时间:2023-10-27 10:40:56
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇外审员信息安全,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
随着中国国际航空股份有限公司(以下简称“国航”)信息系统建设的飞速发展,在2008年北京奥运会的安全保障工作中,安全不再只是空防安全和飞行安全,信息安全也已经成为奥运安保的重要环节,并被纳入国航及信息管理部的年度重点工作之中。
在此背景下,国航与IBM公司合作启动了信息安全规划咨询项目,它旨在为国航信息安全体系建设打下坚实的理论基础。同时,国航也通过该项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,并最终于2009年5月26日通过了ISO27001信息安全管理体系国际认证,使国航成为国内民航业第一家获得IS027001国际认证的单位。
与飞行安全一样重要
由于信息化建设已经深入到国航业务的各个角落,所以,几乎所有业务都与信息技术相关,特别是涉及到客户信任度的商务及财务方面更是如此。因此,在国航未来的发展战略中,信息安全已经占据了越来越重要的位置。现在,公司上下已经形成一个共识:打造信息安全管理体系这张保护网,就像确保飞行安全一样重要。
基于这样一个共识,我们从国航的业务愿景出发,引导出了国航的信息安全愿景,即国航需要建立起一个成熟的、具备国际水平的信息安全保障体系,这个保障体系第一要保证国航的核心业务不中断,第二要保障国航信息系统不被攻击,第三要保障重要的客户信息不被泄漏,通过一个全方位的安全保障体系为国航的业务愿景保驾护航。
虽然现在已获得了ISO27001国际认证,但国航的信息安全建设经历了一个漫长的过程,大致可以分为四个阶段:
第一个阶段是在2006年以前,当时信息系统对于国航的支撑力度相对有限,同时从整个业界来看,的安全威胁还不是很明显,所以,信息安全建设的特点是以零星建设和被动建设为主。
第二个阶段是2007~2008年,随着国航核心系统逐步投入运行,以及北京奥运会的临近,的安全风险不断增加,这是,国航开始针对性地对重点领域搭建技术防护措施。
第三个阶段是从2008年开始,随着国航对自身信息安全认识的不断深入,国航按照Is02700 L的标准,建立起了信息安全的管理体系。同时,还启动了全面的信息系统战略规划,根据国际最佳实践并结合国航的特色,制定了未来3~5年信息安全技术平台建设的蓝图和路径。自此,国航整个信息安全建设有了一个更加科学和更加明细的路线图。
搭建“安全翘翘板”
整体而言,国航的信息安全体系主要是以IT基础架构和安全技术架构为基础,通过信息安全组织与人员对业务逻辑的准确理解和制度流程的有效执行,实现完整的信息安全管理过程。
应该说,信息安全体系是一个非常复杂的体系。业界有个说法叫“安全翘翘板”,这个翘翘板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,通过这三方面的有效执行,从而构成信息安全体系。另外,还要加上安全的管理架构和技术架构,最后和业务逻辑结合起来,这样才能构成一个完整的信息安全体系。
目前,依据ISO27001标准,国航建立了包含三个一级方针,三十一个二级规章的信息安全管理策略体系。通过信息安全管理策略体系的建立、北京奥运会期间的整改措施以及1S02700I外审督促,国航的管理体系评测水平不断提升,其中体系评价范围从运行维护中心到全信息管理部,IS027001中要求的十一个领域都有大幅提高。
在技术平台建设方面,国航针对一些紧迫性问题做了针对性的部署。比如网络安全架构不清晰、来自互联网的威胁日益增加、防护能力偏弱、用户行为控制存在漏洞、系统服务器安全性不足等问题,国航不但划分了安全领域,还部署了防DOS攻击、入侵检测、入侵防御等设备,另外,在重点用户单位引入终端安全管理,利用弱点扫描工具发现系统漏洞等技术措施,配合各项管理措施,很好地完成了北京奥运信息安全保障工作。
在信息安全管理体系建立过程中,国航还特别成立了公司级的信息安全管理委员会,落实了信息安全管控中心职能,借鉴国际最佳实践的功能划分,采用两级管控机制,在对组织机构不做大调整的情况下落实了安全管理责任。
国航ISO27001信息安全管理体系策略文件于2008年底正式,并组织了近200人次的信息安全培训,采用自评结合复核为主的审查方式定期对体系文件的贯彻和执行情况进行了解。通过内部认证培训,培养了专兼职质量安全员34人,以承担未来各部门的安全内审职责。
纳入安全运行标准体系
正如国航副总裁贺利所说,通过ISO27001国际认证,并不代表国航的信息安全工作已经做到位,而是意味着信息安全工作开始起步,后面需要完善的工作还有很多。
因此接下来,国航首先将不断对现有管理体系的操作细则进行完善,进一步细化信息安全管理域成熟等级评价机制,在IBM公司提出的四级评价基础上,针对国航实际情况再进行细分,持续强化规章的定期评审机制,同时要求所有部分在编写自身业务指导书时落实信息安全规章。
另外,信息管理郝还将和国航相关部门一起建立基于岗位信息资源的管控机制。以后国航每一个岗位上的工作人员,可以访问什么样的内容,能够访问多大的资源,都和岗位密切结合起来,这样就能使信息安全的控制预先做好相应的防控。
在技术平台方面,国航将依照既定的信息安全建设规划,在未来三年内,分步在用户身份与信任凭证管理、访问控制、信息流控制、完整性保护、安全监控与审计五大安全服务领域增加功能组件,建立起符合国航的、完整的信息安全技术平台。
杭州帕拉迪网络科技有限公司(简称帕拉迪)从金融行业的实际信息安全需求出发,充分吸收近年来信息系统安全保障理论模型和技术架构(如IATF等),全面参考《信息安全等级保护基本要求》、《银行业银行机构内部审计指引》、《商业银行信息科技风险管理指引》等相关指引及法规要求,结合帕拉迪多年的攻击防护经验,为金融行业提供IT运维的统一安全管理与综合审计解决方案。该方案主要解决金融机构信息中心运维管理面对系统复杂性、网络安全性、IT内控外审等而产生的相关问题。这一方案实现了按照行业标准进行金融机构的精确管理、实时监控和警告、事后追溯审计等,为管理人员的运维和决策提供了有效的技术手段。
金融IT内部的运维风险
1. IT内部对服务器的维护和管理依赖于操作系统的口令认证,口令易被转授、窥探以及遗忘等弱点,以及授权不方便等问题造成管理困难,成本较高。
2. 第三方厂商技术支持人员、项目服务商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效地记录其操作过程和维护内容,核心机密数据容易泄露或遭到恶意破坏。
3. 研发部门在系统上线运行后,经常会通过普通的权限登录系统分析软件查看问题,从信息安全角度考虑,这些查询过程必须留有记录。
解决方案技术优势
1. 独创的数据库运维操作审计平台,覆盖主流商业数据库的企业应用和运维操作。
2. 支持RDP图形实时文字识别和文字提取功能。
3. 带来无缝应用的用户体验,所有应用均可本地化展示。
4. 提供文件传输内容审计记录。
5. 契合金融行业安全的三级会同功能(接入会同、密码会同、命令会同)。
解决方案部署收益
1. 规范运维管理。建立统一安全管理和综合审计平台,统一入口、统一认证、统一授权、统一审计;用户可以在平台上基于权限进行访问控制,提高了系统安全性,同时减轻了管理员工作压力,提高了工作效率,确保管理制度的顺利实施。
关键词:信息安全;网络安全危胁;安全防护系统
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)26-6245-03
计算机网络技术迅猛发展,各发电企业信息化网络日渐普及,成为了企业科技化管理的重要手段。通过对数据的集中、共享、处理使得信息系统为发电企业生产经营、安全生产等各方面提供了巨大的科技支撑。但同时伴随出现的病毒蔓延、不良黑客入侵、流氓软件等多方面问题成为了不得不面对的问题,同时对发电企业的安全生产也形成了巨大的威胁,以此进一步加强发电企业信息化安全是在信息化建设初期首要考虑的问题。
1发电企业面临的网络安全威胁
因为信息网络的互通性,发电企业信息化威胁,既有可能来自本企业内部,也同时可能来源于外部。其内部威胁主要来自于员工、各信息系统管理员等,根据统计,网络安全破坏活动近80%来自于竞争对手、任何恶意的组织和个人。主要表现的安全威胁为:
1)截获用户标识:截获标识指以非法手段取得合法用户的身份信息,主要是用户的帐号和密码,这是绝大多数发电信息系统采用的认证防护措施。如果侵入者得知了某位合法用户的帐号和密码,即便该合法用户并未被赋予其他的特权,也有可能威胁整个系统的安全。如果帐号,特别是密码,被以明文的方式由信息网络传递,侵入者通过安装协议分析软件对网络通信进行监视,则可以轻松获取。如果密码通过明文格式保存在用户的计算机的内存或者硬盘中,侵入者更能够有方法发现并利用这些密码,同时如果密码很简单(如手机号码、用户生日、私家车号牌、用户姓名等),更加容易被侵入者通过软件得知,在网络上大肆传播的黑客工具都是通过几种常用习惯的词典来获取用户密码。
2)伪装:当未通过授权的用户假扮成具有合法授权的用户,登录发电信息系统时就形成了伪装。当未通过授权的用户经过伪装成信息系统管理员或者具有信息管理超级特权的有关用户时,截获用户标识的情况是威胁最大的。应为侵入者已经获取了某位合法用户的标识,或者因为侵入者已经使信息系统相信其拥有另外的而实际上并不存在的权限,所以伪装是很容易出现的。网络地址欺骗实际上就是伪装的一中形式,侵入者通过一个合法的IP地址,然后通过此地址截获已被授予该合法地址的系统或者是服务器访问权限。
3)非授权操作:非授权操作使用信息系统或者资源时,信息网络安全就受到了极大的威胁。例如,企业的发电数据和财务数据有可能被未经授权的侵入者,非法修改并利用。
4)病毒:病毒是伴随计算机技术产生,能够通过不断自我复制,大范围传播,对计算机、信息系统及其数据产生极大破坏的程序。因为病毒具有的隐藏性和可变异性,使得广大用户无法防范。据有关资料调查,99%的企业或者个人受到过计算机病毒的感染,63%的数据和系统损坏来源于病毒。给受害企业或个人带来巨大的时间和人力资源的浪费,同时重要数据文件的丢失和损坏是无法用金钱来衡量的。
5)服务拒绝:通过向发电企业信息化系统发送大量的请求或者垃圾数据,使得服务器的资源被大量占用,直至资源耗尽,使其达到无法继续提供正常服务或者服务器崩溃的目的。在发电企业信息化系统中,这样的攻击可能造成重大的安全威胁。
6)恶意程序代码:伴随着可自执行的计算机程序与WWW站点的集成,恶意程序代码通过Microsoft ActiveX控件或Sun Java程序的大量使用形成了极大的安全威胁。
7)特权滥用:信息系统的超级管理员故意或者错误地通过对某系统的特权来获取其不应获取的敏感数据。
8)误操作:信息系统超级管理员、业务系统管理员、一般用户等因对技术方面熟练度不高,操作时的失误,引起对信息系统安全性、完整性和可靠性的损坏。
9)权限变更:一般用户利用信息系统的漏洞提高其用户等级,以获取未经授权的系统权限。
10)后门:信息系统研发人员出于故意或者为了日后维护便利在信息系统中设置的专用通道,使用其可以不受企业信息系统安全措施的控制。经常被人为利用控制、破坏正常运行的系统。
11)系统研发中的错误和调试不全:其包含对有关数据不进行充分的检查、对系统的逻辑运行定义不准确,同时这些错误和不完善没有通过大量的、齐全的系统调试检查出来,有可能在运行中导致数据被错误生成且引入信息系统,破坏了实际数据的准确性。
12)特洛伊木马:它通过提供一些有价值的或者仅仅是有趣的功能,在用未经用户许可的情况下拷贝文件、窃取用户的帐号和密码、发送用户的重要资料或者破坏用户系统等。木马程序是一种常见的危害性较大的威胁,由于其不易被发现,在一般情况下,它是在二进制代码中被发现,且大多数后缀名都为无法直接打开的文件,其特点与病毒有许多相似的地方。
13)社会工程共计:主要是的是攻击者利用人的心理活动进行攻击,其无需采用高深的科技手段,同时无需入侵系统来完成。仅需要通过向特定用户了解帐号和密码,达到其获取数据或者信息系统访问权的目的。绝大多数情况下、攻击者的主要目标是企业的办公室接待员、行政或者技术支撑人员,通过对这些类别的用户通过电话、EMAIL或者聊天工具等方式即可完成攻击。
2发电企业信息化情况(以五大发电集团某下属发电公司为例)
2.1信息化网络状况
图1
2.2信息化系统状况
1)财务及资产管理(简称:FAM)系统,是集中部署的核心应用系统,涵盖电厂财务核算、费用报销、资金计划、物资采购、库存管理、物资计划、超市管理、合同管理、缺陷管理、检修管理、设备维护等功能模块。
2)OA办公自动化系统。实现下属企业以及与集团公司间收发文交互、内部收发文管理、邮件及通讯目录功能。系统还提供了值班管理、督察督办、会议管理、车辆管理、办公用品等行政办公管理功能。
3)PI实时信息系统:本系统采集、存储DCS系统、电能量、环保系统等实时运行参数,除满足电厂对实施信息的管理需求外,还将有关数据实时传送集成到集团公司实时系统、集团公司生产与营销实时监管系统。
4)电厂多业务管理平台。系统包括运行管理、计划管理、生产统计、班组管理、标准制度、政工管理、监审管理、合理化建议等功能,其中统计、政工、监审等模块实现了与集团公司层面相应管理模块的系统集成。
5)安全管理平台:功能包括安全信息、安全报表、安全检查、工作票、操作票等管理。
6)公司MIS系统:本系统不仅作为下属企业所有管理信息系统入口门户,还提供了项目申报、生产日报、人力资源、融合机制管理、培训考试、安全认证管理、灵活报表等应用功能。
7)档案管理系统:本系统由集团公司统一实施,各单位档案系统建设须按照集团公司统一规划,以便于OA系统统一接口、版本升级、技术培训等。
8)网站系统由各下属企业自主建设和运维管理,界面设计须符合集团公司VI视觉识别系统标准,内容、运维管理遵照公司和集团公司有关规定和要求,严格执行安全保密等有关规定。
3发电企业网络安全防护设计方案
发电企业信息安全体系机构由网络安全防护、数据备份和恢复、应用系统安全、信息安全管理等几部分组成。
3.1网络安全防护
3.1.1系统安全域防护
将企业信息系统通过网络安全域的形式,分为服务器、用户两个安全域,同时划分多个二级安全域,主要为生产信息系统、财务系统、系统管理员、一线生产班组、普通用户等。
3.1.2网络的高可靠性
1)企业核心网络设备采取双机互为热备形式,两台中心交换机设备通过双链路互联;接入层与核心层也通过双链路互联。
2)重要用户安全域通过双链路与企业核心交换连接,进一步保证其链路的可靠性。
3)企业核心业务系统服务器也必须通过双链路接入核心层。
3.1.3防病毒
1)企业管理信息大区按照要求统一部署防病毒系统,采用国内知名品牌网络版。安全区一、二与三区各自拥有自己的防病毒服务器。
2)对管理信息大区的服务器、终端用户,强制按照规定部署统一的可网管的防病毒产品。
3)在互联网接口部署防病毒网关,以防其从外部传播到企业管理信息大区。
4)注重防病毒管理,保证病毒特征码得到有效的更新,通过查看病毒软件的历史记录,了解病毒威胁情况并积极应对。
3.1.4防火墙
在位于内外网接口处部署防火墙一台,采用高性能硬件防火墙,国内知名品牌,具有双安全操作系统;可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式;具备防火墙、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。
3.1.5入侵检测系统
在核心层部署一个入侵检测的探头,保证入侵检测系统能够及时发现有关威胁。
3.1.6主机安全加固
发电企业的关键应用系统(如生产营销实施监管系统、财务系统)的服务器,采取定期安全加固的形式。形式包括:定期检查安全配置、安全补丁、加强服务器系统的访问控制能力等。
3.2备份与恢复
对于关键应用系统,必须采用每天定期备份,同时人工每月全备份一次。备份的数据必须采用异地存储的形式,且需做到专人定期检查,防止遗漏。
3.3应用系统安全
管理信息大区中的发电企业应用系统应着重确保其安全性能够得到保证。其主要安全建设内容包括:对系统的访问控制、用户帐号密码及权限管理、操作审计管理、数据加密管理、数据完整性检查等。
3.4信息安全管理
1)通过成立企业信息化领导小组,加强信息工作包括信息安全工作的整体管理;
2)通过制定信息网络管理制度及各级安全防护策略;并通过正式公文下发,严格执行。
3)通过设立专业的信息管理人员和成立涵盖各业务部门的兼职信息员,形成覆盖全面的信息化安全管理网络。
综上所述,发电企业网络信息安全是一个系统工程,不能仅靠杀毒软件、防火墙、漏洞扫描等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,在建立以计算机网络安全硬件产品为基础的网络安全系统的同时,也应树立各个用户的网络信息安全意识才能防微杜渐,构建一个高效、安全的网络系统。
综上所述,发电企业信息安全是一个系统工程,不仅需要入侵检测系统、防火墙等硬件安全设备,同时还要注意信息系统是一个广泛使用的人机互动系统,必须通过系列的安全管理措施和规章制度,进一步强化各级用户的信息安全意识,做到信息安全人人有责、信息安全从自我做起,才能构建起一个高效、安全的企业信息化网络。
参考文献:
巧合的是,当天有媒体报道了我国30省份至少有275位艾滋病感染者个人信息遭泄露的事件。犯罪分子在诈骗电话中能准确地描述出病患的个人信息,包括真实姓名、身份证号、联系方式、户籍信息、确诊时间、随访的医院或区县疾控等等,并谎称能为病患办理补助而需要收取不菲的手续费。中国疾病预防控制中心相关负责人于7月17日表示,国家艾滋病感染者相关信息系统被列为国家网络信息重点安全保护对象,目前已经报案,将积极配合公安部门尽快破案。此事还引起了世界卫生组织驻华代表处和联合国艾滋病联合规划署驻华代表处的关注。7月18日,两家代表处联合发表声明,强调“加强现有系统以杜绝类似信息入侵事件再次发生,至关重要”。
国家对于健康医疗大数据的安全十分重视,据统计,《意见》中,“安全”这个词出现了33次。而此次疑似真实发生的医疗数据安全事件,成为“安全是核心基础”的最佳注脚。
他山之石,可以攻玉
――英国健康医疗数据安全的审查和建议
不止我们,许多其他国家也发生了一系列事件,向全世界宣告了他们对健康医疗数据安全的关切。在英国,国家医疗服务体系(National Health Service, NHS)于2016年7月6日做出停止care.data健康医疗大数据平台的决定中,“安全”即是重要原因之一。
在很大程度上,NHS决定关闭care.data,是基于7月6日的两份评估报告。第一份报告《安全的数据,安全的医疗》(“Safe Data, Safe Care”)由英国医疗质量委员会(Care Quality Commission,CQC)。医疗质量委员会是英格兰健康和社会医疗的独立监管机构,其职责是监控、检查和评价医疗服务,促进医疗服务符合标准规范以保证其质量和安全。作为独立第三方,CQC经常地区、国家级的健康和社会医疗质量报告。2015年9月,受英国卫生大臣委托,CQC对NHS处理病人敏感数据过程的安全现状进行审查,并提出改进数据安全的建议。
第二份报告《对数据安全、同意和选择退出的审查》(“Review of Data Security, Consent and Opt-Outs”)是由英国“国家健康和医疗数据守护者”(National Data Guardian for Health and Care, NDG)。2015年9月,英国卫生大臣也委托其与CQC紧密合作,共同提出新的数据安全标准、测评数据安全合规的新方法,以及获取同意共享数据的新模式。在英国,NDG由卫生大臣任命,其主要职责是确保公众能够信任医疗健康系统将保护个人信息,以及个人信息将被用于提高健康医疗水平。
CQC和NDG在对533起数据安全事故调查后发现,大多数事故与纸质的医疗记录相关,且80%到90%的数据安全事故是因为工作人员的习惯无意之中引起的,比如点击了不安全的链接、丢失了存储数据的介质等。但是随着医疗信息系统的普及、数据的逐步集中化及对公众开放访问入口,如果不提升安全防护水平,更严重、更大规模数据泄露的风险将会增加。综合CQC和NDG的报告,英国NHS数据安全工作中存在以下问题:
首先,虽然很多机构都建立了数据安全方面的策略与规程,但并没有在日常工作中得到有效实施,很多机构只依赖策略和规程,而不是通过检测验证系统是否足够安全,也未要求其供应商也遵循同样的管理措施。
其次,NHS的绝大部分工作人员认可数据安全的重要性,但是培训质量参差不齐,有些机构培训覆盖面不够,未涉及合同商、数据共享方、临时员工等,有些机构未将安全事故经验作为培训内容的重要参考。
再次,机构往往不清楚如何从目前存在的大量安全标准中选取合适的参考,许多机构很少去学习其他机构保护数据安全的做法,也很少请外部第三方机构做专业的安全测评。
针对上述问题,CQC和NDG提出的建议简要概括如下:第一,每个机构的领导应该明确数据安全的责任人和其职责,类似于组织医疗事务和财务的管理和问责制度,包括建立有效的内审机制,必要时进行外审以验证安全措施有效性,对恶意类数据安全事件进行严厉处罚等;第二,所有的工作人员应该获得足够的资源,包括正确的信息、工具、培训等,以便于他们履行数据安全处理和共享的职责;第三,IT系统和所有的安全协议都应该按照实际的病人治疗过程和一线工作人员的需求进行设计;第四,应该按照新的数据标准要求设计自评估系统,并选取优秀的案例供其他机构进行同步学习;第五,NHS应该修改通用财务合同模板,确保各机构能够落实数据安全标准,地方机构和供应商签署的合同也应有相应的条款,当供应商无法满足安全要求时不应与其续签合同。
虽然NHS以及care.data计划在数据安全管理方面受到诟病,但从以上审查结果中不难看出,英国作为健康和医疗大数据集中应用的先行者,已经在数据安全方面做了很多有价值的工作,比如配套的法律法规、标准规范,任命了专门的数据保护官员,建立了独立的监管和审计机构,建立了数据安全风险管理的信息系统等。
但是,由于健康和医疗数据的高度敏感性,对其进行集中存储和管理后,一方面会引起恶意人员的高度关注,另一方面一旦发生数据泄露其影响面非常广,对于每个病人来说其后果很难挽回;因此,健康医疗数据的安全工作可谓难上加难,即便英国具备一定的基础,其数据安全治理也未在一开始取得理想的效果,但从近期频繁的安全审查中可以看出,英国政府建立的数据安全监督机构、数据保护官等正在发挥积极作用,正视已出现的问题并提出注重实效的解决方案,以重新赢回公众的信任。
善治病者,必医其受病之处
――我国健康医疗数据安全形势严峻
早在2013年底,国家卫生和计划生育委员会就了《关于加快推进人口健康信息化建设的指导意见》,提出在“十三五”期间将大力推动全国人口健康信息大平台的建设。从安全需求上来说,这个信息平台一是将承载全国13亿公民的人口、健康、医疗等隐私信息,数据保密性要求高;二是将提供公民个人医疗保障、诊疗等信息化服务不能中断,业务连续性要求高;三是将为国家卫生计生行业未来发展提供决策依据,信息容错率要求高。然而目前,我国在健康医疗数据安全保障方面情况堪忧,行业整体安全态势趋于严峻。主要问题包括:
首先,行业合并导致底数不清。卫生、计生行业合并时间并不算太长,业务层面的整合已初步实现,但数据层面的整合尚属起步阶段,在实际执行过程中易滋生死角盲区。从网上已公开的医疗行业信息安全事件中不难发现,绝大多数安全事件的第一步突破点来自于安全管控体系的“法外之地”。
其次,行业信息安全人才与经费保障缺口较大。据不完全统计,医疗行业2015年整体信息化建设资金超过300亿,但信息安全投入不足6亿,占比不足2%,而对于有较高安全保障要求的行业,安全占比普遍超过10%;在人才队伍方面,专业信息安全从业人员严重缺失,许多机构甚至出现“身着白大褂的大夫在看病之余兼职管安全”的状况。
再次,缺乏具备行业特色的信息安全指导框架。健康医疗行业特殊性较高,目前行业虽然已推行国家信息安全等级保护要求,但尚未建设具备行业业务特点的信息安全保障体系,也没有专门的行业信息安全技术标准,不利于有针对性地开展安全防护工作。
第四,行业网络涉及面广,不易管控。我国医疗卫生机构总数已超百万,以药品方面为例,我国有6000多家化学制药企业,药品经营流通企业17000多家,而作为世界制药大国的美国,才分别为200多家和50多家。超大规模、超复杂接入对构建安全的卫生计生网络来说,难度巨大。
另外,不易树立行业信息安全标杆。全国医疗信息化及软件生产供应商达数百家。以行业龙头东软集团为例,其拥有的市场份额不足5%,离散化的分布导致安全的最佳实践无法快速复制推广,在现有保障能力下也很难做到“避轻就重”“抓大放小”。
关键词:XBRL 审计 影响 应对措施
中国XBRL系列国家标准自2011年1月1日起全面实施,企业会计通用分类标准在美国纽约证券交易所上市的我国部分公司、部分证券期货资格会计师事务所首先执行,自此我国已全面启动XBRL建设。XBRL的应用和推广将会给财务报告供应链各个环节带来深刻变革,审计作为其中一环势必会受到这一变革的深远影响。
一、XBRL对审计的影响
XBRL对审计的影响主要体现在以下几个方面:
1、 审计对象范围扩大
XBRL环境下审计人员首先面对的是鉴证对象在存在形式、结构组成及传输形态上的改变。被审单位财务信息的XBRL文档可经XBRL格式转换器转换得到或由内嵌XBRL适配器的会计软件、ERP系统直接生成。此时审计人员不仅要关注XBRL财务数据本身的公允性、合法性,还应审计包括生成XBRL数据的整个企业会计信息系统可靠性,这使得审计对象范围扩大。
2、 审计风险增加
XBRL环境下除了传统审计风险外,还包括:一、XBRL文档由被审单位企业财务信息系统生成,审计范围已不限于财务数据,增加了XBRL生成系统的检查风险;二、源自被审单位能否正确运用分类标准,标签与数据的映射是否完整、准确的重大错报风险;三、由于XBRL和企业财务信息系统置于网络环境中,XBRL实例文档面临被非法篡改而导致的安全风险。
3、 审计技术改进
随着XBRL的广泛应用,XBRL成为审计的强大助力。基于XBRL的会计系统审计中,审计人员可以利用XBRL数据接口采集原始数据至审计数据库,变分散数据为数据聚集,利用聚类关联、统计分析等数据挖掘方法从海量数据中发现隐含的、潜在的规律或蛛丝马迹。数据分析广泛应用于审计过程中,而不仅限于实质性测试程序。借助XBRL数据库平台,审计人员既可以“下钻”到被审单位财务信息系统的底层数据,也可以便利地查阅他人利用已公布的财务与业务数据编制的分析报告。
借助于网络,审计取证模式实现了审计资料收集与不同企业信息系统的平台无关性,具有广阔的适用范围。审计人员无需深入了解不同信息系统的具体数据结构即可获得所需审计证据,减少人工干预,从而提高审计效率和正确性。
4、审计报告模式变革
传统的审计从企业会计报告完成到审计报告完稿,往往间隔几个月,时效性不强,且往往发生期后事项,须在审计报告中追加披露。XBRL和网络技术的应用,使随时获取会计信息成为可能,为实时审计的实现铺平了道路。从报告内容和结构来看,现行审计报告对被审单位的预测信息披露较少,随着XBRL应用于审计,审计人员更容易找出企业经营中的“规律”,对企业经营预测做出可靠的判断,使事前预测和控制成为可能,未来预测信息及会计事项在XBRL环境下成为审计鉴证的重点之一。
5、对审计人员的全新要求
XBRL对审计人员的素质和知识技能提出了全新的要求。XBRL的实施需要的是跨会计、IT的复合型人才,审计人员除了要求精通经济、财会、企业管理等多方面的知识,还需要掌握信息系统应用技术、数据库应用技术、互联网环境下的财务报告和鉴证技术(如XML、XBRL、XARL)等;虽然大部分审计工作可能通过相关软件工具即可完成,但拥有复合型知识无疑更有利于对审计工作的展开以及业务的扩展升级。
二、应对措施
XBRL给审计带来了新的发展机遇,同时也提出了挑战,面对挑战需要从技术、资源、人员素质及理论与法规等方面加强建设。
1、 加强软件开发支持
XBRL数据转换及生成、XBRL文档的审核和管理以及自动分析是审计能否应对新变化的关键技术。相关财务软件商应大力开发XBRL嵌入式应用的财务软件,增加ERP或会计软件的XBRL生成能力,实现开发、扩展和管理分类标准、创建和管理报表,以及开发网上电子填报至XBRL数字报告生成一体化解决方案的XBRL平台。进而将研究重点转至数据挖掘、专家系统等方向,从而整体提高审计的智能化应用和整体水平。
2、 建立基于XBRL的公共信息平台
该平台包括公司财务信息、审计信息、税务信息、工商信息等,这些信息在统一的数据库或数据仓库中相互援引,一方面可以实现审计系统与其他监督系统的信息交流,实现数据共享,发挥数据发掘潜力,提高审计效率,降低审计成本。另一方面也可以组建战略合作性的审计网络,强化审计领域的纵向和横向数据传输,资源共享。例如普华永道的内部数据平台可以实现跨界服务,对来自全球超过7万5千家上市公司的信息披露文档进行评估的时候,其员工能够快速地获取、创建、分享和调整用于分析的模型、数据和可视化选项。可想该技术推广到整个注册会计师行业的巨大潜力。
3、 构建多层次的信息安全体系
XBRL格式信息其所有内容都是以数字形式流通于互联网上,因此要保证交流双方进行安全数据传输,需要建立安全保障体系。一是要保障数据存储安全,建立包括如访问控制、数据库安全、防火墙等保障措施。二是要保障信息通讯安全。可以构建审计机构和被审计单位之间安全的VPN通信网络,不但提供及时的安全信息交流而且可以大大节约通信双方的费用,还可通过该VPN网络,配置相应的软件,实现对被审单位的实时监控。此外,切实做好XBRL数据库的备份,以应对网络环境下内外数据资源和信息系统安全隐患。
4、 加强人员的培训和复合型团队建设
为应对XBRL审计的挑战,一方面加强人员的培训工作,培养复合型人才;另一方面构建复合型团队,通过经济、财会、计算机、企业管理等多方面人才的通力配合、默契协作,应对XBRL审计需求。
5、 构建信息系统审计概念框架
XBRL为审计信息化建设搭建了一个平台,然而信息系统审计目前还没有形成规范理论,应当从实践出发,研究XBRL环境下信息系统审计的审计风险、业务流程和智能审计的技术方法。在理论的指导下结合审计实践加强计算机审计准则的确立与完善。例如对xbrl文件和分类标准应用的审计准则、对生成xbrl信息系统的审计准则等。应尽快构建以理论为基础,以准则为指导的计算机审计概念框架。
三、结语
可以预见,XBRL的推广应用将会提高审计效率,减轻审计人员工作负荷,使审计 人员更多地投入对被审单位的深度分析,提高审计工作的附加价值,提高审计信息化水平。XBRL的推广应用为审计智能化、实时化发展提供了良好契机,只有抓住机会,应对挑战,审计才能在新的环境下提升自身的价值,向更高更深远的方向发展。
关键词: 网络财务;安全问题;对策
中图分类号:F812.0 文献标识码:A 文章编号:1001-828X(2013)02-0-01
一、网络财务的安全问题
(一)原始数据的安全问题
传统会计中的原始凭证因笔迹各异具有可辨认性,因多联复写具有相互牵制性,难以非法修改。而在以电子商务为主要内容的网络会计中,原始凭证的数据转变成磁性介质,对电子数据的删除或修改可以不留任何痕迹,给原始数据的安全带来很多隐患。
(二)会计信息的真实性问题
一方面,网络财务是一个开放的会计系统,一些企业内部和外部计算机高手出于某种利益,故意破坏系统的安全,盗取会计资料、篡改会计信息;财务硬件设施偶然故障;财务人员操作不当都会造成会计信息的失真、缺乏完整。另一方面,网络技术下,会计信息透明度是非常高的。其在互联网上传播速度非常快,财务数据的收集及大量经济业务处理也缺乏有效的确实标识,这将直接影响会计信息数据库系统中派生的会计账簿和会计报表的真实性和准确性,从而使网上会计信息的真实性受到质疑。同时,信息使用者和提供者的理解差异都会给企业会计信息带来失真的风险。
(三)企业内部控制问题
在网络财务软件中,会计信息的处理和存储集中于网络系统,大量不同的会计业务交叉在一起,财务信息复杂,交叉速度加快,使传统会计系统中某些职权分工的控制失效。网络的应用减少了人工输入环节,数据访问和数据交换都通过应用服务器进行,网络数据处理的集中性使得传统的组织控制功能减弱。网络计算机集成化处理促使传统手工会计中制单、记账、复核等岗位相互制约关系弱化。原来靠账簿核对纠正差错的控制已不复存在,光、电、磁介质所载信息能不留痕迹地被修改和删除,从而加大了会计系统安全控制的难度。
(四)网络会计人员素质问题
网络财务需要大批既懂会计又懂管理;既熟悉电算化知识,又熟悉网络知识;既会业务操作,又能解决实际问题的会计人员。目前相当数量的会计人员的专业知识薄弱,尚不能适应网络会计的发展要求。因此,会计人员素质不高也是网络会计发展中面临的一个问题。
针对上述问题,我们应从信息安全、内部制度和人才应用等几方面采取相应的措施。
二、对网络财务发展的对策建议
(一)会计信息系统安全对策
会计信息系统是一种特殊的信息系统,它除了一般信息系统的安全特征外,还具有自身的一些安全特点。会计信息系统的安全风险是指由于人为的或非人为的因素使会计信息系统保护安全的能力的减弱,从而产生系统的信息失真、失窃,使单位的财产遭受损失,系统的硬件、软件无法正常运行等结果发生的可能性。保障会计信息系统安全对会计信息安全有着重要的意义。
保障会计信息安全的措施有二个方面:一是采用有效安全技术,网络财务软件采用两层加密技术。为防止非法用户窃取机密信息和非授权用户越权操作数据,在系统的客户终端和服务器之间传输的所有数据都进行两层加密,确保会计信息的传输安全。二是制定和实施安全管理措施。根据会计电算化要求,建立健全岗位责任制度、安全日志等相关制度规定。
(二)内部控制措施
为了保证会计信息的准确性和可靠性,企业应在内部采取必要的控制措施,来维护网络会计信息系统的安全。
(1)组织与管理控制。一是要设置网络管理中心,由网管中心全盘规划,采取措施确保各工作站、终端和人员之间适当的职责分离。二是要优化配置人力资源。制定措施,确保人力资源的合理利用。三是要发挥内部审计的作用。通过内部审计部门对网络会计系统信息质量进行独立和公正地监督与评价,有利于系统内部自我约束机制的建立。
(2)系统开发控制。系统开发控制是为保证网络会计系统开发过程中各项活动的合法性和有效性而设计的控制措施,它贯穿于系统规划、系统分析、系统设计、系统实施和系统运行测试与维护各个阶段。其主要内容包括:第一,明确开发目标,制定管理计划,监督开发质量,检查各功能模块设置的合理性及程序设计的可靠性,提高系统的可审性。第二,利用网络在线测试功能,检验整个系统的完整性,并应对系统抗干扰能力和发生突发事件的应变能力以及系统遭遇破坏后的恢复能力进行重点测试。第三,一旦发现网络系统各类软件可能存在的安全漏洞,应立即进行在线修补与升级,并将所有与软件修改有关的记录报告及时存储归档。
(3)网络系统安全控制。第一,硬件设置安全控制。应制定网络计算机机房和设置的管理制度、岗位职责和操作规程,严格禁止无关人员接触系统,关键的硬件设置可采用双系统备份。第二,系统软件安全控制。严格控制系统软件的安装与修改,对系统软件进行定期检查,系统被破坏时,要求系统软件具备紧急响应、强制备份、快速恢复的功能。第三,会计信息安全控制。会计信息安全的基础是密码。如通信线路上的数据流加密,数据库中的数据文件加密,及访问者的身份认证等。除此之外,模式识别的方法也在网络信息安全方面得到应用。
(4)应用控制。应用控制是指在网络会计系统的数据输入、通讯、处理和输出环节所采用的控制程度和措施。第一,输入控制。输入控制的重点在于建立适当的授权和审批机制,并对输入数据的准确性进行校验。第二,通讯控制。通讯控制的重点在于批量控制,业务时序控制、数据编码控制与发放和接收的标识控制等。第三,处理控制。处理控制的重点在于处理过程的现场控制、数据有效性检测和错误纠正控制等。第四,数据输出控制。输出控制的重点在于数据稽核控制,授权输出控制和打印程序控制等。
(三)建立安全防范机制
安全问题是网络财务发展中不可回避的重要问题。在网络财务中,处在网络中的任意一台计算机都可获得其他计算机的信息资源,本企业的网络财务系统随时都可能受到威胁,企业的财务数据等重大商业机密很容易遭到破坏或泄密,这将造成不可估量的损失,因而保证网上财务信息安全可靠成为了关注的焦点。建立安全防范机制,保障网络系统的安全性是我们必须要做的工作。
保障网络系统的安全性:首先,建立一个安全、可靠的通信网络是非常必要的,这样可以确保会计信息快速安全传递;其次,制定网络计算机机房和设备的管理制度、岗位职责和操作规程,严格禁止无关人员接触系统,加强网络财务的硬件系统安全;第三,加强系统软件安全控制。建立定时检查更新制度,定期对网络财务系进行维护 更新,确保数据库信息的真实完整,把一些陈旧的会计信息保存起来,及时上传新的会计信息,以便投资者及时用于投资决策。 第四,技术防范措施。一些黑客为了获取企业重要的、秘密的信息非法对网络财务系统的入侵,或者采用病毒对企业网络财务信息进行攻击,使企业会计信息流失。为了防范这种人为的侵袭,应采取设置防火墙、身份认证和授权管理、设立密钥等安全技术,限制外界故意的侵入,用以隔离开局应用系统与外界访问区域之间的联系,限制外界穿过访问区域对网络应用系统服务器尤其是对会计数据库系统的非法访问;加强原有的基本账户和口令的控制,提供授权访问控制和用户身份识别。
(四)企业人才策略
企业要顺应市场的竞争,首先要引进高层次会计人才,其次,要有计划、有步骤、有针对性地组织开展会计人员的培训工作。改善会计人员的知识结构,不断进行知识更新。提高会计人员的计算机应用水平,特别是计算机网络技术,培养熟悉科技与管理知识的复合型会计人才,以适应国际竞争需要。
一、农机监理电子档案所包括的主要内容
农机监理电子档案主要包括全市拖拉机及驾驶员电子档案、外省籍驾驶证及拖拉机登记电子档案。采用的是浙江省农机监理业务系统软件,整个软件分为牌证受理岗、牌证管理岗、考试岗和档案管理岗四个岗位。在一岗中主要进行拖拉机注册登记、转入登记、变更登记、转移登记、抵押登记、注销登记、拖拉机变更备案、补换牌证、换发牌证等牌证受理业务。同时还进行拖拉机驾驶证初次受理、增驾受理、转入受理、其他业务受理、管理岗、违法行为记分、驾驶证注销等业务。在二岗中,主要对一岗中受理的拖拉机及驾驶员档案业务进行管理送审,属于牌证管理岗的范畴。在三岗中,主要为考试岗,对于在二岗中拖拉机驾驶员初次受理和增驾受理的人员进行科目一、二、三、四的考试,并给予考试评分,只有通过科目一、二、三、四的拖拉机驾驶员才可在二岗里核发拖拉机驾驶证。在四岗中,主要是档案管理岗,主要为拖拉机及驾驶员档案归案、档案查询、档案更正、档案增补及对已被注销的拖拉机及驾驶员档案的高级查询。农机监理电子档案的应用,可以迅速和准确地计算出全市拖拉机及驾驶员在册的拥有量、年检年审的情况、农机事故的统计数据和外省籍驾驶证及拖拉机的登记情况,给农机监理工作带来了很多便利,大大提高了工作效率。
二、影响农机监理电子档案安生性的不利因素
1.档案安全保护意识薄弱
档案安全保护教育不普遍,档案安全意识淡薄,缺乏安全风险意识,突出表现在档案网络工作“安全第一、预防为主”的意识不强。档案服务及利用人员由于网络安全防护技术较低和安全防护意识不高,造成的无意侵权或电子档案光盘存储的选择等问题,都给农机监理电子档案的安全保管带来威胁。
2.计算机软硬件的设备故障
由于农机监理的电子档案一般不能直接利用,它的形成和处理与利用均需借助计算机软硬件设备的支持才能实现。而计算机系统是由许多部分组成,每个部分的薄弱环节都极易遭到破坏。如:数据易被误输;应用软件易被篡改或盗用;硬件设备中的芯片和电子线路易被损坏等。这些故障的发生都有可能导致农机监理电子档案的丢失或破坏,从而对农机监理造成不可挽回的损失。
3.电子档案存储载体的保护技术问题
农机监理电子档案的载体材料是磁性物质和光盘。聚酯底基是磁盘和磁带的支持体,它具有易产生静电而吸引尘埃导致卷曲、易与磁粉脱离、伸长后不易恢复等缺点。粘和剂起着连接底基和磁粉的作用,它具有易热胀冷缩、磨损、脱落、粘连、生霉等缺点,直接影响信息再现。并且磁粉中的磁性氧化物颗粒的剩磁感应强度是记录和再现信息的决定因素,它极易受外磁场的影响而导致退磁、消磁等。目前光盘常用的介质主要有碲、碲合金、硒、碳铝化合物以及一些在激光热效应作用下易产生物化性质变化的材料,这些材料不稳定,易氧化,易与碱溶液发生反应。因此,电子档案载体材料的这些特点,决定了农机监理电子档案容易受外部环境的影响。
4.计算机病毒与黑客的攻击
计算机病毒已成为当今破坏计算机操作系统的头号杀手,它是一种特殊的具有破坏力的计算机程序,具有自我复制能力,会以各种方式和途径攻击计算机系统的应用软件和数据库以及硬件设备,并可通过非授权入侵在可执行程序或数据文件中,从而造成电子文档的破坏或系统的瘫痪。此外,有些计算机黑客也利用电脑网络进行犯罪活动,他们伺机寻找系统和软件方面的某些缺陷来攻击,通过破译口令与密码而获取使用权限。非法访问、删除或修改某些重要电子文档,使文件所有者和利用者均遭受巨大损失。
三、加强农机监理电子档案安全管理的相应对策
1.加强电子档案安全管理的宣传教育,增强责任意识
要大力普及农机监理电子档案信息安全知识及网络窃密知识,使广大农机监理档案人员了解电子文档的特性,防范农机监理电子文档无意丢失或泄密,提高对各种攻击手段的认识和警惕性,如不随意下载或安装不明软件,不随意打开陌生电子文件等。对农机监理电子档案保护意识融入到档案的价值论中,从而营造农机监理电子档案安全保护新环境。
2.充分采用信息备份技术
信息备份是信息安全保障最重要的辅助措施,它可以为受损或崩溃的信息系统提供良好、有效的恢复手段。一旦原文件遭到破坏,还有相同的备份文件可以取而代之,为了防止存档载体物理性能变化或设备故障而丢失信息,农机监理电子档案的备份系统可以从硬件级备份、软件级备份、人工级备份三个层次入手。每年应对备份磁带或光盘进行抽检,并对农机监理电子档案的读取、处理设备的更新情况进行一次检查登记,这种多层次的综合应用才能达到理想的备份目的,做到万无一失。
3.加强电子文件的载体保护
电子文件载体使用的是磁性、光学材料等精密型载体,对保存环境提出了很高的要求。因此对电子文件载体的保护可以参照《电子文件归档与管理规范》的要求,改进电子档案的存放环境,保持适应的温湿度,采用去湿机,去湿剂氯化钙和硅胶、空调调节系统等措施调节档案库内温湿度。并将农机监理电子档案避光保存,避免光线尤其是紫外线直接照射光盘,最大限度地减少电子档案曝光时间和曝光强度。同时,农机监理电子档案在整理、保管、利用时应避开电动机、发电机、变压器、电视机、消磁器、无线电装置等具体退滋或消磁设备的干扰。
4.多渠道防治计算机病毒和各种攻击
由于我国会计审计领域制度的不完善以及会计市场的无序竞争,越来越多的会计从业者抵挡不住诱惑,出现了做假账等行为,导致诚信问题成为会计行业的热点话题。本文立足信息环境的大背景对当前会计审计诚信问题展开讨论,并提出相应解决方案以期能净化当前会计审计领域风气,为企业提供一定的参考。
毋庸置疑,诚信问题对会计行业及会计从业者来说十分重要,会计行业从业者的职业操守是会计行业的立业之本,也是会计工作进行过程中的基础。而当今,诸多诚信问题却在挑战会计行业的底线。信息时代的到来给会计工作提供了许多便利,很多企业逐渐成了一套具有整体性和规模性的信息化建设体系,但这同时也为会计作弊操作带来了更多的操作空间,使会计诚信问题更加严峻。我们需要时间来完善相关法律和制度来适应信息时代的到来。
1 信息环境下出现会计诚信问题的主要原因
1.1 信息不对称是当前诸多会计诚信问题出现的前提
会计行业的信息不对称是指在信息环境下,经营者掌握着大量的会计信息,处于有利地位,而其所有者则出现信息不对称处于弱势地位。随着市场经济的发展和成熟,企业内部的所有权和经营权分离是大势所趋,因此在会计审计过程中,信息不对称会给做假账以可趁之机进而导致所有者政策制定的失误。
1.2 会计制度不完善
市场经济的快速发展以及互联网信息技术的不断成熟极大地改变了原有会计运作方式,致使很多新的经济事项的不断涌出。而我国当前的会计制度和会计体系还相对比较落后,因此导致其在执行过程中较为无力。很多繁杂的规定不但会影响到现有工作的效率,很多领域的空白也为很多从业者提供了钻空子的机会。
1.3 缺乏系统、合理的会计监督体系
会计审计工作中的监督体系不健全的问题在全国广泛存在,现有的监督体系和工作监督流程缺乏科学行、完善性和时代性,这就导致相关工作人员在进行审计工作时无法可依,无章可循,对有些违法和舞弊行为无法作为。
1.4 会计审计工作存在信息安全漏洞
计算机和互联网技术的广泛应用极大地提高了当前会计工作的效率,但同时产生了大量的信息安全问题。很多企业和单位在计算机系统上没有必要的保护措施,没有处于保护状态的会计审计数据极易受到黑客或木马的攻击,侵入者非法操控或篡改数据严重影响了会计审计信息的安全。同时一些会计审计人员缺乏防范和安全意识,没有定期更新安全系统或误使计算机中毒等操作也会严重影响到会计数据的安全性。
1.5 缺乏良好的诚信环境
没有一个良好的大环境,加之违法成本低,很多会计从业者受利益的驱动出现造假问题。诚然,从业者职业道德不高是产生会计审计造假的一个主要原因,但更深层次的原因是诚信行为缺乏支持和保证,政府和行业没有起到良好作用。应该看到,对此类违背诚信现象的纵容就是对守诚信者的打击。
2 信息环境下实现会计审计诚信的解决方案
2.1推行会计委派制度
向企业委派的会计具有身份独立性和工作自主性的特点,此举可有效针对会计审计中的信息不对称问题,有效预防传统审计方式中会计人员迫于周围压力而进行的信息造假,从而在企业内部建立一套会计审计工作新秩序。
企业推行会计委派制度能够有效缩减内部监督成本,推动内部控制制度的执行。在这种制度下,外部委派的会计人员进行会计审计工作时能够真实反映实际经济状况,塑造企业的诚信形象。
2.2 营造诚信氛围
企业在维持正常开支之外应定时开展对会计审计人员的诚信教育,确保从业人员建立诚信意识、遵守职业道德。根据实际,采用有效手段营造诚信为先企业经济环境和管理环境,构建一个“诚信为荣、背信为耻”的企业文化氛围。除了这些长久之计外,还要加大对破坏诚信氛围的打击力度,提高会计审计工作的质量。
2.3 营造安全的会计审计信息环境
安全的信息环境是确保会计审计工作诚信的一个重要的物质层面,应从以下四个方面入手:一是要推进会计审计工作的信息化,加大会计审计软件和系统的开发和升级,最大程度减少人为篡改信息的可能。二是做好会计审计人员的教育和培训,使得会计审计工作得到数量和质量上的提高。三是要建立起一套完整的会计审计信息系统安全防护体系,通过身份认证、权限设定、功能限制和加密处理等一系列措施防止企业内部经济数据丢失和被篡改。四是要做好会计审计信息系统的防病毒和防黑客工作,防止信息出现安全问题。
2.4 完善和健全会计审计工作监督体系
在当前的信息环境下,很多人确实意识到会计监督的重要性和必要性,但实施和执行结果却不尽人意,因此需要政府和行业完善和健全相应法律和法规。在法律法规得到完善之后,加大对违规和违法行为的执法力度,做到有法可依,有规可循。
3 结语
诚实守信是会计审工作的灵魂。在市场经济不断发展的大环境下,那些诚实守信的企业会有更好的前景。
诚信原则的建立会使签约成本、契约成本以及监督成本大幅减少,建立良好的社会经济体系,让每个企业都在诚信有序的经济环境中发展,有助于实现企业经济效益的最大化及社会资本的积累。
