法务会计与企业信息安全管理.doc

1 法务会计与企业信息安全管理摘要: 本文对法务会计师为企业信息安全管理提供专业服务的必要性和可能性进行了探讨, 并论述了法务会计师在企业信息资产安全管理中的重要作用。关键词:信息安全;信息安全管理体系;法务会计一、引言自 20 世纪 80 年代以来, 随着信息技术迅速渗透到社会经济的各个领域, 尤其是/In 技术和电子商务( merce )的广泛应用,推动着人类社会从工业经济时代向网络经济时代和信息化社会的方向前进。在这个动态演进的过程中, 经济发展越来越需要信息的支持, 信息已成为经济发展的战略资源和社会管理的基本要素。企业的信息化建设对于企业发展具有重要的战略意义。对信息的采集、共享、利用和传播成为决定企业竞争力的关键因素。只有实现信息化, 企业才可能实现企业生产经营活动的运营自动化、管理网络化、决策智能化, 从而理顺 2 和提高企业的管理水平,提高设计效率,降低企业的库存, 节约占用资金, 降低生产成本, 改善职工的工作环境, 缩短企业的服务时间和提高企业的客户满意度, 并可及时地获取客户需求,实现按订单生产。但是,信息化也使企业同时承受着巨大的信息安全的风险。据统计,全球平均 20 秒就发生一次计算机病毒入侵; 互联网上的防火墙大约 25% 被攻破; 窃取商业信息的事件平均以每月 260% 的速度增加;约 70% 的网络主管报告了因机密信息泄露而受损失。我国公安机关 2002 年共受理各类信息网络违法犯罪案件 6633 起,与上年相比增长 % , 其中利用计算机实施的违法犯罪 5301 起,占案件总数的 %. 而病毒的泛滥,更让国内众多企业蒙受了巨额经济损失。加强信息安全建设, 已成了目前国内外企业迫在眉睫的大事。二、信息安全和信息安全管理根据国际标准化组织( ISO )的定义,信息安全是“在技术上和管理上为数据处理系统建立的安全保护, 保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。信息安全是一个动态的复杂过程, 它贯穿于信息 3 资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想, 对可能的威胁、脆弱性和需要保护的信息资源进行分析, 依据风险评估的结果为信息系统选择适当的安全措施, 妥善应对可能发生的风险。信息安全的目标就是要保证敏感数据的机密性( Confidentiality ) 、完整性( Integrity )和可用性( Availability ) [1]. 为了达到这个目的, 人们建立起信息安全管理体系( InformationSecurityManagementSystems )。它是组织在整体或特定范围内建立信息安全方针和目标, 以及完成这些目标所用方法的系统,表示成方针、原则、目标、方法、过程、核查表( Checklists )等要素的集合。在信息安全管理体系中,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等建立起信息安全管理框架。在该体系中, 人们在技术层面作了许多卓越而富有成效的工作来保障企业信息安全, 如密码学和访问控制等。但仅仅依靠技术手段不可能彻底解决信息安全问题。这是因为, 信息以及信息用户的社会属性决定了信息安全中存在非技术因素, 而从