统安全管理、应用安全管理等，内部控制的实施有助于预防信息化管理下企业信息数据尤其是财务数据丢失的风险，降低借助信息系统舞弊的可能性，保证企业各项经营活动有效运行。企业应通过企业信息化安全工作分析，定期进行信息化安全工作检查，落实信息化安全内部控制管理。 　　（一）物理安全内部控制管理 　　1.硬件安全 　　信息化处理以电脑、服务器、存储设备、网络设备、安全设备作为硬件设备，电脑等信息终端设备不完善或故障会影响办公；服务设备如服务器、存储设备的损坏，会直接造成数据的丢失和数据处理的中断；网络设备如路由器、交换机的损坏，会让系统停止。没有安全设备或安全设备不工作会让系统受外界所攻击或盗取重要信息。企业信息化安全管理应对硬件安全有应急预案，增加必要的备用设备，如服务器、路由器、交换机等，设备一旦损坏，备用设备马上进入工作状态，使业务不中止或恢复时间短。设备应支持双路电源供电，对于有可能的停电，企业应准备和启用备用电源。 　　2.信息设备环境安全 　　环境安全包含防火、防盗、温度、湿度、洁净度等环境安全，只有安全的信息设备环境才能保障信息设备正常、高效工作，防范设备灭失或信息损失。对于一个大型或中型企业应专门建设符合上述环境要素的机房，服务器等设备应放在机房，因机器不间断运转造成温度较高，应配备精密空调等制冷设备，确保温湿度得到精确控制，服务器的放置空间要合理，保持空气的流通并符合设备散热需求。机房配置消防报警装置、气体灭火装置，以应对突发火灾事件。机房重地应有门禁管理，确保防盗和人为破坏的发生，信息化管理人员应就机房建设及日常管理进行检查。 　　另外移动办公设备（笔记本电脑、平板电脑、手机）的广泛使用使设备不安全性增加，云技术、云方案不断推新应用，使移动办公增加，企业应对于移动办公设备丢失制订预案，对重要移动设备做防盗防丢失部署，以使设备被盗或丢失时由信息管理员实施远程锁定，阻止非法入侵或直接销毁设备中的数据。 　　3.数据安全 　　数据的安全分为数据保护、数据保密和数据恢复。存储设备是数据的载体，也是实施信息化企业的生命，数据丢失可以是致命的，一个安全稳定的存储设备对数据保护至关重要。重要数据应以加密存储，存储介质废弃时的完全抹除是数据保密应注意事项，可使用硬件自加密硬盘简化数据保密过程。而存储备份和恢复方案的实施是数据安全的最后一道防线，可以在事件发生后数据得以恢复。企业应及时做好数据备份、异地备份，防范火灾、地震等不可预知事项带来的数据灭失。企业应做出数据恢复预案并进行演习以应对可能的数据安全事故。 　　（二）网络安全与信息传输安全内部控制管理 　　网络提供了便捷的信息传递、快速的信息查询，实现多人多组织的便捷工作，但也带来网络风险。企业首先应做好网络访问控制，最主要的措施是建立有效的防火墙，应检查企业网络设备是否安装了有效的防火墙，防火墙的版本是否能及时最新，是否安排专门人员定期通过收集分析网络行为、安全日志等进行入侵检测，检查访问控制权限审批授予是否得当，是否对不适当的人做访问权限的撤销管理。 　　终端用户操作不当