大數據時代筑牢行政事業單位會計信息安全觀
主講:黃亮
引子
截止2008年�����,中國對會計信息安全還沒有統一的定義�����。國際標準化組織把信息安全定義為“信息的完整性���、可用性��、保密性和可靠性”。因此�,會計信息的安全是指會計信息具有完整性、可用性�����、保密性和可靠性的狀態�����,它來自于會計數據的完整和會計數據的安全。會計數據的完整是指與損壞和丟失會計數據的相對狀態�����,它通常指會計數據表明的會計信息是可靠的���、可用的�����。會計數據的不安全是指會計數據被有意竊取或損壞的狀態�。
國際會計師聯合會在《信息安全管理》中提出���,信息安全的目標是“保護依靠信息����、信息系統和傳送信息的人�����、通信設施的利益不因為信息機密性��、完整性和可用性的故障而遭受損失
”�����,任何組織在滿足下面3條準則時可以認為達到了信息安全的目標:數據和信息只透露給有權知道該數據和信息的人(機密性);數據和信息保護不受未經授權的修改(完整性)�;信息系統在需要時可用和有用(可用性)。
? 目錄
一���、政策背景
二�、主要風險
三���、解決方案
一、政策背景
(一)行政事業單位內部控制規范(試行)(財會〔2012〕21號):
第十八條 單位應當充分運用現代科學技術手段加強內部控制����。對信息系統建設實施歸口管理,將經濟活動及其內部控制流程嵌入單位信息系統中�,減少或消除人為操縱因素,保護信息安全。
(二)關于印發《會計信息化發展規劃(2021-2025年)》的通知(財會〔2021〕36號):
(八)健全安全管理制度和安全技術標準���,加強會計信息安全和跨境會計信息監管。
堅持積極防御�、綜合防范的方針,在全面提高單位會計信息安全防護能力的同時��,重點保障各部門監管系統中會計信息的安全���。針對不同類型的單位�����,建立健全會計信息分級分類安全管理制度���、安全技術標準和監控體系,加強對會計信息系統的審計���,建立信息安全的有效保障機制和應急處理機制��。探索跨境會計信息監管標準���、方法和路徑,防止境內外有關機構和個人通過違法違規和不當手段獲取、傳輸會計信息�,切實保障國家信息安全。
(三)2013年12月�����,財政部頒布了《企業會計信息化工作規范》(財會〔2013〕20號)����。然而,目前尚無針對行政事業單位的會計信息化相關管理規定��。
二�、主要風險
(一)管理體制風險
與經濟活動相關的各信息系統間缺乏統一規劃和歸口管理,缺乏有效整合�����,存在重復建設或真空區域�����,導致管理效率低下。與經濟活動相關的各業務信息系統的實施與內部控制流程結合不緊密�,權限設置與授權管理不當,可能導致無法利用信息技術實現對經濟活動的有效控制��。與經濟活動相關的各信息系統間業務協同程度低���、缺乏基礎數據的標準化�,造成數據無法共享����,影響數據分析的準確性,可能導致決策失誤�、相關管理措施難以落實。
1.缺乏相應歸口管理�。部分行政事業單位管理層對會計信息化缺乏認識,思想觀念仍停留在會計電算化階段���,對信息安全不夠重視�,沒有設置信息科等專門機構及專業人員對信息系統進行安全管理��,相關服務器�、機房、計算機網絡缺乏專業維護��,導致數據信息的安全性、保密性降低���,數據丟失、被破壞甚至系統癱瘓的風險大大增加���。
2.未建立信息安全相關管理制度�,或者沿用原來傳統的舊制度�����,缺少強有力的科學制度規范�����,對會計信息化建設工作起不到約束作用����。在財務信息數據管理方面容易造成職責混亂�����、流程不規范、缺乏針對性等問題��,影響了信息化工作的順利開展�,使會計信息化建設工作流于形式,難以落到實處����。
3.一些單位缺乏有效的會計信息化的監管機制,導致會計信息化建設在實際操作中非常被動���,不能取得預期的效果�。監管機制的缺失也使得會計信息建設工作搭空架子�����,形同虛設�����,導致實際操作中財務人員不能嚴格遵守相關制度����,無法有效調動信息化工作人員的積極性。會計信息化建設的質量不高�,不利于會計信息化工作的開展�。
信息管理體制
信息系統是單位流程的映射��,首要需要理順單位管理體制機制����,規范流程�����。需要相應的歸口管理部門統籌管理本單位的信息化建設等工作����,避免各自為政,形成“信息孤島”�����。
京公網安備11010802041402號