会计实务中的安全管理与信息安全.docx

会计实务中的安全管理与信息安全 摘要：信息安全问题是当前会计信息化快速发展的严 峻挑战。文章分析了网络环境下会计信息安全的现状，结 合国际信息安全管理标准，立足于会计信息管理措施，在 人员管理，数据及信息管理，计算机软、硬件管理方面探 讨了有效安全管理的方法，阐述了安全管理对于信息安全 的重要意义；提出了管理和技术并重的会计信息安全系统 构建思路。 关键词：网络；会计；安全；管理 会计信息的安全是指会计信息具有完整性、可用性、 保密性和可靠性的状态，它来自于会计数据的完整和会计 数据的安全，并保证会计信息的持续性和有效性。随着网 络的发展，信息技术越来越多的渗透到会计领域，但传统 会计软件的设计多是考虑从业务操作功能上满足会计实务 的要求，对其安全性的考虑较少。会计信息化的辅助软件 虽然具备了强大的信息安全技术，但是又易使人陷入技术 决定一切的误区，迄今为止，网络环境下的多种安全技术 尚未能够确保信息的安全性。企业只有从技术和管理两方 面构建会计信息安全系统，充分考虑技术的持续有效性， 重视对安全工程建成后的管理，才能最大限度地保障网络 环境下会计信息的安全性。国际信息安全管理标准对于信 息系统安全管理和安全认证的分析表明，解决信息系统的 安全问题不能只局限于技术，更重要的还在于管理。因此， 要让安全技术发挥应有的作用，必然要有适当管理措施的 支持。按照该标准“制订自己的准则”的建议，探讨管理 对于会计信息安全的重要作用，兼重管理和技术，对于真 正实现会计信息安全目标具有重要意义。 一、目前会计信息安全的现状及研究 目前会计实务中的信息安全面临诸多问题。如会计管 理越权、不相容岗位分工不清会导致会计信息的损坏；在 网络环境下，伴随电子商务的发展而出现的会计数据载体 无纸化使会计数据被篡改成为可能；网络本身的安全性问 题，则可能会使会计数据在传输过程中受病毒、黑客的威 胁等。目前国内被大量使用的传统会计软件主要是代替手 工会计核算和减轻会计人员的计账工作量，本身的安全性 设计相对较差，当其在网络环境下使用时，上述的某些问 题就更加显著。据一份针对英国 900 家不同类型组织做的 问卷调查，1999-XX 年有超过一半的政府机构及 2/3 的民营 组织，正面临信息科技的不法入侵、滥用甚至破坏。而对 大部分组织而言，信息安全的问题尚无一个明确的解决方 案。许多文献针对会计信息安全问题进行了研究，但大多 集中在技术方面，如电子数据的存储加密技术、传输加密 技术、密钥管理加密技术和确认加密技术、数字签名等。 也有很多文献从不同的角度对会计信息安全的管理保障进 行了有益的探讨。本文从内部控制，计算机软、硬件管理 的角度，参考 ISO/IEC17799：XX 推荐的部分控制措施，探 讨了针对会计实务的信息安全管理控制方法，结合对信息 安全技术应用的分析，阐述了会计信息安全管理系统的构 建过程中需注意的几个薄弱环节。 二、会计信息安全管理 内部控制 XX 年美国 FBI 和 CSI 通过对 484 家公司的调查，安全 威胁和安全事件研究统计表明：超过 85的安全威胁来自 企业内部。本文先从企业内部分析网络环境下会计安全问 题。 1、确保不相容岗位相分离，防止越权。管理越权、分 工不清这些问题在传统会计模式下也会出现，但应用信息 技术后，信息载体的无纸化等特点使此类问题更易出现且 较隐蔽，多数文献指出，实行用户分级授权管理，建立岗 位责任制，并赋予不同的操作权限，拒绝其他非授权用户 的访问。对操作密码要严格管理，指定专人定期更换密码。 在会计实务中可以推广应用生物识别技术，其具有更多优 点，比如会计与出纳有不同的权限，拥有各自的密码，因 为会计与出纳工作往来频繁，密码被对方获取的情况时有 发生，影响了会计信息的安全性。而生物识别技术如指纹 只能本人在场的情况下方可操作，并且不存在遗忘或丢失 的问题。 2、保障原始数据安全性。信息来源复杂性、接触信息 的部门和人员多样性，增加内部控制难度，使原始数据错 误、信息篡改的风险加大。例如，原始凭证是进行会计核 算的原始资料，是证明经济业务发生的唯一初始文件，有 较强的法律效力，在网络环境下，有些原始凭证是通过网 上交易取得，如电子单据、电子货币结算等网络经营业务。 为使其与纸质原始凭证在安全性上达到同样的功效，多数 文献提出的建议是利用网上公证技术及各种加密技术。但 以磁性介质为载体的凭证易被篡改或伪造而不留任何痕迹 的问题是计算机及网络本身的缺陷，即使是采用了网上公 证技术，其法律效力仍无法与印鉴相比，因此其安全性并 不能超过纸质原始凭证，作为会计核算唯一凭据的原始凭 证，其地位至关重要，所以网上交易完成后必须索要纸质 原始凭证，以备核对、保留，尽可能确保会计信息完整性、 可用性。 3、保障会计档案安全性。会计档案是唯一保存完整的 会计历史资料，是核实已发生会计活动最重要的依据，信 息技术应用于会计后，部分会计档案是以磁性介质存储的。 若保管、备份策略和方法不合理，会形成会计安全隐患。 例如，电子档案存储介质体积小、无纸化等特点与传统档 案相比更易于被窃取或泄漏，所以管理人员必须持有上岗 证，并且要经常进行档案法、保密法培训。在收集过程中 要注意相关设备或软件的收集，使会计电子档案在将来任 何时间都可查阅使用。企业备份电子档案的同时，应对已 存档的电子档案定期检查、复制。电子档案的定期复制的 时间应根据存储介质的性质而定，在不浪费成本同时保障 会计档案安全。 XX 年 6 月，财政部公布的企业内部控制基本规范 第 4 章明确指出：“内部会计控制的方法主要包括：不相 容职务相互分离控制、授权批准控制、会计系统控制、预 算控制”有文献提出，将这些有效的内部控制方法、 思想集成在软件功能中。单纯地依靠企业制定的内部控制 制度来加以内部控制，当内部人员协同舞弊时，会导致内 部控制制度的失效。将内部控制集成在会计软件中可以确 保会计信息正确、安全。但将这些有效的内部控制方法、 思想集成在软件功能中需要高素质会计人员及熟悉信息技 术的人员参与，并且需要投入相当数量的资金，维护容易 跟不上，因此现阶段对多数企业来说有一定困难，但资金、 人员基础好的企业可以实施；并且要把基于 PDCA 的持续改 进的管理模式应用其中。 计算机硬件管理 PC 客户端，数据存储设备，网络设备都会影响硬件系 统安全。所以应制定主控机房和相应网络设备的管理制度， 例如专机专用，计算机机房充分满足防火、防潮、防尘、 防磁和防辐射及恒温等技术要求，关键性的硬件设备可采 用双机备份，硬件系统安全预警方案。同时采取相应的激 励措施，把相应人员职责列入目标考核，与奖金相对应， 提高其履行制度的积极性，确保计算机硬件安全。 计算机软件管理 设计、开发的财务软件系统功能与用户实际操作不相 适应，软件存在漏洞，软件售后服务不及时都会影响网络 环境下会计安全。因此，在设计、开发和使用财务软件时， 应重点考虑会计数据及会计软件系统自身的安全问题，采 取的措施能有效确保系统安全运行。保障会计软件安全的 具体措施有： 1、身份认证与权限控制。坚持多重登录和多重密码制， 只有被赋予一定权限的人员、且密码核对吻合时才能进行 相关业务操作，最好采用生物技术。 2、软件升级必须慎重，与原系统有可兼容性，便于查 阅往年会计电子档案。 3、定期备份计算机工作日志文件。 4、选择售后服务好、财政部推荐的会计软件企业的产 品。 人为因素的管理 现阶段，多数企业的会计人员业务经验丰富，而计算 机专业知识和网络知识却知之甚少，不能很好地胜任计算 机和互联网相关会计业务处理工作。复合型高素质人才的 缺乏制约着信息技术在会计中的应用，部分网络会计人员 虽然具备较高业务水平，但缺乏职业道德素质。他们凭借 精通网络会计的优势进行非法转移电子资金和会计数据、 泄密等活动。多数文献提出要加快调整现行会计教育体系， 加大对现有会计人员关于网络会计知识的后续教育。同时 由于现阶段我国会计人员不可能通过短期培训就成为复合 型高素质人才，所以还要从实际出发，使信息技术逐步应 用于会计，在现阶段辅助以传统手工会计，确保会计安全， 如电子交易中原始凭证的确认与保留。 三、信息安全技术的应用 网络的开放性使网络易受攻击，网络的庞大性使病毒 易滋生、传播，会计更易面临诸如泄密、黑客的侵袭而导 致企业跨区域协同工作或与企业合作方网上交易时会计信 息被盗或丢失等风险。计算机网络病毒的存在直接破坏系 统内重要会计数据，使系统不能正常运行，影响会计数据 和信息的安全性和真实性，给网络系统安全带来了极大危 害。多数文献指出电子商务的信息安全在很大程度上依赖 于技术的完善，这些技术包括加密技术、认证技术、访问 控制技术、信息流控制技术、数据保护技术、软件保护技 术、病毒检测及清除技术等。但还应该注意以下方面。第 一，采用以上技术的过程中需要花费一定的成本，一般情 况下，费用是随着安全性的提高而增加的，所以在采用安 全技术的同时要考虑成本收益因素。第二，破解安全技术 的成本不需大于所保护会计信息的价值。如果盗取信息的 人破解密码所花费的费用大于获得信息而得到的收益，将 不会去截取信息。第三，好的系统和好的协议必须根据人 的观念来进行设计。忽略易用性问题导致系统无法达到预 期目标，安全功能非常难以理解，以至于用户无法正确使 用，从而避开这些安全功能，或者完全不在使用该系统。 第四，在网络本身存在种种安全性问题的情况下，要想保 证会计的安全，在利用信息技术快捷的同时，在相当长的 一段时间内仍要依靠印鉴来确保凭证、合同的有效性以明 确经济责任。 四、结论 会计信息安全不仅依赖于会计信息技术的合理可靠应 用，还依赖于一个完善的会计安全管理制度。既有的很多 会计信息安全管理制度尚存一些薄弱环节，其完善是一个 从实际出发的渐进过程。同时，会计信息技术在我国的应 用也将是一个长期的过程，依赖于高素质技术人员的培训 及各类相应配套设施的投资和建立。 参考文献： 1、潘婧.网络会计信息系统的安全风险及防范措施J.财 会研究,XX(2). 2、谷增军.基于数据加密技术的会计电子数据安全对 策J.财会通讯,XX(2). 3、吴亚飞,李新友等.信息安全风险评估M.清华大学 出版社,XX. 4、李筱佳.会计信息化对会计实务的影响及对策J. 财会研究,XX(6). 5、金丽荣.会计信息系统的安全控制措施J.科