摘 要:本文對法務會計師為企業(yè)信息安全管理提供專業(yè)服務的必要性和可能性進行了探討,并論述了法務會計師在企業(yè)信息資產安全管理中的重要作用����。
關鍵詞:信息安全;信息安全管理體系�;法務會計
一��、引言
自20世紀80年代以來�����,隨著信息技術迅速滲透到社會經濟的各個領域,尤其是Internet/In tranet技術和電子商務(E commerce)的廣泛應用�����,推動著人類社會從工業(yè)經濟時代向網(wǎng)絡經濟時代和信息化社會的方向前進�。在這個動態(tài)演進的過程中,經濟發(fā)展越來越需要信息的支持�,信息已成為經濟發(fā)展的戰(zhàn)略資源和社會管理的基本要素。
企業(yè)的信息化建設對于企業(yè)發(fā)展具有重要的戰(zhàn)略意義�����。對信息的采集��、共享��、利用和傳播成為決定企業(yè)競爭力的關鍵因素��。只有實現(xiàn)信息化��,企業(yè)才可能實現(xiàn)企業(yè)生產經營活動的運營自動化��、管理網(wǎng)絡化���、決策智能化��,從而理順和提高企業(yè)的管理水平��,提高設計效率����,降低企業(yè)的庫存�,節(jié)約占用資金,降低生產成本�,改善職工的工作環(huán)境,縮短企業(yè)的服務時間和提高企業(yè)的客戶滿意度����,并可及時地獲取客戶需求,實現(xiàn)按訂單生產�。
但是,信息化也使企業(yè)同時承受著巨大的信息安全的風險��。據(jù)統(tǒng)計���,全球平均20秒就發(fā)生一次計算機病毒入侵�;互聯(lián)網(wǎng)上的防火墻大約25%被攻破����;竊取商業(yè)信息的事件平均以每月260%的速度增加���;約70%的網(wǎng)絡主管報告了因機密信息泄露而受損失。我國公安機關2002年共受理各類信息網(wǎng)絡違法犯罪案件6633起��,與上年相比增長45.9%��,其中利用計算機實施的違法犯罪5301起�,占案件總數(shù)的79.9%.而病毒的泛濫,更讓國內眾多企業(yè)蒙受了巨額經濟損失����。加強信息安全建設,已成了目前國內外企業(yè)迫在眉睫的大事�����。
二��、信息安全和信息安全管理
根據(jù)國際標準化組織(ISO)的定義�,信息安全是“在技術上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護�,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞�����、更改和泄露”。信息安全是一個動態(tài)的復雜過程�����,它貫穿于信息資產和信息系統(tǒng)的整個生命周期����。
信息安全的威脅來自于內部破壞、外部攻擊��、內外勾結進行的破壞以及自然危害��。必須按照風險管理的思想�����,對可能的威脅����、脆弱性和需要保護的信息資源進行分析,依據(jù)風險評估的結果為信息系統(tǒng)選擇適當?shù)陌踩胧��,妥善應對可能發(fā)生的風險�。信息安全的目標就是要保證敏感數(shù)據(jù)的機密性(Confidentiality)�����、完整性(Integrity)和可用性(Availability)[1].為了達到這個目的��,人們建立起信息安全管理體系(InformationSecurityManagementSystems)��。它是組織在整體或特定范圍內建立信息安全方針和目標����,以及完成這些目標所用方法的系統(tǒng)����,表示成方針、原則��、目標�����、方法��、過程��、核查表(Checklists)等要素的集合���。
在信息安全管理體系中���,通過確定信息安全管理體系范圍、制定信息安全方針�、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等建立起信息安全管理框架���。在該體系中���,人們在技術層面作了許多卓越而富有成效的工作來保障企業(yè)信息安全,如密碼學和訪問控制等���。但僅僅依靠技術手段不可能徹底解決信息安全問題����。這是因為����,信息以及信息用戶的社會屬性決定了信息安全中存在非技術因素,而從屬于非技術因素的問題���,無法依靠單純的技術手段加以解決[2].非技術手段主要包括法律手段�����、經濟手段和行政手段等����,在市場經濟環(huán)境中,企業(yè)應首選法律和經濟手段來保護信息安全�����。
三����、法務會計師在企業(yè)信息安全管理中的作用
信息及信息用戶的社會屬性使得法務會計師為企業(yè)提供專業(yè)服務成為必要,而法務會計師獨特的知識結構和專業(yè)經驗使得其在企業(yè)信息安全管理發(fā)揮其獨特作用提供了可能�����。根據(jù)信息安全風險的成因����,法務會計師可以因地制宜地制定相關對策。當前威脅企業(yè)信息安全的主要成因是:
1.技術風險��。主要包括信息電磁化風險和系統(tǒng)及軟件風險。在網(wǎng)絡環(huán)境下�,企業(yè)的各種票證和帳單等以人眼無法直接辨別的電磁信息的形式在網(wǎng)上傳遞并存儲于磁性介質中�,在傳遞及存儲過程中均有被攻擊者篡改或截獲的可能。
2.人員風險�����。由于企業(yè)中負責具體業(yè)務的人員并不一定熟悉計算機操作����,因此在系統(tǒng)使用過程中極有可能出現(xiàn)由于人員操作不當而造成的意外損失。而由于系統(tǒng)管理涉及企業(yè)重要機密�,操作人員是否會利用職權之便對信息進行破壞或剽竊也是企業(yè)管理者應該關注的重要問題。
3.法律風險�����。網(wǎng)絡的出現(xiàn)和廣泛應用對傳統(tǒng)社會產生了強烈的沖擊�,舊有的法律法規(guī)體系已不能完全適應、指導和規(guī)范網(wǎng)絡安全的實踐��。網(wǎng)絡本身的虛擬性�、實時性、廣泛性要求更加切實可行��,更加完備的標準準則和法律法規(guī)的出現(xiàn)。
現(xiàn)階段�,面對信息安全的威脅,企業(yè)缺乏有力的系統(tǒng)性的對應措施和策略�����,基本處于“頭痛醫(yī)頭���、腳痛醫(yī)腳”的狀態(tài)����,解決方案手段單一���,缺乏多種手段的共同治理�。很多組織已經越來越意識到要真正達到信息安全的目標僅僅通過信息安全技術和產品是不可能實現(xiàn)的���,結合法律��、制度等社會性手段的信息安全管理體系(ISMS)的搭建才能實現(xiàn)信息系統(tǒng)的整體安全保障��。因為���,很多企業(yè)信息資產安全管理方面除了存在信息安全技術薄弱方面的原因外��,還存在如下一些問題如��,信息安全管理制度過于簡單����,內容不全�;交叉重復����,混亂無章;求大求全��,無針對性���;鎖在柜中�,無人問津��;以及制度執(zhí)行中的人為破壞等等�。
建立包含技術和法律等手段的多層面的信息安全管理體系可以強化員工的信息安全意識,規(guī)范組織的信息安全行為��,對組織的關鍵信息資產進行全面系統(tǒng)的保護���,維持競爭優(yōu)勢�����;在信息系統(tǒng)受到侵襲時����,確保業(yè)務持續(xù)開展并將損失降到最低程度;使組織的商業(yè)伙伴和客戶對組織充滿信心�,提高組織的知名度與信任度。因為信息安全事關企業(yè)信息資產和業(yè)務安全��,需要通過法制渠道滿足企業(yè)在電子商務和管理環(huán)境中維護競爭優(yōu)勢的需要�����,法務會計師可以充分利用其在法律和會計信息管理方面的優(yōu)勢���,為企業(yè)建立有效的信息資產保護計劃提供有價值的服務�,并依法追究相關組織和人員的責任���。
我們可以根據(jù)企業(yè)信息資產風險要素鏈����,即使命—資產—資產價值—脆弱性—威脅—事件—風險—殘余風險—防護需求—防護措施[3]進行延伸,根據(jù)不同企業(yè)自身的特點�����,對企業(yè)的信息風險—價值鏈進行分析和調整�,如資產/業(yè)務—威脅—防護措施—風險,資產—資產價值—威脅—脆弱性—防護需求—防護措施—風險���,等等。這樣�,法務會計師可以在企業(yè)的信息風險—價值鏈中找到自己所提供服務的著力點,在IT化環(huán)境中為維護企業(yè)信息資產安全�����,減少和消除信息安全風險發(fā)揮自己獨到的作用�����,從資產的分析評價���、漏洞的分析評價�、發(fā)生的事件(日志)等出發(fā)��,以法律、法規(guī)和制度為邊界����,對信息資產的風險和價值進行分析計算,檢查和測試企業(yè)的信息資產的安全程度����,對企業(yè)信息系統(tǒng)進行風險監(jiān)控,并為潛在的或實際的電子企業(yè)糾紛提供專家分析���。
在企業(yè)信息風險———價值鏈中�,最重要的是對信息資產安全的管理���,維護信息資產的價值不受損害����。信息資產管理的主要任務是定義核心信息資產��,并且分析應用環(huán)境中可能存在的風險��。企業(yè)信息資產主要包括硬件(如服務器��、工作站�����、路由器、交換機����、防火墻、入侵檢測系統(tǒng)����、終端、打印機等整件設備以及主版�����、CPU���、硬盤、顯示器等散件設備等)����、軟件(如源代碼、應用程序�、工具、分析測試軟件��、操作系統(tǒng)等)、數(shù)據(jù)(如軟硬件運行中的中間數(shù)據(jù)����、備份資料、系統(tǒng)狀態(tài)��、審計日志�����、數(shù)據(jù)庫資料等)��、文檔(如軟件程序���、硬件設備���、系統(tǒng)狀態(tài)、本地管理過程的資料等)和消耗品(如軟盤�、磁帶等),等等��。法務會計師可以通過信息資產安全風險評估�����,明確存在風險的關鍵業(yè)務資產和業(yè)務流程,協(xié)助企業(yè)業(yè)務人員和管理層對核心信息資產及其風險程度進行確認���,全面權衡實施控制措施的支出與安全故障可能造成的業(yè)務損失����,對企業(yè)信息資產安全管理的方向和目標提出建議�。
參考文獻
[1]陳福莉,譚興烈�����。信息安全管理平臺及其應用[J].信息安全與通信保密���,2006(12)
[2]鄭林��。信息資產的風險管理[J].中國計算機用戶�,2004(26)
[3]國務院信息辦�����。中國信息化發(fā)展報告2006[EB/OL].http://www.ciia.org.cn/
[4]國務院信息辦���。中國信息化發(fā)展報告2005[EB/OL].http://www.ciia.org.cn/
