(1.暨南大学管理学院,广东 广州510632;2.广东商学院会计学院,广东 广州 510632)
[摘要]本文在探讨企业信息资产安全的重要性以及目前管理现状的基础上,对法务会计师在企业信息资产信息安全管理中的职能和应用进行了探讨。
[关键词]法务会计;企业信息资产安全;应用
[中图分类号]F234
[文献标识码]A
[文章编号]1002-736X(2007)04-0082-02
进入信息时代,信息成为一项重要资产。以网络为载体,以信息资产为核心的新经济革新了传统的资产运营模式。信息资产蕴涵的价值随着技术的进步不断得到提升。企业需要把信息看作一种战略资源,将其作为资产要素进行有效监管,其中包括了对信息本身、信息技术及设备、从事信息活动的组织和人员的有效管理。确保信息资产正常运营,成为现代企业管理制度中的重要内容。在传统的社会经济活动中,对信息的安全保障实际上已经受到经营者的重视。如:通过加盖公章或签字来确保合同条文不可抵赖;为了保密将公文封装成密文派遣专人发送;在保险柜中存放公司客户资源信息、财务状况、发展战略的商业机密。这些安全防护手段是维系社会经济活动正常运行的有效手段。
信息化在提高企业管理效率的同时,也使企业同时承受着巨大的信息安全的风险。据统计,全球平均20秒就发生一次计算机病毒入侵;互联网上的防火墙约25%被攻破;窃取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损失。我国公安机关2002年共受理各类信息网络违法犯罪案件6633起,与上年相比增长45.9%。其中利用计算机实施的违法犯罪有5301起,占案件总数的79.9%。而病毒的泛滥,更让国内众多企业蒙受了巨额的经济损失。因此,加强信息安全建设,已成为目前国内外企业迫在眉睫的大事。信息资产管理,既有别于传统意义上的固定资产管理,也和ERP(企业资源计划)、EAM(企业资产管理)等系统中资产管理的概念有所不同,它更关注于对信息系统及其附属设施中的相关资源进行识别和集中管理,进而实施有效的ISMS(信息安全管理体系)或SOC(安全运营中心),以保证信息系统所承载的企业业务的持续、有效的发展。
一、从业务安全到信息资产安全
企业的业务安全需求不断变化,相关技术也在不断进步。企业不断扩展业务,员工、客户以及合作伙伴越来越多地与企业网络连接,进行移动办公和开展在线业务,这也就意味着对核心信息资产的威胁机会增加。信息安全已经从单独的保护计算机系统发展到保护业务安全。
信息安全问题之所以成为企业管理中很难解决的一个问题的主要原因在于:信息资产与物理资产的差异性。一般而言,信息资产与物理资产的基本区别是,信息资产是动态变化的,而物理资产是固定不变的。信息资产在许多方面表现出动态特征——从信息以运行数据(客户账户、业务交易等)的形式产生开始,直到在各种业务功能和过程中最终的应用(ERP,CRM,商业智能)。IT界为信息生命周期的每一个阶段推出了许多单一性的产品。这些产品分别用于解决生命周期中某个方面的问题,包括信息的生成、处理、分布、存档、检索和处置。某一种信息资产在生命周期的每一个阶段各有其价值。企业的这种动态资产在其进展的每一步中必须受到保护,以防止外部和内部的威胁。但是,这种企业内部开发的功能和目的相对单一的保护手段,常常因开发内容不全面、缺乏统一规划和部署等缺陷,造成企业、特别是中小企业处于一种“头疼医头、脚疼医脚”的被动状况,使得企业在信息资产安全管理上常处于被动和盲目的局面,其信息资产在遭受破坏后常缺乏专门的调查取证和索赔力量而给企业带来巨大损失。
二、法务会计在企业信息资产安全管理中的应用
信息及信息用户的社会属性使得法务会计师为企业提供专业服务成为必要,而法务会计师因其所具备的法律和资产管理方面的独特的知识结构和专业经验,使得其在企业信息安全管理中发挥着独特作用。根据信息安全风险的成因,法务会计师可以因地制宜地制定相关对策。
在企业信息资产保护中,定义信息资产,以信息资产为对象的形式是企业信息资产保护的关键。这是因为在企业信息安全管理中引入资产保护,可以使抽象、复杂的信息管理明朗化。企业信息资产是以多种形式存在的,它可以是有无形的、也可以是有形的,可以是硬件、也可以是软件。因为,信息资产具有不同的价值属性和特点,其存在的弱点、面临的威胁、需要进行的保护和安全控制也各不相同。因此,有必要对企业、机构中的信息资产进行科学分类,以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。此外,信息资产还具有很强的时间特性,它的价值和安全属性都会随着时间的推移而发生变化,所以还应该根据时间变化的频度,制定资产相关的评估和安全策略的频度。
法务会计师可以在综合上述情况的基础上,根据企业业务流对于企业发展的重要程度,以及承载企业各类业务流的信息系统(如OA、ERP、CRM等)的重要性,将特定的信息系统分解为具体信息资产进行识别和统计,根据资产类型(如服务、应用、数据库等,还可以细化)、需开放的端口、隶属的特定信息系统(如ERP)、所关联的物理资产、相关的维护和管理人员、重要程度(该资产在隶属的信息系统中重要性关联的信息系统其自身的重要性)、以及对资产进行监控或管理的方式等进行分类,对资产进行分类、统计、关联和分析,完整地勾勒出企业信息资产的整体视图,从而进行有效的企业信息资产管理;法务会计师可以凭借其独立的管理专家身份,以信息资产为对象,收集整个网络系统所具有的资产信息,包括用户的IP地址、MAC地址、CPU、内存等各种硬件信息、各种软件信息(安装的软件产品、补丁)等,同时,不断跟踪终端的变化,通过业务系统和组织结构两种视图对客户的终端进行查询和管理,保证企业随时得到最新的信息;法务会计师可以利用认证管理服务器对所有交换数据和用户活动进行记录,可以将其用作审计、计算与策略工具。这些工具包括易于为管理需求量身定制的报告模板,涵盖活动报告、例外情况报告、事故报告和使用情况摘要报告。通过这些管理活动,法务会计师可以对信息系统内部的信息资产变更、业务流程变更等导致的信息系统调整、网络和系统安全配置变更、安全事件等进行记录和分析,及时把握信息系统安全状态和动向,具体包括:(1)弱点评估,评估当前系统存在的漏洞和可能的
安全隐患;(2)建立基线,根据弱点评估情况,结合系统的实际运行环境和用户需求,建立最基本的安全基线;(3)监视和响应,根据建立的安全基线,对被保护系统进行实时监控,并对基线的变更情况做出实时响应,同时提示告警给用户或管理员;(4)弱点根除,系统根据用户的定制需求,对发现的弱点或漏洞或基线变更进行修改。法务会计师可以通过信息资产安全风险评估,明确存在风险的关键业务资产和业务流程,协助企业业务人员和管理层对核心信息资产及其风险程度进行确认,全面权衡实施控制措施的支出与安全故障可能造成的业务损失,对企业信息资产安全管理的方向和目标提出建议;综合运用现场检查、非现场分析与评价、发布规章指引、强化市场约束等手段,关注资产质量、资产保值、增值和资产的风险;同时结合对企业业务流程、信息系统以及网络基础架构的综合分析,对企业内部信息资产进行统计和管理。
因为信息安全事关企业信息资产和业务安全,需要通过法制渠道满足企业在电子商业和管理环境中维护竞争优势的需要,法务会计师可以充分利用其专业优势,为企业建立有效的信息资产保护计划提供有价值的服务,并在企业信息资产遭受破坏时依法追查相关组织和人员的责任。法务会计师可以根据企业信息资产风险要素链,即使命-资产-资产价值-脆弱性-威胁-事件-风险-残余风险-防护需求-防护措施(国务院信息办《2005中国信息化发展报告》)进行延伸,根据不同企业自身的特点,对企业的信息风险价值链进行分析和调整,如资产/业务威胁-防护措施-风险,资产-资产价值-威胁-脆弱性-防护需求-防护措施-风险,等等,在企业的信息风险-价值链中找到自己所提供服务的着力点,在IT化环境中为维护企业信息资产安全,减少和消除信息安全风险,发挥自己独到的作用;从资产的分析评价、漏洞的分析评价、发生的事件(日志)等出发,以法律、法规和制度为边界,对信息资产的风险和价值进行分析计算,检查和测试企业信息资产的安全程度,对企业信息系统进行风险监控,并为潜在的或实际的电子企业纠纷提供专家分析。
[参考文献]
[1]赵杨.引入OCTAVE方法的企业信息资产风险评估研究[J].科技进步与对策,2006,(4).
[2]杨燕.防范信息资产风险“黑洞”[J].中国农村信用合作,2005,(12).
[3]郑林.信息资产的风险管理[J].中国计算机用户,2004,(26).
[4]林浩.信息资产的安全分析及市场发展策略(上)[J]计算机安全,2002,(2).
[5]林浩.信息资产的安全分析及市场发展策略(下)[J].计算机安全,2002,(3).
[作者简介]庄学敏(1972-),男,湖南常德人,暨南大学博士生,广东商学院讲师,研究方向:企业会计。
[责任编辑:陈雪梅]