摘 要:本文對(duì)法務(wù)會(huì)計(jì)師為企業(yè)信息安全管理提供專業(yè)服務(wù)的必要性和可能性進(jìn)行了探討�,并論述了法務(wù)會(huì)計(jì)師在企業(yè)信息資產(chǎn)安全管理中的重要作用�。
關(guān)鍵詞:信息安全���;信息安全管理體系����;法務(wù)會(huì)計(jì)
一、引言
自20世紀(jì)80年代以來��,隨著信息技術(shù)迅速滲透到社會(huì)經(jīng)濟(jì)的各個(gè)領(lǐng)域��,尤其是Internet/In tranet技術(shù)和電子商務(wù)(E commerce)的廣泛應(yīng)用�,推動(dòng)著人類社會(huì)從工業(yè)經(jīng)濟(jì)時(shí)代向網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代和信息化社會(huì)的方向前進(jìn)。在這個(gè)動(dòng)態(tài)演進(jìn)的過程中���,經(jīng)濟(jì)發(fā)展越來越需要信息的支持��,信息已成為經(jīng)濟(jì)發(fā)展的戰(zhàn)略資源和社會(huì)管理的基本要素����。
企業(yè)的信息化建設(shè)對(duì)于企業(yè)發(fā)展具有重要的戰(zhàn)略意義����。對(duì)信息的采集�、共享���、利用和傳播成為決定企業(yè)競(jìng)爭(zhēng)力的關(guān)鍵因素���。只有實(shí)現(xiàn)信息化,企業(yè)才可能實(shí)現(xiàn)企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)的運(yùn)營(yíng)自動(dòng)化�����、管理網(wǎng)絡(luò)化�����、決策智能化���,從而理順和提高企業(yè)的管理水平�����,提高設(shè)計(jì)效率,降低企業(yè)的庫(kù)存���,節(jié)約占用資金�,降低生產(chǎn)成本,改善職工的工作環(huán)境���,縮短企業(yè)的服務(wù)時(shí)間和提高企業(yè)的客戶滿意度���,并可及時(shí)地獲取客戶需求,實(shí)現(xiàn)按訂單生產(chǎn)�����。
但是,信息化也使企業(yè)同時(shí)承受著巨大的信息安全的風(fēng)險(xiǎn)���。據(jù)統(tǒng)計(jì)�,全球平均20秒就發(fā)生一次計(jì)算機(jī)病毒入侵��;互聯(lián)網(wǎng)上的防火墻大約25%被攻破���;竊取商業(yè)信息的事件平均以每月260%的速度增加�;約70%的網(wǎng)絡(luò)主管報(bào)告了因機(jī)密信息泄露而受損失。我國(guó)公安機(jī)關(guān)2002年共受理各類信息網(wǎng)絡(luò)違法犯罪案件6633起���,與上年相比增長(zhǎng)45.9%��,其中利用計(jì)算機(jī)實(shí)施的違法犯罪5301起�����,占案件總數(shù)的79.9%.而病毒的泛濫���,更讓國(guó)內(nèi)眾多企業(yè)蒙受了巨額經(jīng)濟(jì)損失��。加強(qiáng)信息安全建設(shè)�,已成了目前國(guó)內(nèi)外企業(yè)迫在眉睫的大事�����。
二����、信息安全和信息安全管理
根據(jù)國(guó)際標(biāo)準(zhǔn)化組織(ISO)的定義����,信息安全是“在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù)�����,保護(hù)計(jì)算機(jī)硬件���、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露”��。信息安全是一個(gè)動(dòng)態(tài)的復(fù)雜過程��,它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個(gè)生命周期����。
信息安全的威脅來自于內(nèi)部破壞�、外部攻擊、內(nèi)外勾結(jié)進(jìn)行的破壞以及自然危害����。必須按照風(fēng)險(xiǎn)管理的思想��,對(duì)可能的威脅�、脆弱性和需要保護(hù)的信息資源進(jìn)行分析����,依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧咨茟?yīng)對(duì)可能發(fā)生的風(fēng)險(xiǎn)�。信息安全的目標(biāo)就是要保證敏感數(shù)據(jù)的機(jī)密性(Confidentiality)、完整性(Integrity)和可用性(Availability)[1].為了達(dá)到這個(gè)目的�,人們建立起信息安全管理體系(InformationSecurityManagementSystems)。它是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)�����,以及完成這些目標(biāo)所用方法的系統(tǒng)��,表示成方針、原則��、目標(biāo)����、方法���、過程�、核查表(Checklists)等要素的集合。
在信息安全管理體系中����,通過確定信息安全管理體系范圍、制定信息安全方針���、明確管理職責(zé)����、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等建立起信息安全管理框架���。在該體系中���,人們?cè)诩夹g(shù)層面作了許多卓越而富有成效的工作來保障企業(yè)信息安全����,如密碼學(xué)和訪問控制等。但僅僅依靠技術(shù)手段不可能徹底解決信息安全問題�。這是因?yàn)椋畔⒁约靶畔⒂脩舻纳鐣?huì)屬性決定了信息安全中存在非技術(shù)因素�,而從屬于非技術(shù)因素的問題,無法依靠單純的技術(shù)手段加以解決[2].非技術(shù)手段主要包括法律手段���、經(jīng)濟(jì)手段和行政手段等�,在市場(chǎng)經(jīng)濟(jì)環(huán)境中���,企業(yè)應(yīng)首選法律和經(jīng)濟(jì)手段來保護(hù)信息安全���。
三、法務(wù)會(huì)計(jì)師在企業(yè)信息安全管理中的作用
信息及信息用戶的社會(huì)屬性使得法務(wù)會(huì)計(jì)師為企業(yè)提供專業(yè)服務(wù)成為必要,而法務(wù)會(huì)計(jì)師獨(dú)特的知識(shí)結(jié)構(gòu)和專業(yè)經(jīng)驗(yàn)使得其在企業(yè)信息安全管理發(fā)揮其獨(dú)特作用提供了可能����。根據(jù)信息安全風(fēng)險(xiǎn)的成因����,法務(wù)會(huì)計(jì)師可以因地制宜地制定相關(guān)對(duì)策。當(dāng)前威脅企業(yè)信息安全的主要成因是:
1.技術(shù)風(fēng)險(xiǎn)。主要包括信息電磁化風(fēng)險(xiǎn)和系統(tǒng)及軟件風(fēng)險(xiǎn)�����。在網(wǎng)絡(luò)環(huán)境下����,企業(yè)的各種票證和帳單等以人眼無法直接辨別的電磁信息的形式在網(wǎng)上傳遞并存儲(chǔ)于磁性介質(zhì)中�����,在傳遞及存儲(chǔ)過程中均有被攻擊者篡改或截獲的可能�����。
2.人員風(fēng)險(xiǎn)����。由于企業(yè)中負(fù)責(zé)具體業(yè)務(wù)的人員并不一定熟悉計(jì)算機(jī)操作,因此在系統(tǒng)使用過程中極有可能出現(xiàn)由于人員操作不當(dāng)而造成的意外損失。而由于系統(tǒng)管理涉及企業(yè)重要機(jī)密�����,操作人員是否會(huì)利用職權(quán)之便對(duì)信息進(jìn)行破壞或剽竊也是企業(yè)管理者應(yīng)該關(guān)注的重要問題�����。
3.法律風(fēng)險(xiǎn)�����。網(wǎng)絡(luò)的出現(xiàn)和廣泛應(yīng)用對(duì)傳統(tǒng)社會(huì)產(chǎn)生了強(qiáng)烈的沖擊�����,舊有的法律法規(guī)體系已不能完全適應(yīng)����、指導(dǎo)和規(guī)范網(wǎng)絡(luò)安全的實(shí)踐。網(wǎng)絡(luò)本身的虛擬性�����、實(shí)時(shí)性����、廣泛性要求更加切實(shí)可行�,更加完備的標(biāo)準(zhǔn)準(zhǔn)則和法律法規(guī)的出現(xiàn)�����。
現(xiàn)階段�����,面對(duì)信息安全的威脅���,企業(yè)缺乏有力的系統(tǒng)性的對(duì)應(yīng)措施和策略����,基本處于“頭痛醫(yī)頭����、腳痛醫(yī)腳”的狀態(tài),解決方案手段單一�,缺乏多種手段的共同治理�����。很多組織已經(jīng)越來越意識(shí)到要真正達(dá)到信息安全的目標(biāo)僅僅通過信息安全技術(shù)和產(chǎn)品是不可能實(shí)現(xiàn)的,結(jié)合法律、制度等社會(huì)性手段的信息安全管理體系(ISMS)的搭建才能實(shí)現(xiàn)信息系統(tǒng)的整體安全保障�。因?yàn)椋芏嗥髽I(yè)信息資產(chǎn)安全管理方面除了存在信息安全技術(shù)薄弱方面的原因外�����,還存在如下一些問題如��,信息安全管理制度過于簡(jiǎn)單�����,內(nèi)容不全���;交叉重復(fù),混亂無章�;求大求全�����,無針對(duì)性�;鎖在柜中����,無人問津;以及制度執(zhí)行中的人為破壞等等���。
建立包含技術(shù)和法律等手段的多層面的信息安全管理體系可以強(qiáng)化員工的信息安全意識(shí)����,規(guī)范組織的信息安全行為,對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)�,維持競(jìng)爭(zhēng)優(yōu)勢(shì);在信息系統(tǒng)受到侵襲時(shí)����,確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度���;使組織的商業(yè)伙伴和客戶對(duì)組織充滿信心�����,提高組織的知名度與信任度���。因?yàn)樾畔踩玛P(guān)企業(yè)信息資產(chǎn)和業(yè)務(wù)安全,需要通過法制渠道滿足企業(yè)在電子商務(wù)和管理環(huán)境中維護(hù)競(jìng)爭(zhēng)優(yōu)勢(shì)的需要����,法務(wù)會(huì)計(jì)師可以充分利用其在法律和會(huì)計(jì)信息管理方面的優(yōu)勢(shì),為企業(yè)建立有效的信息資產(chǎn)保護(hù)計(jì)劃提供有價(jià)值的服務(wù)���,并依法追究相關(guān)組織和人員的責(zé)任。
我們可以根據(jù)企業(yè)信息資產(chǎn)風(fēng)險(xiǎn)要素鏈��,即使命—資產(chǎn)—資產(chǎn)價(jià)值—脆弱性—威脅—事件—風(fēng)險(xiǎn)—?dú)堄囡L(fēng)險(xiǎn)—防護(hù)需求—防護(hù)措施[3]進(jìn)行延伸���,根據(jù)不同企業(yè)自身的特點(diǎn)�����,對(duì)企業(yè)的信息風(fēng)險(xiǎn)—價(jià)值鏈進(jìn)行分析和調(diào)整���,如資產(chǎn)/業(yè)務(wù)—威脅—防護(hù)措施—風(fēng)險(xiǎn)����,資產(chǎn)—資產(chǎn)價(jià)值—威脅—脆弱性—防護(hù)需求—防護(hù)措施—風(fēng)險(xiǎn),等等���。這樣,法務(wù)會(huì)計(jì)師可以在企業(yè)的信息風(fēng)險(xiǎn)—價(jià)值鏈中找到自己所提供服務(wù)的著力點(diǎn)�����,在IT化環(huán)境中為維護(hù)企業(yè)信息資產(chǎn)安全,減少和消除信息安全風(fēng)險(xiǎn)發(fā)揮自己獨(dú)到的作用�����,從資產(chǎn)的分析評(píng)價(jià)����、漏洞的分析評(píng)價(jià)、發(fā)生的事件(日志)等出發(fā)���,以法律���、法規(guī)和制度為邊界,對(duì)信息資產(chǎn)的風(fēng)險(xiǎn)和價(jià)值進(jìn)行分析計(jì)算����,檢查和測(cè)試企業(yè)的信息資產(chǎn)的安全程度����,對(duì)企業(yè)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)監(jiān)控�,并為潛在的或?qū)嶋H的電子企業(yè)糾紛提供專家分析���。
在企業(yè)信息風(fēng)險(xiǎn)———價(jià)值鏈中���,最重要的是對(duì)信息資產(chǎn)安全的管理,維護(hù)信息資產(chǎn)的價(jià)值不受損害�����。信息資產(chǎn)管理的主要任務(wù)是定義核心信息資產(chǎn)����,并且分析應(yīng)用環(huán)境中可能存在的風(fēng)險(xiǎn)。企業(yè)信息資產(chǎn)主要包括硬件(如服務(wù)器�����、工作站�、路由器、交換機(jī)�、防火墻、入侵檢測(cè)系統(tǒng)����、終端��、打印機(jī)等整件設(shè)備以及主版����、CPU����、硬盤、顯示器等散件設(shè)備等)���、軟件(如源代碼��、應(yīng)用程序�、工具、分析測(cè)試軟件���、操作系統(tǒng)等)�����、數(shù)據(jù)(如軟硬件運(yùn)行中的中間數(shù)據(jù)��、備份資料����、系統(tǒng)狀態(tài)��、審計(jì)日志�、數(shù)據(jù)庫(kù)資料等)��、文檔(如軟件程序�����、硬件設(shè)備�、系統(tǒng)狀態(tài)����、本地管理過程的資料等)和消耗品(如軟盤�����、磁帶等)���,等等�。法務(wù)會(huì)計(jì)師可以通過信息資產(chǎn)安全風(fēng)險(xiǎn)評(píng)估,明確存在風(fēng)險(xiǎn)的關(guān)鍵業(yè)務(wù)資產(chǎn)和業(yè)務(wù)流程�����,協(xié)助企業(yè)業(yè)務(wù)人員和管理層對(duì)核心信息資產(chǎn)及其風(fēng)險(xiǎn)程度進(jìn)行確認(rèn)����,全面權(quán)衡實(shí)施控制措施的支出與安全故障可能造成的業(yè)務(wù)損失,對(duì)企業(yè)信息資產(chǎn)安全管理的方向和目標(biāo)提出建議���。
參考文獻(xiàn)
[1]陳福莉����,譚興烈。信息安全管理平臺(tái)及其應(yīng)用[J].信息安全與通信保密�����,2006(12)
[2]鄭林���。信息資產(chǎn)的風(fēng)險(xiǎn)管理[J].中國(guó)計(jì)算機(jī)用戶,2004(26)
[3]國(guó)務(wù)院信息辦�����。中國(guó)信息化發(fā)展報(bào)告2006[EB/OL].http://www.ciia.org.cn/
[4]國(guó)務(wù)院信息辦���。中國(guó)信息化發(fā)展報(bào)告2005[EB/OL].http://www.ciia.org.cn/
