摘 要:本文對法務(wù)會計師為企業(yè)信息安全管理提供專業(yè)服務(wù)的必要性和可能性進行了探討�,并論述了法務(wù)會計師在企業(yè)信息資產(chǎn)安全管理中的重要作用。
關(guān)鍵詞:信息安全�;信息安全管理體系�����;法務(wù)會計
一����、引言
自20世紀80年代以來,隨著信息技術(shù)迅速滲透到社會經(jīng)濟的各個領(lǐng)域����,尤其是Internet/In tranet技術(shù)和電子商務(wù)(E commerce)的廣泛應(yīng)用,推動著人類社會從工業(yè)經(jīng)濟時代向網(wǎng)絡(luò)經(jīng)濟時代和信息化社會的方向前進�。在這個動態(tài)演進的過程中,經(jīng)濟發(fā)展越來越需要信息的支持�,信息已成為經(jīng)濟發(fā)展的戰(zhàn)略資源和社會管理的基本要素����。
企業(yè)的信息化建設(shè)對于企業(yè)發(fā)展具有重要的戰(zhàn)略意義。對信息的采集�、共享、利用和傳播成為決定企業(yè)競爭力的關(guān)鍵因素�����。只有實現(xiàn)信息化����,企業(yè)才可能實現(xiàn)企業(yè)生產(chǎn)經(jīng)營活動的運營自動化�、管理網(wǎng)絡(luò)化�、決策智能化,從而理順和提高企業(yè)的管理水平�����,提高設(shè)計效率�����,降低企業(yè)的庫存�,節(jié)約占用資金,降低生產(chǎn)成本�����,改善職工的工作環(huán)境�����,縮短企業(yè)的服務(wù)時間和提高企業(yè)的客戶滿意度�,并可及時地獲取客戶需求,實現(xiàn)按訂單生產(chǎn)�����。
但是,信息化也使企業(yè)同時承受著巨大的信息安全的風險�。據(jù)統(tǒng)計,全球平均20秒就發(fā)生一次計算機病毒入侵����;互聯(lián)網(wǎng)上的防火墻大約25%被攻破;竊取商業(yè)信息的事件平均以每月260%的速度增加�;約70%的網(wǎng)絡(luò)主管報告了因機密信息泄露而受損失。我國公安機關(guān)2002年共受理各類信息網(wǎng)絡(luò)違法犯罪案件6633起�����,與上年相比增長45.9%����,其中利用計算機實施的違法犯罪5301起�,占案件總數(shù)的79.9%.而病毒的泛濫,更讓國內(nèi)眾多企業(yè)蒙受了巨額經(jīng)濟損失�����。加強信息安全建設(shè)����,已成了目前國內(nèi)外企業(yè)迫在眉睫的大事����。
二����、信息安全和信息安全管理
根據(jù)國際標準化組織(ISO)的定義,信息安全是“在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護�����,保護計算機硬件�����、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞����、更改和泄露”。信息安全是一個動態(tài)的復雜過程�,它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期。
信息安全的威脅來自于內(nèi)部破壞�、外部攻擊、內(nèi)外勾結(jié)進行的破壞以及自然危害�。必須按照風險管理的思想,對可能的威脅、脆弱性和需要保護的信息資源進行分析����,依據(jù)風險評估的結(jié)果為信息系統(tǒng)選擇適當?shù)陌踩胧咨茟?yīng)對可能發(fā)生的風險�����。信息安全的目標就是要保證敏感數(shù)據(jù)的機密性(Confidentiality)�、完整性(Integrity)和可用性(Availability)[1].為了達到這個目的,人們建立起信息安全管理體系(InformationSecurityManagementSystems)�����。它是組織在整體或特定范圍內(nèi)建立信息安全方針和目標�,以及完成這些目標所用方法的系統(tǒng),表示成方針����、原則、目標����、方法�����、過程、核查表(Checklists)等要素的集合�����。
在信息安全管理體系中�,通過確定信息安全管理體系范圍、制定信息安全方針�����、明確管理職責�����、以風險評估為基礎(chǔ)選擇控制目標與控制方式等建立起信息安全管理框架�����。在該體系中�����,人們在技術(shù)層面作了許多卓越而富有成效的工作來保障企業(yè)信息安全����,如密碼學和訪問控制等����。但僅僅依靠技術(shù)手段不可能徹底解決信息安全問題����。這是因為,信息以及信息用戶的社會屬性決定了信息安全中存在非技術(shù)因素����,而從屬于非技術(shù)因素的問題,無法依靠單純的技術(shù)手段加以解決[2].非技術(shù)手段主要包括法律手段����、經(jīng)濟手段和行政手段等,在市場經(jīng)濟環(huán)境中�����,企業(yè)應(yīng)首選法律和經(jīng)濟手段來保護信息安全�。
三、法務(wù)會計師在企業(yè)信息安全管理中的作用
信息及信息用戶的社會屬性使得法務(wù)會計師為企業(yè)提供專業(yè)服務(wù)成為必要����,而法務(wù)會計師獨特的知識結(jié)構(gòu)和專業(yè)經(jīng)驗使得其在企業(yè)信息安全管理發(fā)揮其獨特作用提供了可能。根據(jù)信息安全風險的成因�,法務(wù)會計師可以因地制宜地制定相關(guān)對策。當前威脅企業(yè)信息安全的主要成因是:
1.技術(shù)風險�����。主要包括信息電磁化風險和系統(tǒng)及軟件風險����。在網(wǎng)絡(luò)環(huán)境下,企業(yè)的各種票證和帳單等以人眼無法直接辨別的電磁信息的形式在網(wǎng)上傳遞并存儲于磁性介質(zhì)中����,在傳遞及存儲過程中均有被攻擊者篡改或截獲的可能。
2.人員風險�。由于企業(yè)中負責具體業(yè)務(wù)的人員并不一定熟悉計算機操作,因此在系統(tǒng)使用過程中極有可能出現(xiàn)由于人員操作不當而造成的意外損失�����。而由于系統(tǒng)管理涉及企業(yè)重要機密�����,操作人員是否會利用職權(quán)之便對信息進行破壞或剽竊也是企業(yè)管理者應(yīng)該關(guān)注的重要問題�。
3.法律風險����。網(wǎng)絡(luò)的出現(xiàn)和廣泛應(yīng)用對傳統(tǒng)社會產(chǎn)生了強烈的沖擊����,舊有的法律法規(guī)體系已不能完全適應(yīng)、指導和規(guī)范網(wǎng)絡(luò)安全的實踐�����。網(wǎng)絡(luò)本身的虛擬性�、實時性、廣泛性要求更加切實可行�����,更加完備的標準準則和法律法規(guī)的出現(xiàn)�����。
現(xiàn)階段����,面對信息安全的威脅,企業(yè)缺乏有力的系統(tǒng)性的對應(yīng)措施和策略�,基本處于“頭痛醫(yī)頭����、腳痛醫(yī)腳”的狀態(tài)�,解決方案手段單一����,缺乏多種手段的共同治理。很多組織已經(jīng)越來越意識到要真正達到信息安全的目標僅僅通過信息安全技術(shù)和產(chǎn)品是不可能實現(xiàn)的�,結(jié)合法律、制度等社會性手段的信息安全管理體系(ISMS)的搭建才能實現(xiàn)信息系統(tǒng)的整體安全保障�����。因為�����,很多企業(yè)信息資產(chǎn)安全管理方面除了存在信息安全技術(shù)薄弱方面的原因外����,還存在如下一些問題如,信息安全管理制度過于簡單�,內(nèi)容不全;交叉重復�����,混亂無章;求大求全����,無針對性;鎖在柜中����,無人問津;以及制度執(zhí)行中的人為破壞等等�����。
建立包含技術(shù)和法律等手段的多層面的信息安全管理體系可以強化員工的信息安全意識�����,規(guī)范組織的信息安全行為�,對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護,維持競爭優(yōu)勢����;在信息系統(tǒng)受到侵襲時,確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度����;使組織的商業(yè)伙伴和客戶對組織充滿信心����,提高組織的知名度與信任度����。因為信息安全事關(guān)企業(yè)信息資產(chǎn)和業(yè)務(wù)安全�����,需要通過法制渠道滿足企業(yè)在電子商務(wù)和管理環(huán)境中維護競爭優(yōu)勢的需要�,法務(wù)會計師可以充分利用其在法律和會計信息管理方面的優(yōu)勢,為企業(yè)建立有效的信息資產(chǎn)保護計劃提供有價值的服務(wù)�����,并依法追究相關(guān)組織和人員的責任�。
我們可以根據(jù)企業(yè)信息資產(chǎn)風險要素鏈,即使命—資產(chǎn)—資產(chǎn)價值—脆弱性—威脅—事件—風險—殘余風險—防護需求—防護措施[3]進行延伸�,根據(jù)不同企業(yè)自身的特點,對企業(yè)的信息風險—價值鏈進行分析和調(diào)整����,如資產(chǎn)/業(yè)務(wù)—威脅—防護措施—風險�����,資產(chǎn)—資產(chǎn)價值—威脅—脆弱性—防護需求—防護措施—風險����,等等�。這樣,法務(wù)會計師可以在企業(yè)的信息風險—價值鏈中找到自己所提供服務(wù)的著力點�����,在IT化環(huán)境中為維護企業(yè)信息資產(chǎn)安全�,減少和消除信息安全風險發(fā)揮自己獨到的作用,從資產(chǎn)的分析評價�����、漏洞的分析評價�、發(fā)生的事件(日志)等出發(fā),以法律�����、法規(guī)和制度為邊界,對信息資產(chǎn)的風險和價值進行分析計算����,檢查和測試企業(yè)的信息資產(chǎn)的安全程度,對企業(yè)信息系統(tǒng)進行風險監(jiān)控����,并為潛在的或?qū)嶋H的電子企業(yè)糾紛提供專家分析。
在企業(yè)信息風險———價值鏈中�,最重要的是對信息資產(chǎn)安全的管理,維護信息資產(chǎn)的價值不受損害����。信息資產(chǎn)管理的主要任務(wù)是定義核心信息資產(chǎn)����,并且分析應(yīng)用環(huán)境中可能存在的風險。企業(yè)信息資產(chǎn)主要包括硬件(如服務(wù)器����、工作站、路由器�、交換機、防火墻����、入侵檢測系統(tǒng)����、終端�、打印機等整件設(shè)備以及主版、CPU�、硬盤、顯示器等散件設(shè)備等)����、軟件(如源代碼、應(yīng)用程序����、工具、分析測試軟件����、操作系統(tǒng)等)、數(shù)據(jù)(如軟硬件運行中的中間數(shù)據(jù)�����、備份資料�、系統(tǒng)狀態(tài)����、審計日志�、數(shù)據(jù)庫資料等)、文檔(如軟件程序�����、硬件設(shè)備����、系統(tǒng)狀態(tài)、本地管理過程的資料等)和消耗品(如軟盤����、磁帶等),等等�。法務(wù)會計師可以通過信息資產(chǎn)安全風險評估�,明確存在風險的關(guān)鍵業(yè)務(wù)資產(chǎn)和業(yè)務(wù)流程,協(xié)助企業(yè)業(yè)務(wù)人員和管理層對核心信息資產(chǎn)及其風險程度進行確認�,全面權(quán)衡實施控制措施的支出與安全故障可能造成的業(yè)務(wù)損失,對企業(yè)信息資產(chǎn)安全管理的方向和目標提出建議����。
參考文獻
[1]陳福莉,譚興烈。信息安全管理平臺及其應(yīng)用[J].信息安全與通信保密����,2006(12)
[2]鄭林。信息資產(chǎn)的風險管理[J].中國計算機用戶�,2004(26)
[3]國務(wù)院信息辦。中國信息化發(fā)展報告2006[EB/OL].http://www.ciia.org.cn/
[4]國務(wù)院信息辦�。中國信息化發(fā)展報告2005[EB/OL].http://www.ciia.org.cn/
