期刊在线咨询服务,发表咨询:400-888-9411 订阅咨询:400-888-1571股权代码(211862)
购物车(0)
财务安全信息模板(10篇)
财务安全信息例1
二、财务信息安全存在的风险
1、数据损坏风险。数据安全风险包括:物理损坏和恶意破坏。由于公司财务系统是基于网络模式运行,所有重要数据都储存在服务器中,一旦服务器出现问题不能正常运行,对于财务数据会带来不可挽回的损失,而整个财务系统将会受到毁灭性打击。另外,大量的数据通过网络传输,也可能会造成财务信息的丢失、泄漏。
2、信息失真风险。由于财务业务的特殊性,在没有实施会计电算化时,可以通过会计人员的笔迹,以及签章的确认来判断会计业务的真实性,但是实施了会计电算化后,有一部分的签名和签章用计算机处理了,无法判断会计业务是由本人经手还是他人处理。这样就使得手工环境下的内部控制机制受到了削弱。此外,操作人员的误操作也是造成信息失真的重要原因之一。
3、非法入侵风险。在网络环境下,电子符号代替了会计数据,磁介质代替了纸介质,在这个环境中一切信息在理论上都是可以被访问到的,除非它们在物理上断开链接。因此,财务部门在实现网络化管理的同时,很难避免非法侵扰。一些人可能出于各种目的,有意或无意地损坏网络设备,网络(局域网、广域网)上对管理系统进行黑客程序的测试运行等活动,对系统造成极大破坏。黑客活动比病毒破坏更具目的性,几乎覆盖了所有的操作系统,包括财务系统。
三、财务信息安全风险的规避
1、要强化网络安全防范的意识,使得每一个操作人员都有强烈的安全风险意识。要针对用户安全意识薄弱,对网络安全重视不够,安全措施不落实的现状,开展多层次、多方位的信息网络安全宣传和培训,真正提高用户的网络安全意识和防范能力。此外对于财务人员来说还应该加强职业操守的教育,使财务人员牢固树立保密的意识,杜绝由财务人员本身的原因,造成财务信息的泄漏。
2、优化财务流程设计,强化财务审批流程。由于财务信息的特殊性,所以对外公示财务信息一定要统一口径,对于财务业务流程应突出审计环节,对会计风险的控制始终贯穿于会计核算的每个环节。长久以来人们已习惯于按固有本职工作内容处理信息,在信息采集、信息共享方面未建立整体的管理规则,因此,需要企业业务从以职能划分转变为以流程优化重组,达到各部门信息共享、统一。
3、加强财务人员登录管理。由于在财务系统中系统所认的只有登录名,所产生的凭证、报表、其他单据都是以登录名为署名,一旦他人用财务人员的登录名进入系统后,就取得了相应的权限,这将带来极大的隐患。所以财务人员要保管好自己的登录密码,尽量使用复杂的密码。如果财务人员不能正常行使职能,应该在软件中使用权限委托的方式,而不是直接告诉自己的登录名和密码。这点对于行使审计职能的操作员来说更为重要。
4、从软件的角度来说,对于凭证和报表也使用数字签名的功能,电子签章的功能,以避免他人使用财务人员的登录名进入财务系统,填制和篡改凭证和报表,从而给公司带来损失。
目前实现数字签名的方法主要有三种:一是用公开密钥技术;二是利用传统密码技术;三是利用单向校验和函数进行压缩签名。1991年,美国颁布了数字签名标准DSS的安全性基础是离散对数问题的困难性。数字签名一方面可以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动,因为只有发信者才知道自己的私人钥匙,另一方面也确保发信者对自己发出的信息负责,信息一旦发出且署了名,他就无法再否认这一事实。通过数字签名技术,有效的保障了信息真实性。
5、针对操作人员的误操作,应该加强财务人员的计算机水平的培训。杜绝由于操作失误而带来的会计信息失真的风险。
6、建立完整的日志记录制度,对所有的操作人员的所有操作都应记录在案。日志中至少应该包括操作员登入系统的时间,操作内容,以及下线的时间。如果特殊情况要修改已审核的记账凭证,则尽量在软件中保留修改的痕迹。
财务安全信息例2
随着军队现代化建设不断深入,国家对军队经费投入与日俱增。目前我国军队财务信息管理过程中仍然存在着一些问题,例如财务信息管理思想陈旧、管理体制不合理、管理方法落后等问题,所以需要寻求一定的解决方案来解决这些问题,从而使得我国的军队财务信息管理更加科学化和合理化,并且进一步推进军队现代化建设的进程。
1 军队财务信息安全管理的基本内涵
军队财务信息是为保障部队建设、训练和作战任务而进行的经费筹措、分配、使用、管理和监督所必需的资料数据。军队财务信息安全管理,就是对军队财务信息的收集、整理、存储、分析、处理、传递、利用和反馈,以及对其诸多活动要素的系统的安全管理。
2 信息化条件下加强军队财务信息安全管理的重要意义
信息化条件下加强军队财务管理对于增强军队财务运行质量、降低泄密风险、促进军队现代化建设等具有重要意义。
2.1 促进军队现代化建设的客观要求
军队财务信息安全管理是军队财务工作的重要组成部分,更快、更好地完善军队财务信息安全管理体系,是顺应时展趋势,提高部队财务保障力、促进军队现代化建设的一项战略性任务。
2.2 为打赢信息化局部战争提供基本保障
纵观世界风云,战争正向信息化形态快速推进。因此,在现代化战争中,要求财务部门加强军队财务信息安全管理,防止军队财务信息泄露,为测算各种军事需求、网络拨款、网络供应提供安全的保障环境,以便在最短时间内为战争作好充足准备,才能抢占财务保障的制高点,夺取信息战财务保障的主动权,为打赢信息化战争的保障和提升抢占有利先机。
2.3 提高军队财务运行质量的重要途径
就信息化条件下军队财务管理发展的趋势来看,军队的财务管理十分依赖财务信息的反馈和收集。信息化条件下的财务信息安全管理可以第一时间对军队的资金、物资和人员实力状况进行准确的掌握、反馈和收集,这些信息对于上级部门进行决策将起到巨大的参考作用,可以有效提高军队财务管理的科学化水平。同时,随着网络手段的丰富和建设,加强财务信息安全管理可以与这些网络平台进行快捷安全的对接,进而增强军队财务运行质量。
2.4 降低军队财务信息泄密风险的有效手段
现行条件下,军队基本上摒弃了对传统纸质媒介的使用,多使用计算机、军用U盘存储传递财务信息。对可能存在信息泄露的环节进行预判,从源头上切断财务信息泄露的途径,降低军队财务信息失泄密风险。
3 军队财务信息安全管理的存在问题
随着军队财务信息化程度进一步深化,军队财务信息安全必然面临系统安全漏洞、内部侵害、人为泄露等风险。
3.1 系统安全风险
长期以来,计算机系统的各个组成部分、接口和界面、各个层次的相互转换,都存在着不少漏洞和薄弱环节。从全军范围来看,财务部门使用的计算机操作系统基本上都是美国生产的Windows系统,CPU芯片也大量由国外公司生产,它们存在一定的安全漏洞或潜在的后门缺口。此外,由于计算机系统的先天脆弱性,容易产生电磁泄露,即计算机信息系统设备工作时向外辐射电磁波的现象,一旦被侦收复原就造成信息泄露。
3.2 信息防护风险
随着存储技术的发展,各类新型存储产品逐步出现,特别是形式多样的可移动存储介质迅速普及,渗透到财务工作的各个方面。然而受技术发展的限制,市场上大部分电子信息存储产品并不具备良好的安全保密性能。
利用计算机病毒攻击计算机,是目前不法者或外国间谍最常用的一种方法。计算机病毒能够隐藏在正常程序中,窃取到系统的控制权,轻者会降低计算机工作效率,占用系统资源,严重者可导致系统崩溃,影响到财务工作全局。
3.3 内部控制风险
岗位设置不合理、职责权限不明确导致不法分子利用管理的漏洞进行搭载侦听、口令试探和窃取以及身份假冒等,极易造成信息滥用和泄密。
相关法律法规不完善。迄今为止,财务部门还没有建立比较系统、完善的信息安全管理的法律法规体系。
3.4 能力素质风险
一是安全意识薄弱。有些财务人员对新形势下信息安全战线的激烈斗争缺乏足够的认识,对日常工作中的秘密习以为常,思想观念放松,保密意识淡化。出于保密要求,军队内部对使用互联网有着严格的规定和程序,这也给杀毒软件病毒库的升级带来一些困难。由于病毒库版本过时,对于那些新版本的病毒,杀毒软件形同虚设。有些财务人员安全保密意识淡薄,对所使用的计算机及财务软件经常不设密码,或是长期重复使用一种密码不进行更换,这就容易被研究和推导出规律性,从而破译密码,给财务信息安全带来隐患。
二是专业知识匮乏。财务人员多是财务专业出身,没有经过系统的信息安全管理的教育。
4 信息化条件下加强军队财务信息安全管理的几点措施
为加强军队财务信息安全管理,有效防范军队财务信息安全风险,需要在科技研发、技术推广、内部控制等方面下功夫。
4.1 加快科技研发,确保可靠运行一是加大经费投入,应把财务信息安全经费明确立项,确保专款专用。二是发展关键技术,大力发展针对性强的军队专用CPU芯片、安全数据库、病毒防御技术、入侵监测技术等关键技术和产品,确保网络运行安全的技术要求。三是普及应用关键装备。要重点推广应用保密技术和设备。
加强军地融合。军队要充分重视和利用地方在信息网络方面的优势,选择有信誉、有实力的地方企业进行合作,共同研制符合军队要求的软件,专门定制军队需要的硬件,并严格产品质量标准,完善后续服务保障,确保军队财务信息安全。
4.2 加强技术推广,筑牢安全防线
网络信息安全是财务信息安全管理面临的重要问题,必须广泛应用先进技术来严格财务信息安全约束。推广防火墙技术、密码技术等网络信息安全技术控制手段。在军队财务内部网络中建立访问控制系统。通过数据加密,在网络信息传输中分级设置密码,实现信息传递的安全性。
主动对财务信息安全建设基础设施进行完善和优化,注重财务专用机房的建设,加大物理隔离的力度。
4.3 健全内部控制,完善制度机制
加强财务岗位职责分工的控制。设置岗位时要明确岗位责任制,能够相互稽核,以实现内部控制,及时发现违规行为。
加强对财务信息管理过程的控制。包括对财务信息传递、分析处理、使用、检索等的控制。
完善财务信息安全法规制度。当前,军队与信息相关的法规制度建设滞后于网络化、信息化的发展。应及时建立并不断完善财务信息安全管理的法规建设,做到有法可依,违法必究,严格约束财务信息的使用者的行为。
4.4 建设人才队伍,提升人员素质
高素质的管理人才队伍是实现军队财务科学管理的关键。要以适应新形势下军队财务信息安全管理的需要,加快培养高素质的财务人才队伍,不断提高财务人员管理能力和管理水平。
不断完善人才培养机制。吸收精通信息安全技术的高素质人才,构建军队信息安全的财务网络体系,更好地为信息安全管理工作服务。
财务安全信息例3
关键词:
高校财务;信息化建设;完全措施
一、引言
现阶段正处于高校改革的关键时期,也是信息技术迅猛发展的时期。在这样的背景下推动高校财务管理信息化已成为必然趋势,我国高校的财务管理模式由最初的手工会计过渡为电算化管理模式,现阶段已经成为财务信息化管理模式。但随着高校财务信息化迅速发展,相应的安全管理与风险控制并没有提升,造成各种信息安全的问题出现,本文就此展开论述。
二、高校财务信息化现状分析
目前已经进入到互联网时代,给信息化建设提供基础支撑,促进我国教育信息化发展。高校财务管理信息化正是依附高校信息化网络基础上发展而来,目前除过军事院校外我国所有高校均已覆盖互联网,除了特殊用途的计算机外,其余均已并入互联网络。各高校会计电算化模式已经成熟,基本上拜托了传统的手工会计模式,形成通用化电算化管理,促进财务管理效率的提高,已逐步从孤岛式转向信息化管理模式。但近年来高校财务信息化进程缓慢缺乏创新,究其根本,高校财务信息化建设中存在很多新的问题,这些问题缺乏深入性分析,也没有形成相应的完善解决措施。主要表现为三点:(1)高校综合财务信息网站缺乏系统性、规范性及不同权限控制;(2)会计信息数据模式并不规范,数据结构呈现多样化,造成会计信息传递速度过慢、可靠性差;(3)高校财务信息资源管理体系不够统一、齐全及详尽,造成网络访问效率低与安全性能差。
三、高校财务信息化安全问题分析
1.财务软件不规范。目前,各高校财务系统所采用的数据处理软件种类繁杂,功能上又存在高低不一等问题,而软件供应商的技术能力和软件运行所采用的技术也存在很大区别,这些都严重阻碍了高校财务信息化管理,所以急需对高校财务系统所采用软件功能进行规范。同时,许多高校目前所采用的财务软件升级、维护缓慢,缺乏必要的软件管理培训和规范的软件使用说明,导致财务系统的安全性和保密性很差。2.财务网络监控薄弱。互联网网络环境下会计数据通过电子符号的形式呈现出来,而会计数据的传输媒介与保存方式主要是电磁介质,理论上信息化财务数据可以在任何地方、任何时间存在网络情况下访问。但部分高校财务数据网络防护意识薄弱。比如,曾经发生过一高校学生凭借黑客手段直接窃取另一高校学生银行卡信息,直接盗取数万元资金。这种形式的漏洞高校普遍存在,都呈现出监控薄弱与保护措施不足是发生这些情况的主要原因。3.财务风险意识不足。就人员组成结构来看,高校财务管理人员与公司财务管理人员之间存在很大的区别。高校财务管理人员主要看中的是工作经验、政治素养和受教育背景;而公司对于财务管理人员更看重的是其和人工作能力、对公司发展理念的认可等。因此,相比较而言,高校财务管理人员对新技术的适应能力相对较差,且缺乏计算机和网络信息知识。在日常工作中,高校财务信息的安全主要是由数据库管理员和网络管理员负责执行,但就目前高校管理员的工作情况及工作能力来看,其只注重于财务系统的正常运行,确不能明确分辨财务信息的安全级别,这对财务信息的内部安全和财务质量安全极易造成危害。
四、强化高校财务信息化安全管理的措施
1.提高风险管理人员素质。高校财务控制风险从业人员素质,聘用具有相关从业资格证的人员,保证风险管理人员具有一定经验与高素质,在高校内部形成良好的工作氛围,人人按照规则办事,树立正确的职业观与道德观,通过制度规范行为避免发生渎职行为。除此之外,做好高校风险管理部分人员的培训工作,确认风险管理人员熟练掌握风险管理实务技能,从业资格证并不能说明相关人员具备相应的实务能力,各类人员素质参差不齐,高校在聘用后加强培养,提高风险管理技能以适应高校风险管理工作方式。与此同时,高校明确各部门职责,推行岗位责任制,在高校中形成良好的工作风气。在风险管理工作过程中,需要加大预算执行工作力度,提升互联网实际利用率,尽可能满足风险管理工作需求,实现风险管理工作与市场发展实际有效结合,促进高校更好发展。2.建立专门的备份机制。无论是在财务领域,还是其他的商业领域,在信息化的大环境下,资源的备份和恢复都是信息管理最重要的部分,但国内各个领域对数据备份和恢复都不够重视,经常出现发生了安全事故而没有有效备份能够恢复数据的情况。对于高校的财务信息,完善财务数据的备份机制非常重要。首先,精细化财务数据备份流程,明确财务人员的备份工作职责。财务人员应当重视日常财务数据的正确存储、及时汇总和定期销毁;其次,制定明确的备份规则,建立数据备份和恢复方案。高校财务数据的备份可靠性低,缺乏有效性,其主要原因在于一直以来不重视财务数据备份的重要性,缺乏完善的备份机制;最后,制定数据一致性监控方案。高校财务业务日趋复杂,业务量也越来越大,财务数据存在账目调整等数据修正的情况,或是出现账目类型合并增减等数据属性变更的情况,从而备份数据和生产数据的结构和数值可能有所不同。3.提高信息化安全管理。计算机操作系统数据信息重要性不言而喻,需要得到操作者与技术人员的重视,可以从以下几方面展开防范:强化控制访问的力度,设置访问数据的权限,避免未授权用户访问,根据用户等级设置不同的访问权限,根据不同权限设置相应的访问内容。为保证文件安全,可以对重要文件进行加密处理,确保重要文件与信息不会被恶意篡改或是窃取;用户备份数据,避免意外情况丢失数据后无法找回或是数据损坏;对系统进程与信息进行监视,管理人员可以通过任务管理器查看进程,仔细查看进程正常与否。通常隐藏进程潜伏与其他软件进程中,管理人员观察进程时通过进程内存映像进行。计算机信息安全中病毒入侵是最为常见的安全隐患,一旦病毒感染计算机,后者就会出现死机、文件丢失等情况,因此要采取有效措施应对病毒攻击。首先安装杀毒软件,比如360安全卫士、鲁大师等,经常对计算机进行杀毒,消除安全隐患;其次保证一定的警惕心,对陌生人发的网页、链接及邮件等直接删除或屏蔽;再次设置计算机访问权限,避免出现一个目录多个用户的情况。从系统安全管理角度出发,将重要文件设置成只读,避免被人修改或删除;最后外来设备一定要经过杀毒才能在计算机上使用,避免病毒感染,常见的外来设备有U盘、光盘等。
五、结语
总而言之,高校财务管理信息化是满足信息化时展的必然趋势,但出现新事物必然伴着新矛盾。高校财务信息化建设过程中应该警惕其中产生的各种安全问题。构建高效财务管理模式必须配合相应的管理制度与管理措施,彻底发挥信息化带来的作用与优势,避免生搬硬套、东施效颦,依据高校自身财务工作特点制定详细的符合自身发展的道路。
参考文献:
[1]贾云龙.加强高校财务信息化建设[J].行政事业资产与财务.2014(05):11.
财务安全信息例4
认识信息化,驾驭信息化,建设信息化财务,是时代赋予财务工作的崇高使命和艰巨任务。信息安全是信息化财务建设的生命线。财务工作必须面对和正视信息化现状,以积极的姿态建设财务信息化,确保各项财务信息安全无差错。
一、财务信息安全存在的隐患
1、计算机自身的问题
长期以来,人们设计计算机的目的主要是追求信息处理功能的提高和生产技术成本的降低,对于安全问题或没有考虑,或只是作为一项附带条件在设计时顺便考虑一下,因此计算机系统的各个组成部分、接口和界面、各个层次的相互转换,都存在着不少漏洞和薄弱环节。从全国范围来看,财务部门使用的计算机操作系统基本上还是外国生产的,它存在一定的安全缺口。此外,由于计算机系统的先天脆弱性,容易产生电磁泄露,即计算机信息系统设备工作时向外辐射电磁波的现象,一旦被侦收复原就造成信息泄露。
2、病毒入侵问题
利用计算机病毒攻击计算机,是目前不法者采用的一种最常用的方法。尽管计算机病毒种类繁多,表现形态各异,但一般存在传染性、隐蔽性、破坏性和不可预见性等特点。计算机病毒具有把自身复制到若干程序中的特性,一旦搜寻到符合传染条件的程序或存储介质,便将自身代码插入其中,达到自我复制的目的。计算机病毒能够隐藏在正常程序中,窃取到系统的控制权,轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃,影响到财务工作全局。
3、存储介质泄密问题
随着存储技术的发展,各类新型存储产品逐步出现,特别是形式多样的可移动存储介质迅速普及,渗透到工作和生活的各个方面。然而受商业因素的影响和技术发展的限制,市场上大部分电子信息存储产品并不具备良好的安全保密性能,大部分单位在可能导致泄密的关键环节,也没有严格进行限制。一旦这些移动存储介质在含有会计数据的计算机中使用时,就很容易感染木马程序,产生严重的财务数据泄密隐患。
4、网络攻击问题
随着互联网的广泛应用,不少安装了财务软件的计算机都接入了互联网,容易受到来自网络的攻击而致使软件受损,主要有逻辑炸弹和黑客攻击。逻辑炸弹指满足特定逻辑条件时按某种不同的方式运行,对目标系统实施破坏的计算机程序。该程序触发后会造成计算机数据丢失、不能从硬盘或者软盘引导,甚至会使整个网络系统瘫痪,并出现物理损坏的虚假现象。而黑客攻击的主要目的是利用获得的非法访问权,闯入计算机网络,破坏重要数据以及信息网络系统,主要分为恶作剧型、盗窃诈骗型、蓄意破坏型、控制占有型、恐吓勒索型、传播有害信息型和窃取情报型。
二、造成财务信息安全隐患的原因分析
1、主观原因分析
(1)安全意识薄弱。有些财务人员对新形势下信息安全战线的激烈斗争缺乏足够的认识,对日常工作中的秘密习以为常,思想观念放松,保密意识淡化;有些财务人员安全保密意识淡薄或是工作中主观随意性太大,对所使用的计算机及财务软件经常不设密码,或是长期重复使用一种密码不进行更换,这就容易被研究和推导出规律性,从而破译密码。
(2)安全常识缺乏。有的财务人员不注意学习,对泄密安全情况缺乏理解的掌握,涉秘载体乱插乱接,没有养成定期查杀病毒、更新病毒数据库的习惯,造成信息泄露而自己却毫不知情,给财务信息安全带来隐患。
(3)网络防范较弱。随着社会信息化程度的不断提高和社会竞争的日益加剧,竞争对手利用网络非法访问对方的内部信息,利用高超的计算机水平和十分先进的工具,有预谋地入侵对手的计算机系统,窃取、篡改、破坏信息,给财务信息化安全带来了严重的威胁和挑战。
2、客观原因分析
(1)管理机制不健全。由于财务信息化管理起步较晚,对于技术上的安全问题也不太了解,因此思想上没有高度重视信息化管理工作中的安全保密问题。另外,由于部分单位的领导对网络安全方面的问题知之甚少,采取了一种听之任之的态度,形成监督不力、行政管理不严的局面。
(2)基础设施不配套。由于一些单位和部门对财务信息安全管理不够重视,所以基本上没有设立单独的财务专用微机房,不能进行有效的物理隔离。也没有相应的技术条件来实施安全保密,这就形成了一个“瓶颈”,束缚了财务信息化的发展,甚至会产生严重的泄密后果。
(3)相关法律法规不完善。迄今为止,财务系统还没有建立比较系统、完善的信息安全管理的法律法规体系,因而就不能从制度上保障信息安全,从而形成无法可依、执法不严的局面,这就给财务部门的安全管理带来了许多不确定的因素,可能造成管理的混乱和泄露机密的后果。
三、加强财务信息安全的对策
1、建立健全信息安全管理体制,杜绝安全隐患
一是要制定上机操作规程,主要包括软硬件操作规程、作业运行规程和用机时间记录规程等。二是要加快基础设施建设。要调动财务部门的积极性,主动进行财务信息安全建设基础设施的完善和优化,注重财务专用机房的建设,加大物理隔离的力度。选用金属材料,形成屏蔽网,以达到阻隔信息的目的;添设干扰机等设备,以增加信息被破译的难度。三是要完善法律法规体系。建立健全财务信息安全管理的相关法律法规,依法实施财务信息安全管理。这些法规主要包括计算机安全法规、财务安全法规、财务信息资源管理法规、网络安全法规等。目的是用法律机制规范、调节和引导财务部门对信息技术及信息保密技术的研究、开发和应用,建立规范的财务信息安全法律体系。
2、建立完善信息安全防护体系,加强全面监督
一是对财务业务发生的控制,即程序检查。在财务活动发生时,通过计算机的控制程序,对业务发生的合法性、可行性、完整性进行检查和控制。二是财务数据输入的控制。加强凭证控制,做好对平整的审核、自制、输入、传递、保管五个环节全面控制,保证凭证的合法、真实、正确、完整。三是对财务信息的控制,包括对财务信息传递、分析处理、使用、检索等的控制。确保传输的安全,及时更新维护系统,确保财务信息化系统产生数据和信息的安全存储,对各种磁介质材料做好标记、归档、保管,对于内部数据做好备份,保证数据方便快捷地被调用、检索。
3、充分使用信息安全技术手段,突破关键环节
一是信息加密,即通过对信息的变换或编码,将机密的第三信息变换成非法用户难以读懂的乱码,从而有效屏蔽真实信息。主要包括文件加密、数据库加密、存储介质加密和传输数据加密。二是网络隔离,即保证内部网与外部公共网相分离的技术方法,主要包括物理隔离和逻辑隔绝两种。三是入侵检查,即通过在网络中主动寻找入侵信号,来及时发现未授权或者异常行为,并发出预警的动态安全防护技术。四是病毒防护,即利用预防的检测的技术,主动发现并清除计算机病毒,以有效地阻止计算机病毒的危害。五是容灾备份,即通过在异地建立和维护一个备份存储系统,利用地理上的分离来保证财务数据和信息系统对灾难性事件的抵御能力。
4、提高财务人员安全管理意识,减少人为事故
财务安全信息例5
二、信息化背景下集团公司财务信息安全风险的分布
信息化提高了集团公司财务管理的效率和质量,但由于信息化之后财务信息的存储与其物理位置发生分离,因此,集团公司在使用财务信息时必然会涉及到大量会计信息的传输、存储及使用问题。虽然集团公司普遍建立了一定的安全管理机制,但也不能完全保证会计信息的安全。
1、会计信息的传输风险
在集团公司内部,会计信息的传输通常并不需要严格加密,有时只是内部约定一个简单的加密算法即可,会计信息通过网络运营商传递的过程中,都必须保证会计信息的完整性与安全性。但实际上,在传输过程中,企业用户在会计信息完整性、安全性方面高度受制于运营商,从而增加了一定的安全风险。其次,会计信息的传递必然会通过互联网,在传递过程中也可能留下一些痕迹,这就有可能会被竞争对手截取,修改,也会使竞争对手获取对其有价值的会计信息。这些都会威胁会计信息的传输安全。
2、会计信息的存储风险
信息化使集团公司能够更快捷的获取并处理会计信息,但由于采用了大量虚拟技术及分布式储存技术,一些集团公司用户甚至不清楚会计信息到底是存储在哪里的。那些存储在网络数据库中的会计信息,其安全性往往最令人担忧。由于欠缺足够的专业知识,很多集团公司会选择委托专业单位来提供管理密钥,这些专业单位通常需要为大量企业提供加密保证,人员配置的增多,管理难度的加大,互联网的开放性难以避免的会产生一些问题。竞争对手、黑客都有可能利用病毒、间谍软件进入会计信息库,非法截获、恶意篡改会计信息。3、会计信息的使用风险对于集团公司来说,会计信息属于核心商业机密,使用对象大多是与财务密切相关的管理人员,如果在使用环节出现问题,往往会对集团公司造成致命影响。因此,如何确保集团企业会计信息不会被未授权人员使用,是集团企业财务信息安全管理需要解决的重要问题。在实际运用中,有些财务人员的保密意识不足,在工作中长时间出现人机分离,或是用户密码设置的过于简单,或是使用的软件存在漏洞,或是随意使用优盘等,这都会使对关键会计信息的访问留下痕迹。一旦这些痕迹被泄露给非相关人员,或是被不法分子盗取,都会给集团公司造成严重影响。
三、信息化背景下集团公司财务信息安全防范对策
1、加强制度及流程控制
首先,企业应对内控制度建设有一个充分的了解,在此基础上理清其财务信息化流程,明确其中的关键控制点,详细划分各岗位权限,严格限定各岗位所能接触的信息范围。尤其是对于关键的顾客资源、价格信息、生产清单、技术研发资料等,必须进行分级、分离管理,严格控制信息共享的范围,防止出现个人能够触及并了解全流程信息的情况。要从多个方面对财务信息化管理人员的权限加以约束,以免其直接触及核心数据资源。此外,企业在与员工签订合同时,应提前商议好有关技术保密条款,借助制度手段和经济手段的双管齐下,变以往的事后管理为事前管理,以满足财务信息安全的有关要求。
2、采用主动防御技术
企业在推进财务信息化建设时,可应用当前比较先进的主动防御技术,通过软硬件平台的共同管理,加强数据安全防御工作。企业在设计财务信息化平台的登陆环节时,一方面应使用多层次的技术认证,另一方面还要增加相应的硬件认证。如银行部门所采用的Ukey认证,便是由财务信息管理部门根据岗位权限为有关人员进行统一订制和配发,任何员工在登陆财务信息化系统或对其进行其他操作时,都必须进行Ukey认证。此外,借助硬件加密手段,对从公司拷贝出来的数据信息进行加密,对于监管部门、政府主管机构、顾客等外部平台的链接,也要增加高规格的安全技术网关等安全装置,以全面做好数据的保密工作。
3、加强数据库建设与数据存储工作
企业可运用灵活多变的IT基础框架,采用数据服务与数据库服务相结合的方式,搭建按需扩展系统,这一方面保证了企业数据资源的唯一性和准确性,另一方面也有助于各分公司根据自身业务需求来构建独立的数据中心。此外,以信息数据的安全为前提,在建立本地的财务数据中心时,可以运用当前比较流行的云存储技术,建立本地与云端资源相混合的数据存储系统,并藉此对数据进行双工存储、备份及恢复,防止因意外事故导致的财务数据丢失。
4、确保数据安全传送
企业在建立财务信息数据化平台时,必须兼顾数据信息的传送需求,引进当前数据传送最新技术成果,选用与企业财务信息化特征相吻合的数据加密传送协议,确保只有满足公司要求的使用者才能解读和使用相关信息,进而实现信息数据的安全,防止信息被人监控、盗取。
财务安全信息例6
在信息化高度发展的现代社会,财务管理信息系统已经广泛运用于各大中企业。会计核算,财务报告,财务数据分析等都通过财务管理信息系统完成,涉及领域包括财务信息、库存库管、工程项目等。财务管理信息系统,作为企业机密资料的载体,其运行的安全性必须要得到保证。
一、财务管理信息系统安全风险分析
中小规模企业,通常在较为封闭的局域网内使用财务信息系统,系统内数据与外界环境接触的可能性很小,在这种情况下,信息安全重点主要在数据服务器的数据存储上,定期为数据做好备份,保障数据库和应用程序的正常运转,安全保护相对容易。
大型企业由于使用的单位数量多,单位分布区域广,通常需要通过互联网通道在各地进行数据的采集和存储,归积到一起处理,以保障财务系统数据的完整性。在这种模式下工作的开展虽然更加方便快捷,但也对财务信息的安全防护提出了更高的要求。
综上所述,财务管理信息系统面临三个方面风险:
(一)服务器应用客户端的安全风险
在全面电子信息化的大环境下,财务数据信息主要通过服务器进行存储和使用,不再依赖纸制的存储,这就要求保证服务器运行的稳定性和保密性。财务数据信息的保密性要求服务器本身作好防止信息外泄或被恶意篡改删除的风险控制。
(二)管理安全风险
除了上述提到的系统不稳定可能影响财务数据信息的安全,还有一个不可忽视的问题是财务人员违反财务管理信息系统操作规范,主要是某些财务人员在进行财务系统操作的时候违规操作,造成系统使用时候出现信息泄露、或者引入病毒等等,例如将主机联接到外网,违规使用移动硬盘、U盘等情况。
(三)入侵风险
为了扩展财务管理信息系统的使用范围,企业会将系统放置在网络环境下运行。在这样的环境下,一切信息都是可以被访问到的,即使设置了用户权限,对外部用户设置了防火墙屏障,但是还是有一部分人会有意无意地闯入系统,读取后台数据,甚至可能破坏网络设备和硬件,直接造成系统存储设备的损坏,导致数据被更改或丢失。
二、安全的财务管理信息系统架构
本文为安全管理设计出可扩展服务框架技术,它包括动态规划的框架、基础通信、存储管理、自定义协议的设置。如图1。
这种框架在设计中不仅保证不同功能拥有独立性,降低各功能服务之前的偶合性。同时还提高了各种功能代码的通用性,提供可重复使用的可能性,这样可以减少新功能开发中可能出现的重复工作。
系统组件以接口的形式实现了对外开放功能,所以对于模块之外用户来看,每个接口实现路径是透明的,外部用户只要知道了接口的固定调用方式,就可以实现接口的功能。被引用模块只需识别运行的调用模式,无须识别用户,这样的系统具有强大的扩展性。
三、财务管理信息系统安全技术分析
为了保障财务管理信息系统的安全,企业需要制定日常管理使用规范并要求使用者遵照执行,严控权限,针对财务管理信息系统的使用过程和存储过程系统部署如下安全措施策略:
(一)直接在线连接数据服务器的主机上财务数据安全保护策略
本类系统用户通过内、外网客户端可以直接在线连接数据服务器,实时完成数据交换,这要求数据库服务器有良好的稳定性和保密性,能够承载财务数据不断增长的数量,同时也要可以承受可能暴增的集中访问用户数量,最重要的是作好安全防护,防止外部其他用户登陆数据库服务器。
首先,需要给财务管理信息系统客户端登录的用户分配一个专用用户密码,配置数字证书甚至UKEY确保对非正常用户登陆的限制。服务器管理员还需要设置好防火墙,防止不相关用户登陆服务器后台窃取数据,有的公司会设置VPN连接模式,拒绝不相关用户登陆服务器获取数据资料。
此外,将财务管理信息系统内数据信息涉及到的所有的文件格式定义为需要加密的文件格式,整理存储到系统的策略库,并且保持检测文件格式变化进行动态调整。这样保障所有使用到本系统的人员,无论是内部人员还是外部人员,在使用财务管理信息系统的时候,只要操作的文件类型属于策略库内的范围,将被强制自动加密,确保系统内财务数据不被外部系统读取。
除了防止被动的被外部读取到系统内的财务信息数据外,系统还提供一种剪贴保护功能,预防使用人员主观行为上的泄密。这种保护功能下,系统自动识别运行的各个系统,将财务管理信息系统识别为可信和保护的系统,将其他系统视为受限制系统。在受信任系统运行的时候,受信任系统间的各种复制,剪贴,另存为等操作不会受到限制,正常进行;但是涉及到受信任系统内容的复制,剪贴,另存到不受信任系统的操作将会被限制。
(二)离线环境下机密财务数据安全管理策略:
大型企业通常是业务扩展地域范围比较大,在各个地区分别设立财务中心,为了连接各财务中心,集中收集数据,通常是通过互联网将各核算主体与总部数据库连接,进行各项业务处理。在数据接受和传送的过程里面,可能会遇到总部服务器接受数据包不完整的情况,产生的原因可能是网络的不稳定或者数据包过大。目前常用的处理方式是离线系统分割数据多次打包下载收取,然后在本地积累一定数量数据再打包上传总部服务器。业务主要处理过程在本地完成,总部服务器允许多次下载和上传,降低了实时网络状况对数据传输的影响。针对这种情况,提供离线文件的安全使用策略。详细设置如下:
1.安装加密文件,确保财务管理信息系统用户即使在离线状态下也可以正常使用,即同时在主机或服务器端设置策略,保障离线文件的安全使用安装财务系统的用户即使离线也能够安全使用企业的加密文件。通过控制台设定文件的离线使用策略来保护离线使用文件的安全:
第一步:打开本地安装加密文件;第二步: 打开离线下载文件的加密文件;第三步:核对离线文件在加密文件下限制的有效时间等信息,进行核对。这样的设置下,使用离线文件的用户无论是在外地,或是办公地点外,都能在笔记本上使用这些应该保密的机密文件,同时,还保证这些文件不会被泄露。保障文件能够安全的离线访问,及时得到处理。
2.对离线文件进行共享或者受控权限操作的限制应从以下五个方面入手:
一是在线的用户如果需要将在线文件转出,在离线情况下使用,可以将文件进行授权脱机操作,这样就可以让同一用户在脱机状态下继续进行与在线一样的操作,并且传回在线系统。
二是受到保护的加密文件在共享时保留原有的方式。原来使用什么工具共享,之后仍然只能使用相同工具共享,但是共享时会增加更加细致的权限设置,确保文件使用。
三是在通过验证用户安装在本地的安全密文来打开离线的共享文件的同时,系统还可以让管理员或者提供共享人员设置离线文件共享的时间限制,通过时间的限制,来保障离线文件的时效性,超出有效时间,离线文件将会无法访问。
四是为离线文件设置各种类型的使用权限,包括但是不限于“阅读”“修改”“打印”“复制”“保存”“上传”等,生成一个压缩文件,与离线文件一起共享给离线的用户。离线用户接收到这个文件后,离线密文可以在授予的权限内解开文件,相应的用户只能按照事前设置的权限,对接收的文件进行访问处理。同时,为了保证系统对离线操作的掌控,所有文件在离线状态下的操作和权限信息,将会生成日志,如有超权等不当操作,将会形成特殊提示文件,告知使用者。当文件上传时,日志中将同时上传至服务器上,随时备查。
五是拥有访问修改等权限的用户,也不能通过邮件或者即时聊天软件将离线文件或是其内容向外传送;即使某些用户通过翻墙等手段将文件传送了,因为文件以加密形式存在,获取者将无法解读文件内容,获取信息,这样就保障了数据文件内容保密性。
3.外发财务数据信息权限控制需求部署应用。首先要在企业外发文件管理员的机器上安装安全协同模块制作端。需要外发的文件统一由此管理员审核通过后,使用制作端将其制作成加密文件。其次是制作加密文件的过程中,需要确认认证信息,即要求指定计算机可以打开加密文件、任意计算机插入指定U盘可以打开加密文件、任意计算机插入指定硬件钥匙可以打开加密文件、指定计算机插入指定U盘可以打开加密文件、指定计算机插入指定硬件钥匙可以打开加密文件以及使用用户的权限。
4. 财务数据自动备份功能。除了以上的部署之外,还有一个很重要的就是财务管理信息系统数据的存储和保护。财务数据作为企业业务的真实记录,经常需要查询使用,所以有条件的大型数据库需要作好异地的双备份,防止机房故障导致重要数据丢失,影响正常使用。
本文针对企业财务信息系统安全的管理风险和解决方案进行了探讨,针对使用过程和存储过程采取了适当的措施,规避可能出现的风险,确保企业财务信息系统安全运行。
参考文献:
财务安全信息例7
关键词 网络系统 访问控制 病毒防护 网络安全管理
在财务信息管理系统中,数据安全是最重要的,除此之外还有数据通信网络、管理系统电源设备、系统的密码与服务器磁盘等方面都是要考虑的安全点。具体如下:
一、安全操作网络系统
任何安全措施并不是绝对的,总有被攻破的可能,但是建立一个多层次、多结构的保护系统,可以最大程度确保系统安全,目前在局域网络的电算化会计中,其数据存储多是DBF文件,对这些关键数据的管理就显得极其重要。
由于在网络中存在着超级用户或重要的帐户信息都可以在任何工作站中登录的现象,操作口令一旦被别人控制,财务信息管理的安全就收到了威胁。因此,应通过某种指定关系对超级用户和访问权限较大的用户进行限定,如在指定的工作部登录指定的用户,实行逻辑和物理双重属性的登录认证,甚至对登录的时间段也加以限制。同时在管理系统中,直接超级用户尽量限制使用,除了对系统日常维护外,不允许直接运用超级帐户处理日常事务。入侵者最感兴趣的账号是Administrator,因此除应给此账号改名之外,还有对口令经常性的更换使得入侵者无法进入。在这个基础上,创建一个Administrator的用户名来欺骗入侵者,此用户名没有任何权限,以便达到更好的安全效果。
二、网络电源系统、拓扑结构和场地的安全
相对于局域网的电算化会计,标准化机房建设显得更为重要:具有完善的防盗防火防雷措施;保持机房的清洁卫生,安装温度湿度控制设备;装有可自动更换的双路电源供电系统;对于突发意外事件要有预防机制等。在对财务信息管理系统的安全性、可靠性与应用范围上要充分的考虑,以以太网技术的星型拓扑结构作为局域网的主要构造部件,切记不可使用环形拓扑结构以防一个节点故障对全局造成不利的影响。
三、多级别访问控制设置
在操作系统、网络和应用软件这三类级别上使用访问控制的安全保护措施。操作系统级别上,开机时,用户只有输入正确的用户名与口令,才可以启动系统;在上网时,也要有口令密码的验证输入,当网络系统检测为合法用户时,才可进入,否则拒绝上网;上网后如若对系统资源进行访问,在应用类别中必须对用户权限进行核实,只有与系统设置一致的情况下,才可以访问,否则拒绝;数据库的存取、修改还要设置权限,目的就是确保数据库的安全,严格防止非法用户的侵入,确保财务信息的绝对安全。
在会计电算化局域网内的多级访问的数据和流量应该得到严格的控制,严格使用网络协议,以免数据碰撞引起信息丢失、信息挂起等。
四、网络可靠性
建立一个具有软硬件容错功能的数据传输系统是网络可靠性的重要目标,目的就是财务信息管理系统中的远程数据访问和通信得到保证,这种网络可靠性的建立要求通信网上有足够的动态备份设备,尤其是关键部分的网络设备也要达到动态备份要求。财务信息管理系统的服务器也要采用RAID磁盘陈列、磁盘双工、双主机热备份等技术,确保财务信息的安全,在财务信息管理系统安全上还有设立工作站或子系统。
五、对财务信息管理中的重要信息实行加密
会计电算化局域网的重要组成部分是财务信息管理系统,此系统分布范围广,信息量大,担负着完成负债、所有者权益等财务结算功能,同时对不同地区的销售和费用支出等信息进行处理,这些都是财务信息管理系统的基础数据,因此必须要确保这些数据的安全。信息加密一般从软件系统加密开始,财务信息也不例外,要保证应用系统不被破坏,方法很简单,对系统程序设置口令即可实现。此外,可以使用不同的保密级别设置专人口令来保证系统中的各种功能的正常运行。
六、对计算机病毒进行防御
财务信息数据的访问在财务信息管理系统中具有随机性与很强的实时性,计算机的操作过程是用户直面计算机,同时由于财务系统本身对病毒不具有很强的抵抗力,因此,预防和消除计算机病毒便显得十分的重要。从网络感染到服务器上作为计算机病毒入侵的重要途径,因此客户端入口的预防是最重要的,这包括防病毒与杀病毒两部分,前者是利用智能病毒防御技术使所有病毒不能进入系统,后者是利用快速扫描查毒技术对所有引导型病毒和已知的文件型(包括各种)病毒的消除。以上是有盘工作站,除此之外还有无盘工作站,无盘工作站虽然不具有硬盘和软驱,但是也具有着内存,当服务器上的带病毒程序在无盘工作站上运行时,病毒会保存在无盘站内存中,进而感染服务器上的其他文件,使得病毒在网络上迅速传播。此时要先将病毒预防程序放置无盘工作站中,这样便可以防止病毒运行,避免恶性循环。
除此之外,还有网络安全管理,良好的网络管理是财务信息管理系统局域网安全、可靠运行的重要基础,其主要任务是对网络进行监视,对访问进行控制,对网络资源、网络性能和密钥进行管理。为了增强财务信息管理系统的安全,要制定相应的安全方针和安全策略,在新增加网络用户或增加网络资源时要有正规的程序。
参考文献:
[1]蒋丽.虚拟专用网的安全性研究及在校园网中的应用.大连:大连理工大学.2004.
[2]邱光谊.管理信息系统.电子工业出版社.2002.
财务安全信息例8
随着经济全球化的发展,企业的规模也在不断的壮大,结构也逐渐的复杂,而财务信息系统是企业发展的关键性系统。企业需要在内部网或者外网进行财务信息的传递,一旦发生安全问题,带给企业的影响难以想象。因此,需要对互联网背景下,财务信息系统存在的风险问题进行分析,并且提出解决方案。
1 网络环境下财务信息系统安全风险存在的问题及成因
1.1 财务信息系统管理形式风险
(1)企业部门管理人员的能力参差不齐,任何一个环节出现的失误都会对公司的信息构成威胁;
(2)财务信息系统涉及的环节较为复杂,无法及时的对财务信息进行备份操作;
(3)缺乏集中的管理模式,使得机房无法对其进行有效的监管。
1.2 互联网安全风险
(1)外部网络存在一定的安全风险。但是,企业的发展是面向全世界的,必须借助外网来进行数据信息的传递,虽然满足了各个地区来进行事务的处理,但是却给财务信息的安全性造成了一定程度的隐患。
(2)内部网络存在的安全风险。公司内部为了简化工作流程,借助局域网来进行数据信息的传递和共享。局域网的设施以及安全性需要受到企业的重视,杜绝不良操作对系统的影响。
1.3 企业内部控制存在失效的可能性
在企业财务信息管理过程中,财务信息的变化会影响一系列信息的变化,虽然企业在不断适应财务信息的变化,但是,由于大部分企业缺乏有效的内部控制,无法对财务信息进行有效的管理。
1.4 系统安全隐患
(1)财务信息系统操作存在风险。随着虚拟技术的不断发展,对软件自身产生一定程度的影响;
(2)财务软件自身存在的安全隐患。任何的软件都存在一定程度的漏洞,并且随着系统结构的复杂化,使得软件自身的风险系数逐渐增大。
1.5 数据安全隐患
(1)数据库存在的安全隐患。财务系统所具有的信息量较为庞大,并且具有一定的保密性,如果出现信息丢失,会对企业产生难以估计的不利后果;
(2)接口存在安全隐患。财务信息需要和业务进行同步发展,财务信息和业务软件借助端口进行连接,数据信息的安全性难以进行保证。
2 网络环境下企业财务管理信息系统安全防范措施
2.1 实现集中的登陆管理与信息传送加密
将财务有关的信息进行集中,统一放置在企业的信息管理中心,便于今后的管理和监督。借助专业化的服务器来对企业的网络进行实时的监督和管理。任何人员需要访问企业的信息中心,都需要进行安全度测试,合格之后才具有访问资格。此外,任何人借助局域网或者外网来登录财务平台,服务器已经对重要的数据信息进行加密,没有密码是无法进行信息访问。借助这种集中的管理模式,能够最大限度的保证数据信息的安全性,详细记录互联网的操作流程,对每一个访客的登录进行实施的监控。
2.2 实现分级安全管控
安全预防机制需要按照级别进行划分,才能进行有效的监管。首先,需要在软件和外网的端口位置建立安全预防机制,对公司信息中心进行保护。其次,需要对不同产品建立安全防御机制,提高黑客攻击的难度。借助分级管理的方式,使得各个级别的网络可以正常的进行运行,便于操作,有效对其进行监控,大大的降低了风险系数。
2.3 构建信息安全管控体系
对现有的信息安全管理机制进行完善和健全,并且对规章制度进行完善,大大的降低人为因素对软件的影响。信息安全管理体系的建立需要从以下几点进行入手:
(1)加强互联网软件之间的安全管理;
(2)加强对信息管理的安全管理。
企业需要制定出严格的管理措施,并且定期对信息的安全性等进行测试,增强其安全性,一旦发现问题,及时进行解决,各个部门需要明确自身的职责和义务。
2.4 人为风险控制
(1)财务工作人员的风险控制。财务工作人员需要严格按照规章制度来进行工作,并且在对数据信息的录入和输出过程中,严格按照公司的要求来进行。
(2)财务数据信息保存环境存在的风险。财务人员需要对存有财务信息的电脑进行及时的系统修复和漏洞检查,安装专业的杀毒软件,禁止下载一切与财务无关的软件。财务公司的重要文件可以借助设置密码来对信息进行储存,重要的软件和信息管理网站需要定期的对密码进行修改。
(3)财务数据信息在传递过程中存在的安全隐患。财务人员在企业内部进行数据信息传递时,应该使用内部邮件或者通信系统来对数据文件进行传递,杜绝使用外部网络来进行数据信息的传递。此外,可以借助技术手段来对其进行约束,并且对有关的文档需要进行加密处理,只能使用电话或者即时通讯的形式来传递密码信息。
3 结束语
总而言之,在互联网时代的背景下,财务信息系统的安全性是企业发展的关键性因素。因此,企业需要对财务信息化系统中存在的一系列安全问题和产生的因素进行系统的分析,并且有针对性的提出解决方案和措施,对企业的财务信息系统中存在的安全性风险进行及时的防范,最大限度的确保财务信息的安全性,促进企业的可持续发展。
参考文献
[1]霍宏建.网络财务信息安全风险及防范[J].合作经济与科技,2012(04):56-58.
[2]江菽.试析网络经济下财务管理的出路[J].中国市场,2014(49):316-318.
财务安全信息例9
一、引言
随着时代的发展,以及经济水平的不断提高,人们逐渐意识到了财务外包的重要性。公司在实行财务外包后,在享受其优越性的同时,也会面临着一些风险。公司在实行财务外包后可能面临的风险多种多样,需要公司管理层深思熟虑。主要面临的风险有三种,第一种为最为常见的外包决策战略失误风险;第二种为外包信息安全的风险;第三种风险为外包成本远远的超过了预期。因此财务外包策略在执行的过程中需要考虑到财务外包信息安全的风险以及对这些风险因素进行针对性的甄别,从众多影响因素中挑选出风险因素最后再采取相应的措施来控制这些风险,以达到实行财务外包的公司在避免财务外包信息安全风险的同时,享受到其独特的优点。
二、财务外包的信息安全风险的相关内涵
一般来讲财务外包就是公司通过与承担外包的公司也就是承包商签订详细的合同或者协议,根据合同或者协议内容将本公司全部或者一部分的财务工作委托给承包商,在承包商依法履约其应有的义务后,支付其应有的报酬。如今越来越多的公司意识到财务外包的重要性,甚至把其当成有力的竞争手段。公司的管理层充分的意识到,如果不进行财务外包,那么公司很有可能在激烈的外部竞争中处于劣势,以致予淘汰出局。财务外包在我国目前发展虽然有着广阔的前景,但发展还是比较缓慢的,仍有较大的改进空间。许多公司对财务外包没有完全放下顾虑,仍然对外包后存在的信息泄露风险存有一定的顾虑。
财务外包的信息安全风险也就是指,公司将财务进行外包后公司内一些与公司核心业务有关的重要信息和数据被无意或者有意泄露以及盗用的风险。众所周知,一个公司的财务部门对财务部门的保密度比较高,并且在日常公司的运营过程中财务工作中会产生大量的内部信息,在这些信息之中好多信息对公司来说都是商业机密,如果在财务外包后这些重要信息发生了泄露,那么这对企业造成的损失将是难以估量的,尤其是这些信息被公司的竞争对手的得到,后果就更加不可想象了。因此与财务有关的各项业务一般都会保密,除非强制性披露的要求,否则这些信息是不会向外部透漏的,哪怕是公司一般的管理层有时候也要加以保密。
三、财务外包的信息安全风险的甄别
在实施财务外包决策的过程中,要结合公司自身的实际情况来甄别一些潜在的或者明面上存在的相关信息安全风险,在充分分析这些风险的来源、发生概率以及危害程度的基础上,接着采取相应的手段和方式加以有效的控制,因此在此过程中,安全风险的甄别与控制对财务外包有着重要的影响,甚至在某种程度上可以决定着财务外包是否能够成功。公司财务外包的信息安全风险主要有以下几个方面:
第一、信息泄露的风险。信息泄露风险是公司财务外包所面临的发生概率最大的信息安全风险。此风险的发生虽然有诸多因素引起的,但最主要的因素就是客户公司重要信息或者数据的保密程度不够,或者承包商在采取保密过程中所采用的保密措施不够完善。因此外包商对于客户的资料是否依据实际情况建立了比较严格的保密制度,对于承包商内部的员工是否明确了相关责任追究制度来避免信息泄露风险的发生。这些因素都会对承包商内部员工产生影响,进而会有承包商内部员工将其所接触到的客户信息泄露的可能。
第二、信息被丢失的风险。信息被丢失主要发生在信息传递以及信息处理时,有可能在外包过程中承包商的相关技术不够完善或者不够成熟,因此其相关技术在稳定性以及安全性上仍有不足之处。承包商在面对信息丢失事故时所采取的补救措施是否得当合理、采用补救和预防技术的时效性,这些因素处理的效率和效果都会在一定程度上对信息丢失产生重要的影响。
第三、信息被盗取的风险。发生此风险主要的原因在于外包商对于自己客户的信息资料保护措施做得不够好,相关保护制度不完善,以致于在保护制度或者措施上存在漏洞。因此公司进行财务外包时,承包商是否采取相应的措施来对客户的信息建立起有效的管理制度,以及承包商专业团队成员的整体素质情况等,这些因素实施的好坏,都会对企业信息被盗造成了重要的影响。另外,对信息进行承包的企业属于服务性行业,这个行业的特点也决定了其内部员工的流动性也比较大,因此在人才流动的过程中也在一定程度上加大了所承包企业在信息经营过程中被盗的风险,而且这个风险不容易完全规避。
四、财务外包的信息安全风险的控制
若想进行全面而有效的控制,因此要结合公司所处的环境以及自身的特点,从外包的全过程入手,在整体全局上建立合适的控制机制,从而从全过程以及全方位的减少和防范财务外包后所带来的不确定的各种信息安全风险,进而最大限度的为公司安全运营服务,公司在进行财务外包前要建立信息安全风险的相关防范机制,可以从以下三个方面来入手:
一、引言
随着时代的发展,以及经济水平的不断提高,人们逐渐意识到了财务外包的重要性。公司在实行财务外包后,在享受其优越性的同时,也会面临着一些风险。公司在实行财务外包后可能面临的风险多种多样,需要公司管理层深思熟虑。主要面临的风险有三种,第一种为最为常见的外包决策战略失误风险;第二种为外包信息安全的风险;第三种风险为外包成本远远的超过了预期。因此财务外包策略在执行的过程中需要考虑到财务外包信息安全的风险以及对这些风险因素进行针对性的甄别,从众多影响因素中挑选出风险因素最后再采取相应的措施来控制这些风险,以达到实行财务外包的公司在避免财务外包信息安全风险的同时,享受到其独特的优点。
二、财务外包的信息安全风险的相关内涵
一般来讲财务外包就是公司通过与承担外包的公司也就是承包商签订详细的合同或者协议,根据合同或者协议内容将本公司全部或者一部分的财务工作委托给承包商,在承包商依法履约其应有的义务后,支付其应有的报酬。如今越来越多的公司意识到财务外包的重要性,甚至把其当成有力的竞争手段。公司的管理层充分的意识到,如果不进行财务外包,那么公司很有可能在激烈的外部竞争中处于劣势,以致予淘汰出局。财务外包在我国目前发展虽然有着广阔的前景,但发展还是比较缓慢的,仍有较大的改进空间。许多公司对财务外包没有完全放下顾虑,仍然对外包后存在的信息泄露风险存有一定的顾虑。
财务外包的信息安全风险也就是指,公司将财务进行外包后公司内一些与公司核心业务有关的重要信息和数据被无意或者有意泄露以及盗用的风险。众所周知,一个公司的财务部门对财务部门的保密度比较高,并且在日常公司的运营过程中财务工作中会产生大量的内部信息,在这些信息之中好多信息对公司来说都是商业机密,如果在财务外包后这些重要信息发生了泄露,那么这对企业造成的损失将是难以估量的,尤其是这些信息被公司的竞争对手的得到,后果就更加不可想象了。因此与财务有关的各项业务一般都会保密,除非强制性披露的要求,否则这些信息是不会向外部透漏的,哪怕是公司一般的管理层有时候也要加以保密。
三、财务外包的信息安全风险的甄别
在实施财务外包决策的过程中,要结合公司自身的实际情况来甄别一些潜在的或者明面上存在的相关信息安全风险,在充分分析这些风险的来源、发生概率以及危害程度的基础上,接着采取相应的手段和方式加以有效的控制,因此在此过程中,安全风险的甄别与控制对财务外包有着重要的影响,甚至在某种程度上可以决定着财务外包是否能够成功。公司财务外包的信息安全风险主要有以下几个方面:
第一、信息泄露的风险。信息泄露风险是公司财务外包所面临的发生概率最大的信息安全风险。此风险的发生虽然有诸多因素引起的,但最主要的因素就是客户公司重要信息或者数据的保密程度不够,或者承包商在采取保密过程中所采用的保密措施不够完善。因此外包商对于客户的资料是否依据实际情况建立了比较严格的保密制度,对于承包商内部的员工是否明确了相关责任追究制度来避免信息泄露风险的发生。这些因素都会对承包商内部员工产生影响,进而会有承包商内部员工将其所接触到的客户信息泄露的可能。
第二、信息被丢失的风险。信息被丢失主要发生在信息传递以及信息处理时,有可能在外包过程中承包商的相关技术不够完善或者不虺墒欤因此其相关技术在稳定性以及安全性上仍有不足之处。承包商在面对信息丢失事故时所采取的补救措施是否得当合理、采用补救和预防技术的时效性,这些因素处理的效率和效果都会在一定程度上对信息丢失产生重要的影响。
第三、信息被盗取的风险。发生此风险主要的原因在于外包商对于自己客户的信息资料保护措施做得不够好,相关保护制度不完善,以致于在保护制度或者措施上存在漏洞。因此当公司进行财务外包时,承包商是否采取相应的措施来对客户的信息建立起有效的管理制度,以及承包商专业团队成员的整体素质情况等,这些因素实施的好坏,都会对企业信息被盗造成了重要的影响。另外,对信息进行承包的企业属于服务性行业,这个行业的特点也决定了其内部员工的流动性也比较大,因此在人才流动的过程中也在一定程度上加大了所承包企业在信息经营过程中被盗的风险,而且这个风险不容易完全规避。
四、财务外包的信息安全风险的控制
若想进行全面而有效的控制,因此要结合公司所处的环境以及自身的特点,从外包的全过程入手,在整体全局上建立合适的控制机制,从而从全过程以及全方位的减少和防范财务外包后所带来的不确定的各种信息安全风险,进而最大限度的为公司安全运营服务,公司在进行财务外包前要建立信息安全风险的相关防范机制,可以从以下三个方面来入手:
第一,慎重选择承包商。唯有慎重选择外包商,才能在有效的降低财务外包的风险,这是第一步,同时这也是最关键的一步。在决定承包商之前,要详细的了解承包商的信誉度,因为信誉是经过常年累月积累起来的,因此一般情况下信誉良好的承包商,因为它们不但保密工作做得好,并且各项技术也比较齐全,这些都是保证公司财务外包信息安全的物质基础。并且要有几个备选的外包商公司,来进行综合的比较,择优录取。另外公司还需要时刻关注外包商的相关工作是否有相关合法的知识产权保护制度,这可以在法律层面保护公司的财务外包信息安全。
第二,与外包商签订相关的安全信息合同或者协议。为了保证公司财务外包信息的安全,公司应该与承包商签订详细合理的信息安全协议,并且要合法的、详细的列举公司与承包商的权利和义务,严格控制承包商所拥有的权限,禁止其有越权的行为,并且在今后实施的过程中,要求承包商依法对信息安全做出承诺。在实施过程中若因为外包商的原因造成的信息泄露或者丢失进而对委托方造成经济损失的,那么在合同或者协议中要明确规定具体相关的补偿办法和措施来对委托方进行相应的补偿。由于财务外包还属于新兴的产业仍处于发展初期,因此目前仍无完善的法律法规对其进行规范和约束,这也是财务外包发展所面临的障碍。目前我国的信誉体系仍比较脆弱,并不能完全满足其快速发展的需求,因此唯有订立严格周全的信息安全协议才能在法律层面为公司的信息安全提供最坚定的保障。
第三,合理选择财务外包的内容。公司在决定进行财务外包前,应对财务业务链上的每个环节进行检查,优先将一些非核心的业务外包出去,随着公司与外包商逐步建立起合作信任关系后,在考虑外包一些重要的、核心的业务。对于一些外包后信息安全存在较大风险的业务,公司要慎重考虑,最好不进行外包。这样公司选择的余地更大,更能充分利用外包商的核心优势,并且还可以起到分散风险的作用。
五、总结
本文在分析财务外包的信息安全风险的内涵的基础上,给出了财务外包的有关定义。并结合其定义来对财务外包的信息安全风险进行甄别:有信息泄露的风险、信息被丢失的风险以及信息被盗取的风险。针对这些风险采取了一些风险控制的措施:有慎重选择外包商、与外包商签订相关的安全信息合同或者协议以及合理选择财务外包的内容。通过这些措施可以有效地减少财务外包的信息安全风险,并未财务外包的发展做出相应的贡献。
参考文献:
[1]罗艳.财务外包风险规避的探讨[D].江西财经大学,2010.
[2]柳金叶.企业财务外包风险管理研究[D].东北石油大学,2011.
[3]雷振红.高校信息安全服务外包风险的管理与控制[D].昆明理工大学,2009.
财务安全信息例10
一、引言
随着医院的不断发展和国家医疗卫生管理要求的不断提高,对计算机信息网络系统的依赖性也表现得越来越强,但是计算机信息网络系统所表现出来的先进性,以及所带来的劳动效率提高和生产成本降低,并不能掩饰其存在的种种安全隐患。特别是医院的财务信息网络系统中运载着大量重要的数据和信息,无论是硬件、软件、环境、人为方面的影响都可能导致这些数据遭受破坏,将给医院带来无法挽回的损失。因此保护医院财务信息系统的数据安全,构建信息系统安全平台成为了医院信息化建设的当务之急。
二、医院财务信息系统的安全问题
1. 财务信息系统安全内容
从医院财务信息系统的层次结构及系统资源组成来分析,完整的财务信息系统安全的主要内容包括如下四个方面:(1)实体安全,即系统设备及相关设施(具体包括环境、建筑、设备、电磁辐射、数据介质、灾害报警等)运行正常,系统服务适时。(2)软件安全,即操作系统、数据库管理系统、网络软件、应用软件等软件及相关资料(包括软件开发规程、软件安全测试、软件的修改与复制等)具有完整性。(3)数据安全,即医院信息系统拥有的和产生的数据或信息完整、有效,使用合法,不被破坏或泄漏。具体方法包括用户识别、存取控制、加密、审计与追踪、备份与恢复。(4)运行安全,即医院信息系统资源和信息资源(包括电源、环境气氛、人事、机房管理出入控制、数据与介质管理、运行管理和维护)使用合法。
2. 计算机病毒
不管是良性病毒,还是恶性病毒,都有破坏或干扰计算机系统正常运行的危害。
(1)破坏医院财务信息系统资源大部分病毒在发作时直接破坏计算机系统的资源,如改写主板BIOS中的数据、改写文件分配表和目录区、格式化磁盘、删除义件等,导致程序或数据丢失,甚至于整个计算机系统和网络系统的瘫痪。(2)占用医院信息系统资源。有的病毒虽然没有直接的破坏作用,而通过自身的复制与用大量的存储宅间,甚至于占满存储设备的剩余窄间,以此影响正常程序及相应数据的运行和存储。计算机病毒的运行要抢占内存空间、接口设备和CPU运行时间等系统资源,即使没有严重的破坏行为,也会影响正常程序的运行速度。
三、医院财务信息系统的安全防范措施――以住院处为例
随着医院住院处各项业务不断地整合到医院信息系统内,使得数据量急剧膨胀,数据的多样化以及数据安全性、实时性的要求越来越高,这些都要求医院住院处财务信息系统必须具有高可用性和可靠性。
1. 树立正确的住院处财务信息系统安全指导思想
要想建立好计算机信息系统的安全体系,首先要有明确的指导思想。要把信息系统安全作为一个涉及国家、医院重大利益的产业来看待,在选择医院财务信息安全产品时要立足于国产化产品,不能把国家、医院信息化的安全依托到国外产品的保障上。
建立一套科学的管理制度是从制度上避免环境和人为因素造成计算机故障的有力保证,也是计算机系统安全之必需。(1)建立和健全各项管理制度,保证计算机有良好的运行环境,避免非常事件对系统的侵害。(2)严格按照各种操作规程处理业务,对财务信息系统数据文件的属性进行控制。文件是存储医院信息系统数据的形式,为了保证医院财务信息数据信息的安全,一些重要的数据文件可定义为专用文件、只读文件或对文件的操作权限及用户加以限制。(3)密码权限管理要真正分开,操作员密码要定期或不定期加以更换,以防泄密或被他人盗用。
2. 完善网络通信设备。
(1)中心机房中的核心交换机选用高性能交换机,采用冗余方案,两台核心交换机之间运用多条千兆光纤捆绑互连,运用防止网络中路由器或L3交换机故障的HSRP协议,实现热备份。当其中任何一台出现故障而不能工作时,另一台正常工作的交换机可以平滑地把业务流量全部接管过来,从而保证关键应用的持续运行。(2)分布在各楼层的接人交换机与中心交换机之间通过互为冗余的两条千兆光纤链路互连形成骨干连接。(3)中心机房的核心交换机在管理上运用VLAN技术。将服务器规划到一个专用网段,工作站也要根据地理位置或部门属性规划到另外的网段,配置交换机相应的网络管理软件,对IT资源、流量、数据包进行有效地监控。
3. 计算机病毒的查杀
最好采用将医院的HIS、RIS、LIS、PACS局域系统与Internet网络从物理上完全割断的分布方案,这样可以有效地规避风险。采用将医院的HIS、RIS、LIS、PACS系统与Internet网络融为一体的方案,必须增加必要的防范外部黑客、病毒的攻击手段,比如:网络版杀毒软件、硬件防火墙、入侵检测、桌面管理软件。
就目前的实际情况来看,严格的预防措施只能尽可能减少计算机病毒传染的可能,还不能完全避免病毒的感染。感染病毒后,有效的检查和杀除手段就是安装合适的正版杀毒软件并经常及时升级。杀病毒软件具有检查是否感染上某种或某类病毒的功能,有的杀毒软件能查出几百种甚至几千种病毒,并且大部分杀病毒软件可同时杀除检查出来的病毒。杀病毒软件在清除计算机病毒时,一般不会破坏系统中的正常数据。国内用户常用的杀毒软件有瑞星杀毒软件、江民杀毒软件、金山毒霸、卡巴斯基杀毒软件、诺顿杀毒软件、360安全卫士等。
“魔高一尺,道高一丈”查杀病毒技术和编制病毒的技术在相互较量中提高。一种新的病毒出现后,相应的杀毒技术和杀毒软件就会出现。综合采取预防与查杀措施,就能保护计算机及网络财务信息系统安全运行。
参考文献:
