论文部分内容阅读
摘 要:企业财务信息化逐渐发展成为一种趋势,信息化的过程中财务信息的安全就显得格外重要。如何对财务信息化中的风险进行管理,在理论和实践中都有重大意义。文章通过对财务信息化中的IT风险理论、安全控制要求以及国际IT风险管理标准的研究,对公司财务在信息化中的风险控制的目标体系构建进行探讨,以期对理论和业界实践具有一定的借鉴意义。
关键词:信息化 IT风险 风险控制目标
中图分类号:F234 文献标识码:A
文章编号:1004-4914(2007)10-161-02
一、IT风险与IT风险控制综述
一般而言,IT风险是指由于IT投资而产生的那些会影响商业目标实现的事情。在涉及企业信息安全的商业世界中,如何给IT风险从理论上下定义则并不统一:英国Ernie Jordan ,Luke Silcock(2006)对IT风险给出了两个定义,其一是对业务造成负面影响的信息技术失效,其二是某些信息技术故障对业务造成负面影响。国际标准ISO/IEC17799定义的信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。美国NIST SP800-53对信息安全的定义是:确保信息和信息系统不被非法访问、使用、暴露、中断、修改或者破坏,从而保证信息的机密性、完整性和可用性。刘义理、刘鹏(2003)认为IT风险是一种潜在的可能——某种IT相关威胁将利用IT资源中的一种或多种资产的缺陷而造成这些资产的损失或者破坏。还有专家认为随着会计电算化应用的不断扩展及深入,由于环境及数据处理等方面原因而导致的会计电算化系统客观存在的安全缺陷以及电算化工作中存在的安全风险也逐步增大。这些安全缺陷和风险时刻都在威胁着会计信息的真实性、完整性和及时性。
对财务信息化中的IT风险控制要求而言,我国许多学者从会计电算化中内部控制的角度探讨了IT风险控制的内容。徐波(2006)认为,会计电算化环境下的内部控制内容包括组织与管理控制、操作控制,组织与管理控制包括岗位设置、权限管理和档案管理控制;操作控制则包括输入控制、处理控制、修改控制和输出控制。同时认为应该从数据备份、硬件安全保障和病毒防控几个方面确保信息系统的安全。陈福军(2006)指出,基于网络财务信息系统的内部控制机制,包括组织与管理控制、软件控制、应用控制、网络安全控制、日常管理控制、人员控制和内部审计监督控制几个方面。蔡莉(2003)、李彩莲(2004)、黄晓晖(2006)等也都从管理、技术和人员安全对网络环境下的安全管理进行了探讨。
综上所述,财务信息化中的IT风险可以归纳为信息化的缺陷和系统操作的漏洞对会计信息的真实性、完整性、及时性带来的负面影响。而IT风险控制的目标要求则可以从管理、人员和技术等几个层次来制定控制目标。管理角度可以从组织构建、管理策略、物理环境配置等几个方面,技术角度则可以从网络安全管理、访问控制、系统开发与维护等几个方面来考虑制定。人员的安全主要包括人员的筛选和人员的日常操作过程的安全意识、安全道德、安全培训等。
二、国际IT风险管理标准控制目标
企业财务信息化风险管理的目标,总体而言是为了保证企业财务信息的机密性、完整性和可靠性。而整体目标的实现依赖于各个业务流程中,人员、操作、合法访问、物理环境管理等各方面目标的实现。信息化风险管理的安全控制目标要求,国际上有诸多标准对此做出了详细的规定。诸如COBIT、ISO/IEC17799、NIST等。
COBIT的第一版由信息系统审计和控制协会(ISACF)于1996年发行,现在已经发展到第四版。该标准把IT分成4个领域(计划和组织、获取和实施、交付和支持、监控),共计34个IT业务流程。COBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。
ISO/IEC17799:2000由BS7799的第一部分发展而来。ISO/IEC17799:2000IT风险管理控制分为11大类,其中11大类控制措施分别为安全策略、安全组织、资产管理、人员安全、物理环境安全以及法律法规遵循性管理等。该11类控制措施又具体分为36个一级控制目标,127个二级安全控制目标。
NIST SP800-53是由美国国家技术与标准局制定的总体的信息系统安全框架系列中的安全控制选择与实施方面。该标准将IT安全控制分为管理、操作、技术三大类,17个族(Family),114个安全控制目标。17个族依次为管理类包括:风险评价、规划、系统和服务获取、认证,识别及安全评估;操作类:人员安全、物理和环境防护、连续性计划、配置管理、维护、系统和信息完整性、介质保护、信息安全事件响应、安全意识与培训等;技术层次则包括:识别与鉴定、访问控制、审计和责任、系统和通信保护等。
通過以上三大国际标准的分析我们可以看出,COBIT以流程为主,ISO/IEC17799与NISTSP800-53则是从分类的角度进行安全控制目标的设定。鉴于国内学者和业界的研究习惯,ISO/IEC17799也是在我国应用更加广泛的标准。笔者将从类别的角度来制定我国财务信息化中的IT风险控制目标体系。
三、财务信息化的IT风险控制目标体系构建
参照国际IT风险管理的控制目标,结合我国财务信息化的特点以及财务信息化风险来源的类别,笔者认为,企业财务信息化中的IT风险控制目标可以总体上分为11大类,并在各类别下设置与财务信息化风险相关的一级控制目标和二级控制目标。控制目标体系如下:
1.财务信息安全策略。为企业财务的信息安全提供符合业务需求和法律法规的管理方向和支持。管理层应当制定与业务目标一致的信息安全策略和IT战略,并通过在企业内部发布、维护相应的战略和策略,为企业的财务信息安全管理提供有力的支持。该类别下包括IT风险管理定义、安全方案管理、安全战略规划和IT投资管理几个方面设定一级财务信息安全控制目标。
2.财务信息安全组织。银行应建立一个管理架构,在组织内部推行、管理信息安全。应由管理层牵头、组织管理论坛来讨论及批准信息安全策略、指派安全角色及协调组织内部的安全实施。该类别下可以从组织结构规划、IT审计框架定义两个方面制定一级财务安全控制目标。其中组织结构规划包括IT战略委员会、IT专家顾问委员会、IT监督委员会、岗位与责任划分、职务分离规划、服务提供商及客户管理等几个方面制定二级控制目标。IT审计框架定义包括IT风险审计规划、审计文档管理、审计实施管理、审计实施结果评价、审计结果汇总与上报等。
3.IT资产管理。IT资产是IT治理的对象,进行IT治理首先要对IT资产进行明确的分类。IT资产分类的目的是为了确保资产的保护等级处于适当的水平,保证信息资产受到适当程度的保护。IT资产管理可以从IT资产分类、IT资产绩效与能力管理两个方面制定一级控制目标。其中IT资产分类又可以确定分类标准、明确IT资产责任主体、IT资产等级划分、IT资产的需求管理、资源优先级管理、IT资产标签与记号管理等方面划定二级控制目标。IT资产绩效与能力可以从绩效及能力规划、评估当前绩效与能力、评估预期绩效与能力三个方面划定二级控制目标。
4.人力资源安全。为保证IT资产安全,必须制定相应的策略,以规范人员招聘、培训、转移、操作和解聘等活动,减少冒名顶替、人为操作错误、设备被偷被滥用、泄密等风险。对企业财务信息安全而言,人员的素质和能力对财务信息安全尤为关键,据统计,企业信息的威胁2/3以上是由于人为因素造成的。人力资源安全可以从人员招聘、人员培训、人员操作管理以及人员解聘四个方面制定一级控制目标。
5.物理环境安全管理。IT资产中的硬件需要放置或安装到具体物理环境的具体位置,为保证其安全性和机密性,要详细规定放置或安装环境需要满足的各种条件。同时,为保证硬件本身的安全性和机密性,要对所需监控设备和水电等能源供应做出具体规定。包括安全区域确定、管理物理环境、确保设备安全等三个一级目标。安全区域要确保能防止非法访问、危害及干扰业务运营的前提条件与信息,同时要规划设备配置的区域安全。物理环境的管理主要是要选择安全的物理环境,设备安全要考虑到设备配置的监控和能源(水、电、热)服务的正常供应。
6.通信及运行管理。财务信息化的一个重要特征就是网络化,网络化的过程中必然涉及通信、访问控制等,这几个方面主要是技术的角度来防范IT风险。信息系统在运行过程中,大部分活动需要在局域网以及广域网内进行,通信是其中的重要环节,也是面临威胁最大的环节,这就需要制定详细的措施对通信前、通信中、通信后的一系列活动进行严格的安全控制,以最大程度地降低通信给信息系统和IT资产带来的威胁与风险,进而保证IT战略目标和业务目标的顺利实现。
通信及运行管理主要包括网络安全管理、介质管理、数据管理等三个方面。网络安全管理方面主要包括防范恶意代码和移动代码、防范垃圾邮件和间谍软件、建立可信通道、共访问保护和入侵检查等。介质管理要确保介质的安全存储、放置以及执行安全的废弃。数据管理要确保数据的分类、查询、传输过程中的安全。
7.访问控制。对财务信息的访问控制包括物理和逻辑两个层面。访问控制是指通过强制、制约、限制、约束措施,尽可能地减少或避免非法访问、错误访问、不合理访问。访问控制应明确每个用户或每组用户应有的访问控制规定及权限,用户及服务提供商都应明白访问控制要达到的业务需求。包括访问授权及变更管理、访问日志管理、访问控制强制机制、用户访问管理、系统访问控制、网络访问控制、介质访问控等几个方面。
8.系统的获取与维护。系统的获取包括自研发和外包两个方面,维护则是财务信息安全控制中周期最长的阶段。系统的安全要求目的是为了确保信息系统已实施安全,包括架构、业务及用户开发的系统。支持应用系统或服务的业务流程设计与实施对安全有很重要的影响,所以应该在开发信息系统前就要考虑系统的安全要求。 系统的获取与维护应包括财务信息系统需求分析、确定设计方案、获取各种资产设备、外包服务风险管理、管理服务交付、安装与调试设备、设备维护与更新、密码与密钥机制管理、技术脆弱性管理等几个方面。
9.信息安全事件管理。信息安全事件管理是指建立事件管理的责任及程序,以确保快速、有效及有序应对安全事件。首先要确立应对所有类型安全事件的程序,如:信息系统失败及服务丢失、拒绝服务、因未完成或不准确的业务数据所引致的错误、泄密等。 除了正常的应急计划(用来在第一时间恢复系统或服务)之外,程序还应包括:分析及确定事件发生的原因;避免再次发生的补救方法、计划及措施;收集审计追踪及其它类似证据;与受影响的、或与恢复事件的人员保持联系;向有关部门报告处理措施及结果等。
10.业务持续性管理。业务连续性管理是指通过综合利用预防及恢复措施,把业务因灾难或安全失效(来自于天灾、意外、设备失效及故意破坏)的停顿降到可接受的程度。应分析灾难、安全失效及服务停顿的影响,以便制定及实施应急计划来保证业务进程能够在规定时间内恢复。计划应定期修改,最终成为所有其它管理过程的不可分割的一部分。
11.符合性管理。符合性是指信息系统的设计、操作、使用及管理都要遵守相关的法律法规、机构的安全策略及标准、与第三方签订的合同协议等条款。符合性管理包括制定符合性计划、机构内部人员的审查、向外部顾问咨询、接受外部人员及机构的审计等。
以上从组织管理、人员安全、物理环境等11个方面对财务信息化中的IT风险控制目标的具体内容进行了阐述。值得一提的是企业财务信息是整体信息化中的一部分,虽然财务信息化网是企业信息化最核心的部分,但也将财务信息化中的IT风险管理与企业整体的信息化风险管理紧密结合起来。
四、结论
本文通過对企业财务信息化中IT风险的定义和国际标准中对IT风险控制目标的制定进行了理论层次的分析。财务信息化中的IT风险控制目标仅是IT风险管理的一部分。本文的研究只是从IT风险控制目标的类别以及在制定这些目标时应当考虑的方面进行了探讨,对财务信息化中IT风险管理流程、风险的计算和等级划分等则是需要继续研究和讨论的内容。这些结合在一起,将有利于形成完整的财务信息化风险的IT风险管理体系。
参考文献:
1.刘义理,刘鹏.基于IT治理的企业IT风险管理与控制.电脑知识与技术,2005
2.徐波.会计电算化下的内部控制与安全保障.会计之友,2006
(作者单位:驻马店市豫龙同力水泥有限公司 河南确山 463200)
(责编:若佳)
关键词:信息化 IT风险 风险控制目标
中图分类号:F234 文献标识码:A
文章编号:1004-4914(2007)10-161-02
一、IT风险与IT风险控制综述
一般而言,IT风险是指由于IT投资而产生的那些会影响商业目标实现的事情。在涉及企业信息安全的商业世界中,如何给IT风险从理论上下定义则并不统一:英国Ernie Jordan ,Luke Silcock(2006)对IT风险给出了两个定义,其一是对业务造成负面影响的信息技术失效,其二是某些信息技术故障对业务造成负面影响。国际标准ISO/IEC17799定义的信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。美国NIST SP800-53对信息安全的定义是:确保信息和信息系统不被非法访问、使用、暴露、中断、修改或者破坏,从而保证信息的机密性、完整性和可用性。刘义理、刘鹏(2003)认为IT风险是一种潜在的可能——某种IT相关威胁将利用IT资源中的一种或多种资产的缺陷而造成这些资产的损失或者破坏。还有专家认为随着会计电算化应用的不断扩展及深入,由于环境及数据处理等方面原因而导致的会计电算化系统客观存在的安全缺陷以及电算化工作中存在的安全风险也逐步增大。这些安全缺陷和风险时刻都在威胁着会计信息的真实性、完整性和及时性。
对财务信息化中的IT风险控制要求而言,我国许多学者从会计电算化中内部控制的角度探讨了IT风险控制的内容。徐波(2006)认为,会计电算化环境下的内部控制内容包括组织与管理控制、操作控制,组织与管理控制包括岗位设置、权限管理和档案管理控制;操作控制则包括输入控制、处理控制、修改控制和输出控制。同时认为应该从数据备份、硬件安全保障和病毒防控几个方面确保信息系统的安全。陈福军(2006)指出,基于网络财务信息系统的内部控制机制,包括组织与管理控制、软件控制、应用控制、网络安全控制、日常管理控制、人员控制和内部审计监督控制几个方面。蔡莉(2003)、李彩莲(2004)、黄晓晖(2006)等也都从管理、技术和人员安全对网络环境下的安全管理进行了探讨。
综上所述,财务信息化中的IT风险可以归纳为信息化的缺陷和系统操作的漏洞对会计信息的真实性、完整性、及时性带来的负面影响。而IT风险控制的目标要求则可以从管理、人员和技术等几个层次来制定控制目标。管理角度可以从组织构建、管理策略、物理环境配置等几个方面,技术角度则可以从网络安全管理、访问控制、系统开发与维护等几个方面来考虑制定。人员的安全主要包括人员的筛选和人员的日常操作过程的安全意识、安全道德、安全培训等。
二、国际IT风险管理标准控制目标
企业财务信息化风险管理的目标,总体而言是为了保证企业财务信息的机密性、完整性和可靠性。而整体目标的实现依赖于各个业务流程中,人员、操作、合法访问、物理环境管理等各方面目标的实现。信息化风险管理的安全控制目标要求,国际上有诸多标准对此做出了详细的规定。诸如COBIT、ISO/IEC17799、NIST等。
COBIT的第一版由信息系统审计和控制协会(ISACF)于1996年发行,现在已经发展到第四版。该标准把IT分成4个领域(计划和组织、获取和实施、交付和支持、监控),共计34个IT业务流程。COBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。
ISO/IEC17799:2000由BS7799的第一部分发展而来。ISO/IEC17799:2000IT风险管理控制分为11大类,其中11大类控制措施分别为安全策略、安全组织、资产管理、人员安全、物理环境安全以及法律法规遵循性管理等。该11类控制措施又具体分为36个一级控制目标,127个二级安全控制目标。
NIST SP800-53是由美国国家技术与标准局制定的总体的信息系统安全框架系列中的安全控制选择与实施方面。该标准将IT安全控制分为管理、操作、技术三大类,17个族(Family),114个安全控制目标。17个族依次为管理类包括:风险评价、规划、系统和服务获取、认证,识别及安全评估;操作类:人员安全、物理和环境防护、连续性计划、配置管理、维护、系统和信息完整性、介质保护、信息安全事件响应、安全意识与培训等;技术层次则包括:识别与鉴定、访问控制、审计和责任、系统和通信保护等。
通過以上三大国际标准的分析我们可以看出,COBIT以流程为主,ISO/IEC17799与NISTSP800-53则是从分类的角度进行安全控制目标的设定。鉴于国内学者和业界的研究习惯,ISO/IEC17799也是在我国应用更加广泛的标准。笔者将从类别的角度来制定我国财务信息化中的IT风险控制目标体系。
三、财务信息化的IT风险控制目标体系构建
参照国际IT风险管理的控制目标,结合我国财务信息化的特点以及财务信息化风险来源的类别,笔者认为,企业财务信息化中的IT风险控制目标可以总体上分为11大类,并在各类别下设置与财务信息化风险相关的一级控制目标和二级控制目标。控制目标体系如下:
1.财务信息安全策略。为企业财务的信息安全提供符合业务需求和法律法规的管理方向和支持。管理层应当制定与业务目标一致的信息安全策略和IT战略,并通过在企业内部发布、维护相应的战略和策略,为企业的财务信息安全管理提供有力的支持。该类别下包括IT风险管理定义、安全方案管理、安全战略规划和IT投资管理几个方面设定一级财务信息安全控制目标。
2.财务信息安全组织。银行应建立一个管理架构,在组织内部推行、管理信息安全。应由管理层牵头、组织管理论坛来讨论及批准信息安全策略、指派安全角色及协调组织内部的安全实施。该类别下可以从组织结构规划、IT审计框架定义两个方面制定一级财务安全控制目标。其中组织结构规划包括IT战略委员会、IT专家顾问委员会、IT监督委员会、岗位与责任划分、职务分离规划、服务提供商及客户管理等几个方面制定二级控制目标。IT审计框架定义包括IT风险审计规划、审计文档管理、审计实施管理、审计实施结果评价、审计结果汇总与上报等。
3.IT资产管理。IT资产是IT治理的对象,进行IT治理首先要对IT资产进行明确的分类。IT资产分类的目的是为了确保资产的保护等级处于适当的水平,保证信息资产受到适当程度的保护。IT资产管理可以从IT资产分类、IT资产绩效与能力管理两个方面制定一级控制目标。其中IT资产分类又可以确定分类标准、明确IT资产责任主体、IT资产等级划分、IT资产的需求管理、资源优先级管理、IT资产标签与记号管理等方面划定二级控制目标。IT资产绩效与能力可以从绩效及能力规划、评估当前绩效与能力、评估预期绩效与能力三个方面划定二级控制目标。
4.人力资源安全。为保证IT资产安全,必须制定相应的策略,以规范人员招聘、培训、转移、操作和解聘等活动,减少冒名顶替、人为操作错误、设备被偷被滥用、泄密等风险。对企业财务信息安全而言,人员的素质和能力对财务信息安全尤为关键,据统计,企业信息的威胁2/3以上是由于人为因素造成的。人力资源安全可以从人员招聘、人员培训、人员操作管理以及人员解聘四个方面制定一级控制目标。
5.物理环境安全管理。IT资产中的硬件需要放置或安装到具体物理环境的具体位置,为保证其安全性和机密性,要详细规定放置或安装环境需要满足的各种条件。同时,为保证硬件本身的安全性和机密性,要对所需监控设备和水电等能源供应做出具体规定。包括安全区域确定、管理物理环境、确保设备安全等三个一级目标。安全区域要确保能防止非法访问、危害及干扰业务运营的前提条件与信息,同时要规划设备配置的区域安全。物理环境的管理主要是要选择安全的物理环境,设备安全要考虑到设备配置的监控和能源(水、电、热)服务的正常供应。
6.通信及运行管理。财务信息化的一个重要特征就是网络化,网络化的过程中必然涉及通信、访问控制等,这几个方面主要是技术的角度来防范IT风险。信息系统在运行过程中,大部分活动需要在局域网以及广域网内进行,通信是其中的重要环节,也是面临威胁最大的环节,这就需要制定详细的措施对通信前、通信中、通信后的一系列活动进行严格的安全控制,以最大程度地降低通信给信息系统和IT资产带来的威胁与风险,进而保证IT战略目标和业务目标的顺利实现。
通信及运行管理主要包括网络安全管理、介质管理、数据管理等三个方面。网络安全管理方面主要包括防范恶意代码和移动代码、防范垃圾邮件和间谍软件、建立可信通道、共访问保护和入侵检查等。介质管理要确保介质的安全存储、放置以及执行安全的废弃。数据管理要确保数据的分类、查询、传输过程中的安全。
7.访问控制。对财务信息的访问控制包括物理和逻辑两个层面。访问控制是指通过强制、制约、限制、约束措施,尽可能地减少或避免非法访问、错误访问、不合理访问。访问控制应明确每个用户或每组用户应有的访问控制规定及权限,用户及服务提供商都应明白访问控制要达到的业务需求。包括访问授权及变更管理、访问日志管理、访问控制强制机制、用户访问管理、系统访问控制、网络访问控制、介质访问控等几个方面。
8.系统的获取与维护。系统的获取包括自研发和外包两个方面,维护则是财务信息安全控制中周期最长的阶段。系统的安全要求目的是为了确保信息系统已实施安全,包括架构、业务及用户开发的系统。支持应用系统或服务的业务流程设计与实施对安全有很重要的影响,所以应该在开发信息系统前就要考虑系统的安全要求。 系统的获取与维护应包括财务信息系统需求分析、确定设计方案、获取各种资产设备、外包服务风险管理、管理服务交付、安装与调试设备、设备维护与更新、密码与密钥机制管理、技术脆弱性管理等几个方面。
9.信息安全事件管理。信息安全事件管理是指建立事件管理的责任及程序,以确保快速、有效及有序应对安全事件。首先要确立应对所有类型安全事件的程序,如:信息系统失败及服务丢失、拒绝服务、因未完成或不准确的业务数据所引致的错误、泄密等。 除了正常的应急计划(用来在第一时间恢复系统或服务)之外,程序还应包括:分析及确定事件发生的原因;避免再次发生的补救方法、计划及措施;收集审计追踪及其它类似证据;与受影响的、或与恢复事件的人员保持联系;向有关部门报告处理措施及结果等。
10.业务持续性管理。业务连续性管理是指通过综合利用预防及恢复措施,把业务因灾难或安全失效(来自于天灾、意外、设备失效及故意破坏)的停顿降到可接受的程度。应分析灾难、安全失效及服务停顿的影响,以便制定及实施应急计划来保证业务进程能够在规定时间内恢复。计划应定期修改,最终成为所有其它管理过程的不可分割的一部分。
11.符合性管理。符合性是指信息系统的设计、操作、使用及管理都要遵守相关的法律法规、机构的安全策略及标准、与第三方签订的合同协议等条款。符合性管理包括制定符合性计划、机构内部人员的审查、向外部顾问咨询、接受外部人员及机构的审计等。
以上从组织管理、人员安全、物理环境等11个方面对财务信息化中的IT风险控制目标的具体内容进行了阐述。值得一提的是企业财务信息是整体信息化中的一部分,虽然财务信息化网是企业信息化最核心的部分,但也将财务信息化中的IT风险管理与企业整体的信息化风险管理紧密结合起来。
四、结论
本文通過对企业财务信息化中IT风险的定义和国际标准中对IT风险控制目标的制定进行了理论层次的分析。财务信息化中的IT风险控制目标仅是IT风险管理的一部分。本文的研究只是从IT风险控制目标的类别以及在制定这些目标时应当考虑的方面进行了探讨,对财务信息化中IT风险管理流程、风险的计算和等级划分等则是需要继续研究和讨论的内容。这些结合在一起,将有利于形成完整的财务信息化风险的IT风险管理体系。
参考文献:
1.刘义理,刘鹏.基于IT治理的企业IT风险管理与控制.电脑知识与技术,2005
2.徐波.会计电算化下的内部控制与安全保障.会计之友,2006
(作者单位:驻马店市豫龙同力水泥有限公司 河南确山 463200)
(责编:若佳)