淺談如何加強(qiáng)信息系統(tǒng)內(nèi)控建設(shè)防范安全風(fēng)險(xiǎn)

謝謝閱讀建設(shè)防安全風(fēng)險(xiǎn)。關(guān)鍵詞：信息系統(tǒng)、控制度隨著電信企業(yè)各項(xiàng)生產(chǎn)運(yùn)營(yíng)系統(tǒng)的建立與使用，各類(lèi)信息系統(tǒng)的部控制是否健全、風(fēng)險(xiǎn)是否得到有效控制就成為了謝謝閱讀部審計(jì)關(guān)注的重要課題。近年來(lái)電信企業(yè)上線(xiàn)運(yùn)行的重要信息系統(tǒng)有業(yè)務(wù)受感謝閱讀理系統(tǒng)、OA辦公自動(dòng)化系統(tǒng)、資源管理系統(tǒng)、綜合調(diào)度系統(tǒng)、精品文檔放心下載智能網(wǎng)管理系統(tǒng)、計(jì)費(fèi)賬務(wù)系統(tǒng)、計(jì)劃建設(shè)管理系統(tǒng)等等。謝謝閱讀這些信息系統(tǒng)的建立運(yùn)用能解決人工難以及時(shí)處理大量信精品文檔放心下載息數(shù)據(jù)、難以及時(shí)進(jìn)行復(fù)雜運(yùn)算分析的難題，利用信息系統(tǒng)謝謝閱讀可以將人工處理的程序、模型預(yù)先設(shè)計(jì)好，幫助企業(yè)高效率謝謝閱讀地管理生產(chǎn)過(guò)程，幫助企業(yè)及時(shí)獲取并提煉重要的信息，以精品文檔放心下載利于提高企業(yè)綜合競(jìng)爭(zhēng)力。但這些系統(tǒng)是否安全、是否符合精品文檔放心下載控要求，信息數(shù)據(jù)是否完整準(zhǔn)確，卻無(wú)人來(lái)回答。審部門(mén)作精品文檔放心下載為企業(yè)的部控制監(jiān)督檢查部門(mén)有責(zé)任有義務(wù)對(duì)信息系統(tǒng)的精品文檔放心下載控制度進(jìn)行評(píng)估檢查，分析系統(tǒng)的安全風(fēng)險(xiǎn)，堵塞系統(tǒng)漏洞，謝謝閱讀切實(shí)發(fā)揮信息系統(tǒng)在企業(yè)發(fā)展決策方面的支撐作用。日前獲悉，某電信運(yùn)營(yíng)企業(yè)因小靈通預(yù)付費(fèi)系統(tǒng)超級(jí)密碼被盜，導(dǎo)致被非法制作了1000多萬(wàn)元的小靈通充值卡，精品文檔放心下載至案發(fā)時(shí)已全部充值消費(fèi)，給電信企業(yè)造成了巨大的經(jīng)濟(jì)損精品文檔放心下載失。由此看出信息系統(tǒng)的安全與否直接影響著企業(yè)的經(jīng)濟(jì)利謝謝閱讀益，對(duì)企業(yè)是至關(guān)重要的。本文將就信息系統(tǒng)如何加強(qiáng)部控制、防安全風(fēng)險(xiǎn)談幾點(diǎn)看法：一、信息系統(tǒng)從開(kāi)發(fā)建設(shè)起就必須建立一套完整的控流程1、信息系統(tǒng)程序設(shè)計(jì)必須健全數(shù)據(jù)核對(duì)環(huán)節(jié)，保證數(shù)據(jù)準(zhǔn)謝謝閱讀確信息系統(tǒng)能提高企業(yè)管理效率，提升企業(yè)服務(wù)水平，提高企業(yè)競(jìng)爭(zhēng)應(yīng)變能力，但這一切是建立在信息系統(tǒng)能提供完感謝閱讀整、真實(shí)、準(zhǔn)確數(shù)據(jù)的基礎(chǔ)上的。如果數(shù)據(jù)經(jīng)過(guò)信息系統(tǒng)的謝謝閱讀一系列加工處理流程，其中發(fā)生了部分溢出、丟失或變異，精品文檔放心下載那么信息系統(tǒng)會(huì)輸出錯(cuò)誤的數(shù)據(jù)，經(jīng)營(yíng)管理者依靠錯(cuò)誤的數(shù)精品文檔放心下載據(jù)肯定不會(huì)得出正確的結(jié)論。因此信息系統(tǒng)的數(shù)據(jù)完整準(zhǔn)確感謝閱讀是首先要保證的。如何保證數(shù)據(jù)準(zhǔn)確呢，一般情況下采用在感謝閱讀重要數(shù)據(jù)輸入前和處理輸出后進(jìn)行總量比對(duì)、結(jié)構(gòu)比對(duì)、邏精品文檔放心下載輯驗(yàn)證等方法驗(yàn)證數(shù)據(jù)是否完整準(zhǔn)確。2、信息系統(tǒng)建設(shè)必須考慮數(shù)據(jù)安全存放，保證數(shù)據(jù)安全一般情況下數(shù)據(jù)是否安全主要考慮兩個(gè)方面，一是數(shù)據(jù)庫(kù)是否安全，能否防止非法訪問(wèn)，如果發(fā)生有非法訪問(wèn)，或精品文檔放心下載是發(fā)生惡意修改、篡改數(shù)據(jù)情況的，系統(tǒng)是否會(huì)留下記錄，精品文檔放心下載能否及時(shí)告警。另外一方面是數(shù)據(jù)存放介質(zhì)是否可靠，有無(wú)謝謝閱讀備份，重要數(shù)據(jù)是否異地存放，防止自然災(zāi)害對(duì)數(shù)據(jù)安全的精品文檔放心下載危害。根據(jù)電信企業(yè)信息系統(tǒng)數(shù)據(jù)對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)、財(cái)務(wù)報(bào)告等的影響程度分別對(duì)數(shù)據(jù)進(jìn)行ABC分類(lèi)，A類(lèi)數(shù)據(jù)庫(kù)如會(huì)計(jì)精品文檔放心下載核算系統(tǒng)、計(jì)費(fèi)賬務(wù)系統(tǒng)必須要具備可靠的存儲(chǔ)介質(zhì)，嚴(yán)格謝謝閱讀建立實(shí)時(shí)的異地備份，以保證數(shù)據(jù)安全。B、C類(lèi)數(shù)據(jù)根據(jù)機(jī)感謝閱讀房容量、建設(shè)成本情況分別制定備份計(jì)劃，采用兩種以上介謝謝閱讀質(zhì)存儲(chǔ)、兩個(gè)不同機(jī)房存放等方法。3、信息系統(tǒng)開(kāi)發(fā)要考慮設(shè)置嚴(yán)謹(jǐn)?shù)拿艽a策略，杜絕非法入精品文檔放心下載侵信息系統(tǒng)必須建立用戶(hù)身份的驗(yàn)證機(jī)制，對(duì)信息系統(tǒng)的訪問(wèn)必須使用用戶(hù)名和密碼，而且每個(gè)用戶(hù)被授予唯一的用謝謝閱讀戶(hù)。同時(shí)要制定嚴(yán)謹(jǐn)?shù)拿艽a政策，并根據(jù)密碼政策在系統(tǒng)固精品文檔放心下載化相應(yīng)的設(shè)置，以避免用戶(hù)使用安全級(jí)別低的密碼。密碼政精品文檔放心下載策具體包括:用戶(hù)密碼長(zhǎng)度不得低于6位、密碼應(yīng)至少每精品文檔放心下載天進(jìn)行更新、不得使用最近的密碼。以上稱(chēng)為’’密碼謝謝閱讀策略，對(duì)于超級(jí)用戶(hù)則需要按照’’來(lái)設(shè)置密碼，位長(zhǎng)謝謝閱讀不少于8位，更新周期同普通用戶(hù)。在對(duì)電信企業(yè)信息系統(tǒng)進(jìn)行控評(píng)估時(shí)，發(fā)現(xiàn)較多的系統(tǒng)存在用戶(hù)名、密碼共用的現(xiàn)象，不符合控要求。共用賬號(hào)、感謝閱讀密碼會(huì)影響密碼的定期更換、不能防止非法訪問(wèn)，發(fā)生問(wèn)題謝謝閱讀時(shí)也無(wú)法落實(shí)責(zé)任。因此有此現(xiàn)象的應(yīng)當(dāng)確認(rèn)為重要缺陷，感謝閱讀必須立即整改。二、信息系統(tǒng)運(yùn)行維護(hù)要嚴(yán)格遵守控規(guī)定1、用戶(hù)賬號(hào)變更嚴(yán)格履行審批對(duì)信息系統(tǒng)的用戶(hù)創(chuàng)建和授權(quán)必須通過(guò)信息系統(tǒng)主管精品文檔放心下載部門(mén)主管人員審批后，方可由系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用謝謝閱讀戶(hù)，以避免未經(jīng)授權(quán)及權(quán)限的創(chuàng)建或修改。在員工工作調(diào)動(dòng)精品文檔放心下載或離職等工作職能發(fā)生變化時(shí)，由人力資源部或用戶(hù)所在部精品文檔放心下載門(mén)及時(shí)正式書(shū)面通知系統(tǒng)維護(hù)部門(mén)，由系統(tǒng)管理員更新或刪感謝閱讀除其相應(yīng)的訪問(wèn)權(quán)限。在對(duì)某電信企業(yè)信息系統(tǒng)進(jìn)行控評(píng)估時(shí)，發(fā)現(xiàn)用戶(hù)賬號(hào)的創(chuàng)建、修改缺少書(shū)面審批資料，無(wú)法證明是否經(jīng)過(guò)必要的謝謝閱讀授權(quán)，因此被認(rèn)定為控執(zhí)行缺陷。2、重要操作要嚴(yán)格執(zhí)行復(fù)核、審批制度對(duì)信息系統(tǒng)的重要操作如涉及數(shù)據(jù)增加、修改、變更等謝謝閱讀需要堅(jiān)持復(fù)核、審批制度，即一人操作、一人復(fù)核再加上主精品文檔放心下載管審批，防止誤操作，影響信息數(shù)據(jù)準(zhǔn)確。在大家都熟悉的感謝閱讀會(huì)計(jì)核算系統(tǒng)中憑證制作必須要經(jīng)過(guò)復(fù)核才能記賬，這也是感謝閱讀遵循控規(guī)定的重要體現(xiàn)。以電信企業(yè)的計(jì)費(fèi)系統(tǒng)為例，系統(tǒng)感謝閱讀操作人員需要根據(jù)營(yíng)銷(xiāo)政策對(duì)批量用戶(hù)進(jìn)行贈(zèng)送話(huà)費(fèi)操作，感謝閱讀此操作會(huì)影響一大批用戶(hù)的預(yù)存款余額，不能發(fā)生任何差精品文檔放心下載錯(cuò)。操作人員要將營(yíng)銷(xiāo)政策的文字信息轉(zhuǎn)化為計(jì)算機(jī)語(yǔ)言，謝謝閱讀既不能送錯(cuò)對(duì)象，也不能多送或少送，所以此類(lèi)重要操作就感謝閱讀必須嚴(yán)格執(zhí)行復(fù)核、審批制度。3、系統(tǒng)操作要有完善的記錄一般信息系統(tǒng)本身會(huì)具有記錄的功能，將維護(hù)人員的維護(hù)操作全部記錄下來(lái)，生成專(zhuān)門(mén)的維護(hù)日志，供主管定期審感謝閱讀閱。但也存在個(gè)別信息系統(tǒng)在程序開(kāi)發(fā)時(shí)未提供完善的記錄精品文檔放心下載功能，不是所有重要操作都能記錄系統(tǒng)中，在這種情況下，謝謝閱讀必須要求系統(tǒng)操作人員作好手工記錄，記錄的容包括操作感謝閱讀員、操作指令、依據(jù)、時(shí)間、結(jié)果等信息。對(duì)重要的操作指謝謝閱讀令先要履行上述第2條規(guī)定復(fù)核程序。4、不相容職務(wù)嚴(yán)格分離《部會(huì)計(jì)控制規(guī)》中只是說(shuō)“不相容職務(wù)主要包括：授權(quán)批準(zhǔn)、業(yè)務(wù)經(jīng)辦、會(huì)計(jì)記錄、財(cái)產(chǎn)保管、稽核檢查等職務(wù)”。精品文檔放心下載事實(shí)上，一個(gè)企業(yè)或一個(gè)組織因業(yè)務(wù)種類(lèi)、機(jī)構(gòu)設(shè)置不同，謝謝閱讀所要明確的不相容職務(wù)是不盡相同的，既涉及不同部門(mén)的不精品文檔放心下載相容職務(wù)又涉及同部門(mén)不同崗位的不相容職務(wù)。在此僅討論精品文檔放心下載涉及信息系統(tǒng)的不相容職務(wù)分離的問(wèn)題，如上文所提的用戶(hù)感謝閱讀創(chuàng)建、修改操作與審批、數(shù)據(jù)錄入與審核、系統(tǒng)操作與復(fù)核、感謝閱讀數(shù)據(jù)維護(hù)與統(tǒng)計(jì)記賬等。將這些職責(zé)分離是為了保證信息系謝謝閱讀統(tǒng)數(shù)據(jù)處理的合法合規(guī)性，謹(jǐn)防信息系統(tǒng)本身出現(xiàn)重大風(fēng)感謝閱讀險(xiǎn)。以電信企業(yè)為例，信息系統(tǒng)運(yùn)用廣泛之后，產(chǎn)生了許多電子化虛擬貨幣如Q幣、電子卡等有別于傳統(tǒng)貨幣的實(shí)物，精品文檔放心下載無(wú)法按照原來(lái)實(shí)物管理的模式進(jìn)行到貨驗(yàn)收、保管記錄、月感謝閱讀度盤(pán)點(diǎn)等工作，但作為系統(tǒng)管理的虛擬實(shí)物還必須要建立這感謝閱讀樣的職務(wù)分離制度，負(fù)責(zé)管理虛擬實(shí)物部門(mén)（即系統(tǒng)維護(hù)部謝謝閱讀門(mén)）與購(gòu)買(mǎi)、銷(xiāo)售部門(mén)分離，實(shí)物管理部門(mén)與會(huì)計(jì)記賬部門(mén)感謝閱讀分離，建立相互核對(duì)、相互監(jiān)督的控工作制度，以?xún)蓚€(gè)不同謝謝閱讀系統(tǒng)的數(shù)據(jù)核對(duì)，或以人工計(jì)算核對(duì)等方法來(lái)驗(yàn)證信息系統(tǒng)精品文檔放心下載數(shù)據(jù)的完整。以Q幣為例，在電信企業(yè)就經(jīng)歷購(gòu)買(mǎi)、入庫(kù)、精品文檔放心下載銷(xiāo)售、計(jì)費(fèi)、記賬等諸多環(huán)節(jié)，購(gòu)買(mǎi)與入庫(kù)、銷(xiāo)售與計(jì)費(fèi)、謝謝閱讀計(jì)費(fèi)與記賬就必須按照不相容職務(wù)分離規(guī)定執(zhí)行，相互之間感謝閱讀建立進(jìn)行定期對(duì)賬機(jī)制，以保證Q幣的購(gòu)銷(xiāo)存業(yè)務(wù)流程閉環(huán)感謝閱讀管理。我們都知道不相容職務(wù)分離是部控制的核心，在信息化感謝閱讀環(huán)境下，更加需要強(qiáng)調(diào)不相容職務(wù)分離原則，因?yàn)闃I(yè)務(wù)管理感謝閱讀流程經(jīng)過(guò)信息系統(tǒng)固化之后，所有人員都會(huì)在系統(tǒng)中承擔(dān)一謝謝閱讀個(gè)或多個(gè)角色，角色分配結(jié)果在一段時(shí)間是不會(huì)發(fā)生變化謝謝閱讀的，這些角色之間是否是不相容職務(wù)，是否會(huì)存在因分工不精品文檔放心下載當(dāng)導(dǎo)致舞弊行為的發(fā)生，都直接影響信息系統(tǒng)的安全性。三、審部門(mén)要加強(qiáng)信息系統(tǒng)的控評(píng)估，堵塞漏洞防風(fēng)險(xiǎn)1、信息系統(tǒng)審計(jì)評(píng)估需要關(guān)注的重點(diǎn)容對(duì)照以上所述的在信息系統(tǒng)開(kāi)發(fā)建設(shè)、運(yùn)行維護(hù)中所要落實(shí)的各項(xiàng)控要求，認(rèn)真開(kāi)展檢查評(píng)估。在評(píng)估過(guò)程中既要關(guān)注信息系統(tǒng)本身對(duì)數(shù)據(jù)處理的控感謝閱讀制流程是否規(guī)，用戶(hù)權(quán)限設(shè)置是否經(jīng)過(guò)授權(quán)，是否存在數(shù)據(jù)精品文檔放心下載安全風(fēng)險(xiǎn)，又要關(guān)注不同信息系統(tǒng)之間有無(wú)建立數(shù)據(jù)接口，精品文檔放心下載是否進(jìn)行數(shù)據(jù)核對(duì)，是否將不相容職務(wù)分離，相互之間是否感謝閱讀存在監(jiān)督關(guān)系。評(píng)估要重點(diǎn)關(guān)注與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)感謝閱讀數(shù)據(jù)的安全情況。2、信息系統(tǒng)審計(jì)評(píng)估需要運(yùn)用的方法信息系統(tǒng)評(píng)估方法與業(yè)務(wù)流程控評(píng)估方法基本相同，主要有：詢(xún)問(wèn)、文件檢查、重新履行、觀察、問(wèn)卷調(diào)查等。其謝謝閱讀中文件檢查、重新履行是控評(píng)估常用的重要方法，像前面所精品文檔放心下