下面小编给大家整理的高校财务信息安全风险及对策的论文(共含12篇),欢迎阅读与借鉴!同时,但愿您也能像本文投稿人“斑马66”一样,积极向本站投稿分享好文章。
关于高校财务信息安全风险及对策的论文
传统的财务信息数据管理传输方式往往在时间性、效率上较差,导致管理成本高,信息不准确,严重影响了财务管理工作的正常运行。随着高校办学规模的不断扩大及网络技术的普遍应用,网络财务得到了广泛的发展。财务信息被存储在数据库中,用户在自己的权限范围内可以不受地点时间的限制通过网络访问相关财务数据,高效性、及时性、共享性成为网络财务的主要特点。虽然网络环境下财务信息管理系统,为高校财务工作各方面提供了信息综合平台,提高了财务工作效率,保证了数据传输的及时性和准确性,但在网络的环境背景下,财务信息系统也必然要面临网络安全风险。如何做好在网络环境下财务信息数据安全风险的防范工作,成为高校财务信息管理者所要面对和解决的重要问题之一。
1网络环境下高校财务信息的主要安全风险因素
网络财务是计算机与网络信息技术在财务信息管理领域的具体应用,其信息安全风险除来源于网络信息技术的一般风险外还有财务数据的特定风险,主要有以下几个风险:
1)计算机软硬件系统风险。计算机软硬件是保证财务信息数据安全的基础,也是财务系统运行的基本条件,但其对财务数据安全的影响却未引起财务管理者足够的重视。计算机硬件长期不进行更新维护,缺乏日常保洁,增加了硬件发生故障的风险。一旦硬件设备系统发生故障,就会导致财务网络系统及财务软件无法正常运行,造成财务信息数据丢失的风险,给财务工作带来灾难性的后果。同样,软件系统对财务信息的安全也很重要。软件系统不够成熟,运行不稳定,升级更新缓慢,相关漏洞未及时弥补,安全性和保密性不够,用户权限设置不合理,这些都可能直接影响网络财务的.运行效率,给财务信息安全造成隐患。
2)计算机病毒风险。在网络技术的快速发展的今天,计算机病毒的破坏能力也在不断提高,成为网络安全最大的威胁因素之一。计算机病毒具有隐蔽性高、传播速度快、自我复制强、难以防范等特点。高校财务信息数据通过网络在客户端与服务器端进行数据的相互交换和传递,极大增加了财务系统感染计算机病毒的风险,而一旦财务系统感染病毒势必会威胁到整个财务网络系统和数据安全。3)非授权访问风险。在网络环境背景下,一些人可能会出于各种目的,避开计算机系统访问控制机制,对财务网络设备及数据资源进行非正常使用,扩大或改变权限访问财务数据信息,在网络上对财务数据进行修改,以及通过网络对财务系统进行攻击,这些将会对财务网络系统及数据造成严重破坏。
4)内部控制风险。任何数据和系统都需要有效的管理机制,财务信息管理不断网络化,但针对其相应的内控管理制度却还不够健全。各种人为破坏及失职行为,比如伪造、窃取、删除等,都不能得到有效的控制与责任追究。
5)数据存储及传输风险。财务信息化后,电子数据成为财务信息管理的主要对象。对数据备份不够重视,没有形成定期备份的制度,会导致数据丢失后无法还原。或者,对数据存储介质管理不当,造成消磁或损坏,数据丢失。另外,电子数据除存储备份外还要在客户端和服务器之间相互传输,大大增加财务数据被截取、簒改的可能,导致数据不准确或丢失。
2网络环境下财务信息化安全对策及防范
计算机网络的迅猛发展,网络财务信息安全成为重要的问题。为了确保网络环境下财务信息数据的安全,在实际工作中需注意以下几点:1)提高运用网络安全技术,确保网络运行安全。除了运用法律和管理手段外,管理者还需依靠网络技术方法来实现保护网络背景下财务信息的安全可靠。目前,网络安全控制技术主要有:防火墙技术、访问控制技术、用户识别技术、网络安全漏洞扫描技术、网络反病毒技术、入侵检测技术等。
2)加强对计算机病毒及人为破坏防范。建立合理有效的计算机病毒与人为破坏防范体系和制度,及时发现计算机病毒入侵情况后,采取有效的手段阻止计算机病毒的进一步传播和对系统的破坏;同时提高工作人员防范意识,遵守相关防范措施,制定具体的、切实可行的管理措施,防止人为因素的破坏。在安全防范体系中,每个责任主体都必须遵守安全行为规则,防范体系才可能运行好,才可能达到预期的防范效果。
3)完善财务信息内部控制制度。建立健全财务信息内部控制管理制度,明确内部岗位分工,利用岗位之间相互联系相互制约关系,确保财务信息数据安全可靠,防止对数据和软件的破坏性修改。加强计算机软硬件管理与维护制度,涉及财务信息数据的计算机做到专机专用,未经允许不得使用财务专用计算机。针对财务信息数据的操作须经主管批准,不得擅自进行。定期检查计算机软硬件系统,做好检查记录,对易损、易耗件经常更换,保证系统正常运行。故障发生时,及时解决问题,做好财务信息系统维护工作。
4)加强财务数据管理,做好数据备份。完善财务数据管理制度的制定,规范财务信息管理内部控制,明确各岗位职责,确保高校财务信息数据的安全可靠性。定期对财务信息数据进行备份,提高数据的完整性,避免由于硬件的故障而导致数据的丢失。对财务备份数据安排专人负责保管,未经领导批准不得对备份数据进行任何的操作。同时对存储备份数据的光盘、硬盘、磁盘等存储介质,按照相关规定的管理办法进行归档存放,并做好防火、防潮、防磁等工作,谨防外部因素造成对财务数据的破坏。
县级供电公司信息安全风险和防护对策论文
一、县级供电公司信息安全风险简析
1、内部网络结构需要优化。内部网络结构需要优化主要是指县级电力企业的内部网络结构在协同工作、数据交流等方面无法满足进一步发展的需求,这集中体现在公司网络虚网性能较差、VLAN规划不够合理、核心交换机配置不够合理等问题,这些问题的存在都会对于县级供电企业的信息安全产生非常大的影响。除此之外,内部网络结构需要优化还体现在核心交换机的负载承受能力有限并且网络安全可靠性较低,因此需要对其及进行合理的优化才能够真正的做到从源头上来提升县级电力企业信息的整体安全性。
2、入侵检测力度不够。入侵检测对于县级供电公司信息安全的影响是显而易见的。入侵检测力度不够主要是指部分县级供电企业受到资金或者是技术的限制通过对计算机网络或计算机系统中若干关键点收集信息的效率较低,并且无法满足县级供电企业实际的需求,或者是无法跟得上技术发展的时代。除此之外,入侵检测力度不够还体现在部分县级电力企业没有收集和分析网络行为、安全日志、审计入侵检测图片,因此使得其整体的信息安全和数据安全都存在较大的.问题。
3、系统漏洞需要填补。系统漏洞需要填补一般是指县级供电企业自身操作系统往往存在不同的漏洞或者是缺陷,这多是由于部分供电企业的安全软件在运行的时候发现与自身软件有冲突的地方就会提示有漏洞,然后进行所谓的系统更新。这样做只会使得电脑本身良好的运行环境和兼容性发生变化,最终导致了电脑因为兼容性变差而出现更多的问题。除此之外,部分应用软件新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误,最终使得木马或者其他恶意团体就可以在用户毫不知情的情况下执行恶意代码。
二、县级供电公司信息安全风险防护对策
1、优化内部网络结构。优化内部网络结构是县级供电公司信息安全风险防护对策的基础和前提。在优化内部网络结构的过程中工作人员应当注重保障以下两个问题,首先是确保链接的广泛度,其次是保障每一个页面曝光度并且注重保护重点页面,例如网站里有一些页面需要重点保护,比如新出来的页面等等。除此之外,在优化内部网络结构的过程中如果想要实现互通需要三层交换机来做核心,这意味着每栋楼需要有一根线都连在三层交换机上,与此同时在三层交换机上面做访问控制列表,只允许三个办公司网段的源地址出去和进来,然后其他全部阻止,从而能够在此基础上促进县级供电公司信息安全风险得到合理的控制。
2、提升入侵检测力度。提升入侵检测力度对于县级供电公司信息安全风险防护对策的重要性是不言而喻的。在提升入侵检测力度的过程中县级电力企业应当将注重在网络系统受到危害之前拦截和响应入侵,并且将其作为防火墙之后的第二道安全闸门,从而能够在不影响网络性能的情况下能对网络进行监测。另外,在提升入侵检测力度的过程中电力企业应当注重投入足够数量的资金和人力来对于入侵检测软件进行实时化的更新,并且同步建立了公司信息系统安全应急处理机制,定期组织开展信息安全保障应急演练,不断完善信息系统安全应急预案,从而能够在此基础上促进县级供电公司信息安全风险得到技术性的防护。
3、及时修补系统漏洞。及时修补系统漏洞是县级供电公司信息安全风险防护对策的核心内容之一。在及时修补系统漏洞的过程中电力企业工作人员应当对于出现的或者是被安全软件所发现的系统漏洞进行及时的修复,从而能够有效避免企业重要文件和信息受到损害或者是外泄。除此之外,在及时修补系统漏洞的过程中企业应当注重明确自身信息安全总体防护策略,并且加大漏洞安全防御措施的实施力度并且进一步的推进企业信息安全综合防范工作的开展,最终能够在此基础上促进县级供电公司信息安全风险得到日常性的防护。
三、结束语
随着我国信息技术的不断发展和电力企业信息安全重要性的快速提升,县级供电公司信息安全风险和防护对策也得到了越来越多的重视。因此电力企业工作人员应当对于县级供电公司信息安全风险有着清晰的了解,从而能够在此基础上通过防护对策的有效应用来促进我国县级电力企业信息安全整体水平的有效提升。
高校财务风险防范措施论文
1高校财务风险的内容
1.1高校财务风险内涵理解。关于财务风险内涵,基本上有广义和狭义两个方面:狭义的财务风险指的是企业在经营发展过程中,在偿还即将到期的债务时,面临很大的不确定性,这种脆弱的偿债能力,影响了企业的正常运转,使得企业的经营常处在风险之下。广义的财务风险指的是,由于经济活动过程中,出现的任何不确定性事件,从而影响企业的经营收入,进而导致企业的财务收支出现较大幅度的偏差,甚至影响企业正常经营发展的情况。高校财务风险,是指高校在经营运行过程中存在的各种不可控制或预料的因素使得财务状况具有不确定性,可能给学校经济效益造成损失,使得财产有遭受风险损失的概率。高校作为事业单位,其区分于企业的特殊性的性质,决定了高校所面临的风险与企业的财务风险既有相似之处,也有本质的不同。由于我国的高校属于社会公益性质,其资金的使用和管理不是以盈利为目的,而是为教育教学事业的发展,提供资金支持;而企业的资金管理主要是为了为股东获取更大的利润。从这个角度看,高校的财务风险具有一定的独特性。高校财务风险主要表现为筹资方面、经营方面、投资方面以及财务支出方面。
1.2高校财务风险的特点。当前时期,高校的社会活动、经济活动等日益增多,在资金的供需方面,出现了比较严重的矛盾。从不少学校的实际情况来看,上级给以的财政支持,往往不足以支持学校的日常运作,一些学校还借了大量的外债。这种资金的缺口,最终会反映到高校的财务管理风险上面,具体来说,高校财务风险主要发生在筹融资、投资及财务支出等方面。
2高校财务风险的类型
2.1筹资风险。筹资风险是学校的借债风险,也就是高校向银行举债过度或是出现不良款项,借贷的不良款项有可能影响学校的教学科研、财务安全等。随着高校招生竞争日益激烈,不少高校为了提升自身的吸引力,在基础设施改造、硬件设施配备、师资力量引进方面,耗费了大量资金,并欠了很多银行贷款。一般来说,高校比企业更容易获得银行资金贷款。但是,在偿还过程中,高校的资金收入经常入不敷出,很多借债经常出现延期偿还或者根本无力偿还的情况。
2.2对外投资风险的风险。与此同时,高校在社会项目的投资方面,并没有成熟、完善的风险管控机制,所投资项目的实际运作管理,常常超出高校的组织能力范围,这些不确定性很大的投资活动,给高校的财务管理,带来很大困难和风险。
2.3支出风险的.风险。目前高校的学费收入减少,而违纪的支出增加。高校的收入来源已经实现了多元化的渠道发展,但是不可否认的是学生的学费收入仍然是其最主要的收入来源。学费上涨的空间不大,基本上已属固定。随着高考人数会渐渐的回落。高校的招生人数也会逐渐的下降,自然学校的收入就会减少。在很多活动项目的资金支出方面,由于学生人数的变化情况较大,很多资金支出情况也不够准确,不少高校的资金支出也面临着较大的风险。
3新《制度》对高校财务风险的防范和控制的体现
3.1进一步细化和完善了财务风险控制防范的规定。调整了新会计制度的适用范围,新制度只有高等学校作为适用主体;并明确了总会计的职权职责;完善了预算管理制度,对预算编制的依据、原则、程序和预算调整等提出了更加具体的要求,重点增加了决算管理的有关规定;调整了收入和支出分类与口径,根据政府收支科目改革的要求,将财政补助收入规定为从同级财政部门取得的各类财政拨款;增加了收支管理的内容,适应公共财政改革要求,增加了国库集中支付、政府采购、支出绩效和票据管理等内容;完备结转和结余管理的规定,延续设立学生奖助基金等专用基金。
3.2明确了学校财务管理工作的主要任务。财政部联合教育部针对新修订的《高等学校财务制度》明确强调,高校要建立健全财务风险控制机制。高校财务管理工作要不断强化风险意识,严格按照学校发展经费的预算进行资金的安排和使用。在资金的使用过程中,要加强监督,充分发挥学校内部财务审计的作用,对相关项目的资金投入,要按照绩效评价的原则进行,促进资金的使用效率。对于高校的固有的资产,要切实加强管理,防止出现国有资产的大范围流失。强化财务管理的风险意识把具体的管理责任分配到个人,让主要领导负责。
4高校新会计制度下的财务风险防控措施
4.1培养强烈的风险意识。任何行动的先导都是思想,先有想法,然后才有行动。对于财务风险,如果没有一定的风险意识,那么就会恶性循环,发展到最后无法解决的地步。只有提高每一个职工强烈的风险意识,并严加注意,在工作中严格把关,防范财务风险。任何一个方面工作的缺失都有可能带来风险的隐患,因此要保证高校每一个职工都有风险防范意识。
4.2加强政府部门的监管和银行投资监控。在高校融资过程中,要充分利用社会资金,拓宽资金的来源,降低对单一银行贷款的依赖。政府相关部门要监督高校资金的用度,防止高校的盲目投资和无用建设,保证高校的每一分钱都用在实处,这是政府部门的责任,要加强监管的力度。同时,政府还应该在以下方面进行监管:一是鼓励捐资助学;二是通过助学贷款解决困难学生的欠学费问题;三是对于助学贷款的学生进行有效的奖惩监管机制。在银行投资监控方面,银行不能一味的借钱给高校,要考察高校的还贷能力,综合多方面的考虑合理的借款给学校。在借贷了之后还要对学校的资金用度进行监控,督促高校及时的还本付息。
4.3创新财政管理模式,加强财务风险监管。高校要建立财务风险预警系统,进行财务风险防范。首先要加强预算管理,在预算编制过程中,要进行充分的调研,保证预算的相对准确可靠。尽力编制更加精确的预算,因为,科学的预算,是高校财务管理的重要依据,也是防范和控制财务风险的重要手段。此外,财务风险的管理,要细化评价指标,对高校的资金支出情况,进行深入细致的考核,提高量化指标的应用水平。在财务管理模式上,要不断进行创新,学习一些优秀的高校,在财务管理方面的独特之处,并结合自身的财务管理实际情况,进行不断丰富和创新。
4.4加强审计监督,进一步加强财务监管。高校管理加强审计监督。这就要求内部审计在日常工作中保持常规化,在面对一些重大经济决策时,应寻求中介机构的帮助,找准投资方向。高校管理在加强财务监管的同时应进行财务公开,这对防范财务风险是重要的。在接受政府各方面的审计、社会中介机构审计、内部审计和全校师生员工的民主监督,在学校内外和上上下下形成监督体系。在这种联动的机制下,财务风险将会得到有效遏制。
4.5加强高校财务的核算监督。高校财务核算监督必须加强。财务人员在报销审核票据时,严格把关,不但要审核原始凭证的真实性、记账凭证的合理性、签字手续的完备性,对资金的管理要进行分析、评价,提高资金的使用率,尽可能地减少或杜绝风险的发生。财务核算监督,要切实发挥好财务风险监督的作用。对于高校在财务管理各个环节出现的财务管理问题,要及时予以解决,防止风险的扩大。
5结束语
综上所述,对高校财务风险的研究很有必要。现在的高校多多少少的都存在不同的财务风险,具体的研究现状,根据现有市场经济的发展,在财政部颁布《高等学校会计制度》,对现行会计制度进行了完善,与改革的制度寻找出最佳的磨合点,进行全面有效的改革,大刀阔斧的改进高校财务管理体制,降低财务风险,保证高校健康、快速的发展。
一、高校财务风险的成因
1.盲目扩大投资规模
随着高校招生数量的大量增加,学校在校区面积、基础设施建设、师资力量的引进等方面都对资金提出了越来越高的需求。
面对这种需求,很多高校管理者和财务工作者,往往没有对自身财务状况、支出能力进行正确评估,未能对不确定性因素进行科学预测,从而根据这些不确定性因素进行调整财务行为;
同时也未对投资项目的可行性进行分析,没有做好充分的评估与投资规划,不断扩大银行信贷,盲目进行投资建设,导致负债总额过高,严重超出其经济承受能力。
2.会计制度不完善
长期以来高校实行“收付实现制”这一会计制度,即以现金收到或支出与否来记录收入的实现和费用的发生,所有劳务以及跟踪资产都不作为收支费用,在总账中,事实负债得不到反映。
随着高校收入渠道、结算关系的多元化,通过“暂付款占年末流动资金比重”以及“学校年末对外负债总额占总经费收入的比重”等这些指标对学校财务风险进行衡量,未能够将“帐外事实负债”考虑进去,缺乏对高校财务风险的全面反映。
另外,“应收及暂付款”中的暂付款,基本上都是垫付款未核销数,支出实际上已经形成;同表列数据相比,“应收及暂付款”中的实际资产量严重偏离。
这就使得通过资产负债表对高校偿债能力进行衡量,必然导致对偿债能力的高估,对偿债风险的低估。
3.风险责任缺失
目前,高校实行计划管理模式,高校领导并不对学校财务承担风险责任,即使在任期间造成了巨额债务,也不会对自身利益造成影响;同时由于高校领导有一定的任期,
而且缺乏必要的风险问责与追责制度,导致高校领导更加注重短期行为不以自身的财务状况为实际出发点,大量举借外债,使高校贷款规模日益加大,造成高校债务偿还风险;
另外,由于风险责任缺失,部分高校出现前任借钱,后任还钱的问题,比如当某一职能部门前任领导离职时,欠下大量债务,需要用大量预算额度进行偿还,而导致现任领导无法正常开展工作,这种超前消费的行为,导致高校债务负担沉重,财务风险增加。
二、构建并完善高校财务风险防范机制
1.建立财务风险预警机制
建立高校财务风险预警机制,需要从财务风险识别、财务风险评估以及财务风险评价三个方面入手。
财务风险识别要求对财务风险进行系统归类,并对其进行全面分析,从而将财务风险的性质、特征和传导机制予以明确;财务风险评估则需要在有效识别财务风险的基础上,对所收集的大量详细数据进行分析,从而对未来风险的发生概率、损失程度进行评估和预测;财务风险评价则是通过建立财务风险预警指标,
以此来对风险的危急程度进行判断。
而财务风险预警指标的建立,可以从以下几个方面着手:首先,基本条件指标,包括生均用地、教育设施面积、设备仪器以及图书等指标;其次,发展能力指标,即通过建设、年度投资与现金比率,来对高校投资承受能力进行反映;最后,偿债能力指标,通过资产负债率、流动比率和净利对利息的倍数对高校偿债能力进行反映。
在上述指标建立之后,高校财务风险预警机制的构建可以通过综合指标法,分四步来完成。
第一,运用定性分析对有关历史资料进行分析,然后在以定量方式将各项指标的预警临界比率计算出来;第二,对各监测指标的爱物预警指数进行结算;第三,对各项指标的权重进行确定;第四,将高校财务预警综合指数计算出来,而这一结果就能够将高校财务风险警度确定下来,以便有利于风险的防范和控制。
2.实行改良的`权责发生制
改革当前的会计制度,采用改良的权责发生制。
权责发生制与收付实现制是两种完全相反的会计制度,在它们之间存在不同的收支确认类型,修正的权责发生制就是其中一种,它要求将权责发生制与收付实现制结合起来,主体经济业务实行权责发生制,而某些次要的经济业务则实行收付实现制;以权责发生制作为主体,能够对高校资产和负债情况进行真实、全面的反映,
从而为高校财务管理者和决策者提供有效的财务信息,降低财务风险。
实行修正的权责发生制后,对于计提固定资产折旧,要将“累计折旧”科目增加到“固定资产”科目后,并将折旧费科目增加在事业支出或经营支出科目下。
对于重要的资产,尤其是固定资产购置时,采用平均年限法进行折旧。
对于负债核算,要在会计科目设置“应收账款、应付工资和预提费用”等负债类科目,将隐性负债变为显性负债,从而对高校财务状况进行真实反映。
3.建立经济责任制
建立完善的经济责任制,要求遵循权、责、利相结合的原则,实现统一领导、分级管理,即要在校内各级管理层建立起各级经济责任制,明确各级管理者的权责,对本单位的财务风险承担相应责任,实现各个部门之间的相互协作,为加强财务管理积极研究对策,使得从校领导到普通教职工都对财务管理予以重视,积极参与到财务管理工作中。
将经济责任制度与任期制有机结合起来,要求其在任期间必须对其财务行为负全责,并对任期已满的进行责任问责与追责,防止其盲目负债;同时加强财务监督和内部审计,对会计账目、经济责任制的落实情况进行内部审核,以有效避免隐形负债,降低财务支付风险。
一、高校财务管理风险成因分析
首先,院校对风险认识不足。
当前随着高等教育改革的不断深入,诸多高校拥有越来越多的自主权,也随即成为了“自主办学、独立经营、自我约束、自我发展”的一个个法人办学实体。
然而在这样的新形势下,高校内部的许多经济活动开始转向了市场化,例如参与到多种融资活动、技术服务、技术咨询等活动中来。
也就是说高校并不再是传统的从事教学、科研管理的主体了,诸多方面会涉及到多种市场经济活动中来,而这也就是会难以规避了一些经济风险与法律风险。
例如我国近几年高校新校区的建设之中,投入了几十亿资金,假如缺乏了健全的风险控制机制,就会让资金链断裂,影响到院校日常健康运转。
其次,各大院校盲目扩招所引起的负债。
近几年我国高等院校之间的竞争日趋激烈,诸多高校为了能够在激烈的市场竞争中得到发展,盲目追求规模效应,借助大规模的扩招来顺应发展潮流。
而这样盲目的扩招让高校产生出巨额的资金需求,但是政府财政拨款与自筹资金难以满足现代高校迅速发展所产生的对于资金的无限需求,许多高校只能选择去银行贷款来解决自身迫切的资金需求问题,而这样大的规模建设与巨额财物负债,引起了高校财务风险问题。
第三,日趋激烈的市场竞争。
当前我国高校收费制度在经过几年的改革之后,初步形成了高等教育经常性的成本分担制度,学校学费收入占据了院校日常收入的30%左右,部分地方高校学费收入所占比例更高,甚至有些达到了50%。
然而资金筹集渠道的变化,让高校资金的供应链条更加依赖于生源市场。
当前,有越来越多的学生、家长选择名牌院校、重点院校,而这对于普通高校产生了巨大的冲击与影响,让自身的学费收入受到了一定影响,扩大了财务风险。
二、高校财务管理风险规避策略研究
首先,构建高校财务风险预警系统。
我们所说的预警系统就是在现代高校的财务管理与会计核算工作基础上,去分析与评判高校办学资金日常使用的合理程度、真实的财力能力等,并且借助该预警系统,进而找到高校财务运营过程中隐藏的风险,并且进行了相应的预警预报,进而为广大高校管理者的宏观战略决策提供了相对客观、必要的财务管理依据。
其次,选择科学合理的融资渠道。
我国高校除了去选择银行贷款来实现融资,还可以去选择了其他的形式,例如进行项目融资。
另外,还可以通过进行土地置换、校办产业、合作办学等形式来提升高校自身的创收能力,以达到降低借债风险的目的。
上层主管部门也需要加强对高校贷款管理工作的宏观监督力度。
对于部分具有严重透支偿债能力、风险较高的学校,上级部门必须要及时预警,假如部分高校依旧不顾财务风险,继续盲目扩大自身贷款规模,上级主管部门可对其实施处罚。
第三,合理编制预算,加强日常预算控制与管理工作。
众所周知,高校预算是一个学校财务管理工作的核心部门,是进行经济活动的必要依据,并且预算管理工作的好与坏会直接影响到院校的财务健康状况与持续发展与否。
高校各级预算收入的编制状况务必要坚持实事求是的原则,保持勤俭节约。
另外,财务部门必须要强化自身的预算安排,增强日常支出的透明度,确保开源与节流的并行。
并且学校全部支出项目务必要坚持有凭有据,在确保正常教学工作开展基础上,能够合法规范、合理收支。
日常预算工作在执行过程中,必须要加强对经费开支大户要进行重点跟踪管理工作,进而发挥了预算工作的控制管理功能。
三、结束语
随着经济不断发展,我国高校不断扩大自身规模,因此在日常教育投入过程中防范财务风险并加强控制是十分重要的,而高校管理层与财务管理部门务必要强化自身的财务风险防范意识,构建与健全财务风险防范与控制体系,进而使得高校实现可持续发展。
随着国家对高校教育工作重视度的不断增加,高校的投资主体开始走向多元化,而财政收支规模的增大导致高效会计核算工作更加复杂,随之而来的问题层出不穷,会计核算风险明显增加,阻碍高效会计工作的顺利推进。因此,为解决高校会计核算工作面临的问题,需要高校领导不断加大对会计风险防范的重视,根据自身的发展情况,制定相应的解决策略,从而从根本上解决高校会计核算面临的潜在风险,进而提高高校会计核算工作的效率,为高校各项工作的开展提供强有力的保障。
1高校会计核算工作中存在的问题
1.1对会计核算重视程度不够
对于目前来说,我国大部分高校管理层不能正确认识会计核算在高校各项工作开展中的重要作用,对会计核算的重视程度明显不足,这就导致会计核算工作中的问题不能有效解决,会计核算风险明显增加。由于高校资金来源大部分依靠于国家拨款,与企业之间就存在着很大的差别,这便导致高校管理层明显不同于一般企业,大多不重视会计核算工作,导致高校会计核算工作中问题屡出不穷,严重影响了高校其他工作的顺利开展,影响高校的整体发展[1]。
1.2相关部门监管不到位
随着经济社会快速发展,全社会经济业务不断复杂化,高校财务工作也变得日益复杂,这就要求高校在注重会计核算工作的同时,相关监管部门加大对高校财务工作的监管力度,不仅需要做到事后处理,而且要加强事前预防。由于相关部门监管不到位,导致我国高校不能紧跟会计制度变革的步伐,会计核算工作出现于会计制度严重脱节的现象,由于监管部门不能适时对高校财务问题进行反应,导致高校会计核算风险得不到有效的防范。
1.3内部控制力度低
随着高校经济业务不断多元化,财务工作的复杂性日益提高,而高校缺乏强有力的内部控制力度,这就导致高校会计核算工作风险进一步增加。由于高校不重视内部控制体系的建设,内部控制力度过低,导致会计内部环境权力过于集中化,迫于高层领导的压力,有些会计人员会不顾会计制度的要求,钻空子的现象屡次出现。另外,由于内部控制力度不高,导致有的会计人员由于自律性较差,不能加强其自身的学习,对新会计制度的颁布甚至视而不见,陈旧规章制度的运用会导致会计核算工作与制度要求相偏离,会计核算工作风险不断增加。
1.4会计核算人员专业素养低
伴随大数据时代的万到来,信息技术被广泛运用到各企业财务管理工作过程中,高校也不例外。新技术的运用,要求高校会计核算人员具备较高的专业素养,除了需要掌握基本的财务知识以外,还需要熟练掌握对信息技术的运用。但是对目前高校财务人员来说,其年龄结构较大,专业素养明显过低,缺乏对新事物的接受能力,因而就不能很好地满足信息时代对会计核算人员的专业水平要求,导致会计核算工作效率低,风险大。
2.1提高高校管理层的重视度
高校管理层直接监管学校财务工作的进行,因此,为尽可能有效防范会计核算风险问题,就需要让高校管理层认识到会计核算工作对高校运转的重要性,提高其对会计核算工作的重视度[2]。要改变高校管理层只重视学术和教学的传统思想,引导其将部分精力投入到搞笑的财务管理工作上,更好的监督会计核算工作的进行,从而提高会计核算人员的工作谨慎性,保证会计核算工作能够平稳有效的进行,避免风险的`增加,最终为学校其他工作的开展提供有力的保障。
2.2提高相关部门监管力度
国家相关部门要加强对高校财务工作的监管力度,保证高校会计核算工作有序进行。国家相关部门对高校财务工作的监管,能够很大程度引起高校管理层对财务工作的重视,进而促进管理层对财务部门工作进行适时监督,促使会计人员能规范自己的会计行为,积极更新会计知识,使会计核算工作能够完全符合会计法律法规的规定,保证会计核算工作规范有效,从而减少会计核算风险的产生。
2.3加强高校内部控制力度
高校财务工作的有序进行,不仅需要国家相关部门的监管,而且需要高校内部控制体系的支撑。高校领导要不断加强会计核算内部控制体系的建设,规范会计核算人员的行为,可以建立奖惩制度,对于那些工作出现严重问题的会计核算人员,去除年底评优的资格,对于问题严重影响学校运转的人员,采取罚款甚至开除的措施,通过这一系列内部控制措施的实施,尽可能的约束会计核算人员的行为,保证会计核算工作的质量。
2.4提高会计核算人员业务素质
会计核算人员是会计工作的直接实施者,其专业素质的高低直接影响会计核算工作的质量。因此,高校要不断加强对会计核算人员的培训力度,最大程度的增强会计人员的专业技术水平,保证会计核算工作的质量。高校可以通过聘请注册会计师等高端人员,定期到学校进行讲座,让高校会计人员能够深入理解会计核算的相关法律法规[3]。另外,高校还可以加强学校间的沟通交流,让学校会计核算人员能够进行经验分享,从而全面提高其专业素养,保证会计核算工作的质量。
3结束语
经济社会的发展和会计制度的不断更新,给高校会计核算提出了更高的要求。因此,高校领导要充分认识会计核算工作的重要性,加强高校内部控制力度和会计核算人员的培训力度,从而提高高校会计核算人员的专业素养,保证高校会计核算工作的有序进行,预防会计核算风险的发生。
参考文献
[1]张琪.高效会计核算风险的原因及建议分析[J].山西农经,(4):78.
[2]刘芳.浅议高校会计核算风险的防范[J].中国国际财经(中英文),(3):35.
[3]曹志华.高效会计核算风险及其防范控制研究[J].财经界:学术版,2016(19):18.
高校财务档案管理问题及对策论文
【文章摘要】财务会计档案管理是学校档案管理的组成内容之一。高校的财务档案应该保证真实性、完整性、准确性,但当前我国高校的财务档案管理工作还存在着许多的问题,一定程度上影响了财务管理工作的开展。
【关键词】高校;会计档案;档案管理
高校财务档案能够记录和反映学校的经济业务,对于学校的财务管理工作十分重要。现阶段,我国大部分高校的财务管理工作还存在财务档案管理意识淡薄、档案的鉴定销毁工作不及时等问题,严重影响了财务工作的正常开展,本文主要就高校财务档案管理的内容、存在的问题进行简单的分析讨论,并提出几点解决措施。
1财务档案的主要内容
财务会计档案主要包括四个组成部分,即会计凭证、会计账薄、会计报表及其它会计核算资料。其中,会计凭证主要包括原始凭证、记账凭证、汇总凭证等等;会计账簿主要包括明细账、日记账、总账等等;会计报表包括季度报表、年度报表、会计报表、资产负债表等等;其它会计核算资料包括银行对账单、会计档案移交清册、财务备份光盘等等。不同类型档案的管理期限、管理方法存在着较大的区别,下文主要就高校财务档案管理的工作流程进行简单的介绍。
2高校财务档案管理工作流程
高校财务档案管理主要包括档案接收、立卷、管理、查阅、销毁几部分内容。档案接收工作主要是在每年的第一季度开始,接收的档案主要是上年的各种会计资料,档案接收之前必须由交接双方分别清点档案内容,必须保证档案的完整性。档案交接完成后需要填写相应的档案移交清单,以便于后期的查询管理。档案立卷时必须参照移交清单根据时间、内容价值、数量、保管期限等等内容将交接的档案进行分类、编号、整理、组卷,并在档案管理系统中将档案的基本信息进行记录、审核、保存。档案库的管理工作对于保证档案的完整、无损十分重要,档案管理员必须保证档案库的清洁、干燥,市场部要对档案进行检查,防止档案受潮或被虫蛀,对于破损的档案应及时进行修补复制,此外档案管理还应做好防火防盗工作,避免档案损毁失窃。档案查阅时必须进行登记,档案复印应该经过相关责任人审批、复印人员必须保证证件有效,会计档案中如会计凭证等相关档案疑虑不得出借,特殊需要必须经过相关领导部门批转,并在查阅复印过程中由档案管理人员陪同。财务会计档案大多拥有一定的管理期限,比如,会计的原始凭证保存期限为,现金及银行存款日记账保存期限为25年,保存期满的档案应该根据相关程序进行销毁,档案销毁时必须注意,如果某项原始凭证已经达到保管权限,但没有结清债权债务或者涉及到其它未了事项,不得销毁。针对这一类的档案,应该进行单独立卷,直到相关事件完结才能销档。
3当前我国高校财务档案管理存在的问题
3。1财务档案管理人员编制不足、人员缺失要想保证财务档案管理工作顺利进行,完善的财务档案管理机制是必不可少的,但现阶段我国大多数高校的.财务档案管理工作人员编制严重不足,导致财务档案的管理工作无法顺利开展,大量的财管档案没有按时归档。此外,财务档案的管理涉及到学校的多个部门,许多部门并不重视档案的收集整理,在一定程度上也加剧了财务档案管理人员的工作量。另外,保管期满的财务会计档案可以按照相关规定申请鉴定后进行销毁,但在实际的档案管理工作中,由于人员缺失等,导致许多档案都没有按规定销毁,大量的档案超龄存放,也会加大管理人员的工作量。3。2档案管理人员的专业素质参差不齐大多数高校的档案管理工作者都是由档案室的非会计人员兼职管理,他们缺乏专业的财务档案管理的相关知识,许多管理人员对于会计档案的分类方法、管理期限、销毁制度等等内容都不够清晰明了,导致财务会计档案分类混乱、资料真实性、完整性难以保证,销毁工作没有按时进行等等不良现象出现,严重影响了档案管理的质量。
4高校财务会计档案管理措施
4。1建立健全的财务会计档案管理机制为了保证财务会计档案的完整性、真实性、有效性,必须建立健全财务会计档案管理机制。结合学校的财务会计管理工作的实际情况,根据会计档案管理的相关法律法规,加强对学校现有的财务会计档案管理人员的专业培训,提高他们的专业水平,并积极招收专业的财务会计档案管理人才,完善学校财务会计档案管理机制。4。2制定完善的财务会计档案管理制度为了保证财务会计档案管理工作的有序开展,学校必须根据会计档案管理法律法规,制定完善的财务档案归档制度,安全保密制度、会计档案期满销毁制度等相关规章制度,保证档案管理人员在日常的管理工作中有法可依、有章可循,解决当前阶段我国高校财务档案管理混乱、会计档案销毁工作滞后、档案的真实性、完整性不足等等问题,促进财务档案管理工作顺利开展。4。3档案室硬件设备配备齐全档案室的环境对于档案有着十分重要的影响,因此,档案室硬件设施的配备必须齐全。为了保证档案室档案的安全,学校应该在档案室配备一定的防火、防盗、防潮等硬件设备,比如防盗门、空调、烟雾警报器、温度计、湿度计、灭火器、去湿机等等。此外,根据现阶段档案管理的实际需求,档案室还需要配备计算机、复印机、扫描仪等办公设备,为档案管理人员及查阅人员工作提供便捷。学校还可以积极的引入现代信息技术,使财务会计数据的处理传输实现自动化、电子化,使学校的财务档案内容更加丰富,以促进财务会计档案管理工作的科学化、现代化。
5结束语
财务会计档案管理工作有利于促进高校财务资源分配的合理性,对于高校的发展十分重要,当前我国高校的财务档案管理存在着较大的问题,学校必须重视财务会计档案管理工作,结合自身的实际情况,针对财务档案管理中存在的问题制定相应的管理方法,以保证财务档案管理工作顺利开展,从而充分发挥出财务档案管理的作用。
【参考文献】
[1]梁淑艳。高校财务档案管理中存在的问题及对策[J]。财税会计。(12)
[2]李萍。高校会计档案鉴定销毁滞后原因分析与对策[J]。机电兵船档案。(05)
浅析建筑工程安全风险管理及对策论文
建筑工程安全风险管理是一项综合性比较强的工作,主要是根据项目工程的风险环境和预期的管理目标,对风险的因素进行全面的分析和处理。建筑施工企业要不断的规范施工过程中的行为,提升风险管理和控制的能力,让企业持有一定的市场竞争力,才能在建筑行业中稳定持续的发展下去。
1 建筑工程安全风险管理的重要意义
在建筑工程施工中,之所以会出现安全风险方面的事故问题,是因为有一些因素无法预测,进而发生安全事故,严重时造成人员的伤亡。由于建筑工程施工比较复杂,施工人员的流动量大且素质不高,安全防范的意识薄弱,露天高空作业比较多,这些因素都容易造成安全事故发生。还有一些不可抗力的自然因素的作用,无法预测就造成了事故发生。建筑工程安全风险不仅对整个建筑工程造成一定的影响,且会对人员的人身安全产生威胁,也会造成很大的经济损失。所以施工企业要重视建筑工程安全风险管理这项工作,树立风险防范的意识,尽可能的规避一些因素产生。
2 影响建筑工程安全的风险因素
2.1 人为的因素
(1)管理不到位。部分施工企业虽然有好的管理水平,但针对施工过程中的安全风险管理却没有健全的机构,企业没有属于自己的施工团队,大部分还是采取分包的形式分给了那些没有经过专业培训的施工人员。而施工企业只是派几个技术人员到施工现场进行管理,管理人员的配备不够,有时候根本没有安全员,就算是有也是挂有虚职。管理人员对于施工操作不规范的行为没有进行及时有效的纠正,安全管理、检查的工作不到位。
(2)环境的因素。存在很多安全隐患的环境最容易引起安全风险事故的发生。环境方面的因素主要包括噪音比较大、施工现场通风不流畅、粉尘太多、物品存储不合理等。而在露天环境下作业,施工人员的思想不容易集中,产生紧张、烦躁等心理,在这样的情况下作业最容易引发安全事故。
(3)施工人员的自身因素。建筑工程施工现场的管理人员、施工人员和其他现场的工作人员普遍缺乏自我安全防范的意识,很多施工人员都是没有通过正规的职业技能培训,没有证件就上岗,专业技能掌握不全面;有很多人在身体不舒服的时候还继续工作。因为疲劳作业、违章作业而发生的安全事故不在少数。(4)施工人员操作方面的因素。施工人员对于安全风险本身要负有一定的责任,最起码个人应具备的劳动安保的用具要佩戴齐全,如果配备不齐就会增加安全风险发生的概率。而且施工人员对于设备的操作不够规范也容易产生安全事故。而对于施工设备的维护、保养要是不到位,当出现了机械故障的时候,也容易造成较大的安全事故。
2.2 自然因素
自然因素主要是因为地质灾害、气候等方面不可抗力的因素容易造成安全事故发生,主要的自然因素有:大规模的降雪、降雨、刮风、严寒等。大范围的降雨会导致发生积水或洪水,会对建筑工程的基础造成严重的损坏;而强降雪要是超出了建筑物结构的承载能力有可能造成建筑物的垮塌;较大的风会严重摧毁房屋的建筑;严寒的天气会使建筑物构件之间的水分冻结并膨胀,膨胀后的胀裂力会严重的损坏构件,低温条件下地基土会产生冻土层,在这样的情况下施工的话,会造成地基的不均匀沉降;而地震是不可预测的,一旦发生其破坏性是非常大的;如果发生山体滑坡泥石流就会给建筑物造成毁灭性的危害。3 加强建筑工程安全风险管理的对策
3.1 风险的回避
对于风险的回避主要是当确定了项目的安全风险系数较大时,要主动的放弃或改变计划,尽可能的在安全风险发生前消除安全风险的.隐患,从而有效的避免风险。虽然风险的回避可以有效的避免风险,但在回避风险的同时也阻碍了获利的机会,影响了企业的发展。
3.2 风险的缓解
主要是在风险发生前要采取措施,从而有效降低安全风险发生的几率。风险的缓解目标有:①降低工程安全风险的发生概率;②避免工程安全风险造成的损失;③将工程安全风险分散开。
3.3 风险的自留
风险的自留又叫风险的承担,主要是企业做好预备措施并主动的承担一些风险,建筑工程风险的自留是一种财务性的技术,利用企业内部财务预留的费用去弥补风险造成的损失。
3.4 风险的转移
风险的转移是企业将全部风险权利转移给外部单位,目的是让企业本身避免了风险造成的损失,但风险的转移只能将工程安全风险管理的责任转给外部单位,而安全风险并不能完全消除。
4 有效预防建筑工程安全风险的办法
在建筑工程正式施工前,企业要根据建筑工程项目的规模、各方面的要求等进行合理科学的规划,制定规范的操作流程和管理制度,确立安全施工的目标,明确各部门的职责,落实相关工作人员的工作任务;要制定具体的作业方案,并对作业人员进行技能的培训和安全知识教育,使作业人员对方案内容有充分的了解,避免违规操作产生的事故伤害。培训既是安全技能训练;加强监管的力度,对安全风险的因素进行充分了解,对施工设备进行严格的验收和检查,预防因设备损坏而产生的事故;实行安全生产落实到人的制度,将建筑工程安全的责任分解开,落实到人,从而确保安全施工能顺利进行,并保障工程的质量。
5 结束语
在整个建筑工程施工中,安全风险一直都存在,想要完全的消除风险是不现实的。由此可见,做好建筑工程安全风险管理的工作至关重要。作为施工企业,要高度的重视安全风险管理的这项工作,全面的完善、优化风险管理的手段,掌握主动权,对建筑市场进行规范化,才能从根本上有效的降低安全事故的发生概率,为施工企业创造经济利益。
信息安全风险与信息安全体系论文
信息安全风险与信息安全体系论文【1】
摘要:信息概念是由信息论的创立者申农提出的,他把信息定义为在信宿中用来消除对于在信源中发出的消息的不确定性的东西。
它包含的两个特质也揭示了成熟的信息的存在与能动主体的目的性行为是不可分的,本文就信息安全进行讨论主要包括信息安全风险与体系结构、漏洞扫描技术与信息安全管理等。
关键词:信息;安全
信息是客观世界中物质和能量存在和变动的有序形式,和组织系统对这个形式的能动的反映及改组。
其中前一个表语表述了信息概念的广义内涵,后一个表语表述了信息概念的狭义内涵。
一、信息的概述
信息是物质的普遍性,是物质运动的状态与方式。
信息的一般属性主要包括普遍性、客观性、无限性、动态性、异步性、共享性 、可传递性等。
信息的功能是信息属性的体现 ,主要可以分为两个层次:基本功能和社会功能。
信息的功能主要体现在以下几个方面:信息是一切生物进化的导向资源,是知识的来源,是决策的依据,是控制的灵魂,是思维的材料。
二、信息安全的重要性
在当今的信息时代,必须保护对其发展壮大至关重要的信息资产,因此,保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者的最优先的需求之一。
安全漏洞会大大降低公司的市场价值,甚至威胁企业的生存。
当今世界已进入信息社会,随着计算机、通信技术的迅猛发展,计算机信息系统的广泛应用,促使它渗透到社会各个行业和部门,人们对它的依赖性越来越大。
在军事、经济、科学技术、文化教育商业等行业中,重要的信息资源是通过计算机网络进行输入、处理、存储、传递、输出, 给人们提供迅速、高效的各种信息服务,因此如果不重视计算机信息系统的保护,国家的机要信息资源如不加保护,势必容易被非法窃取、更改、毁坏,将会造成国民经济的巨大损失,国家安全的严重危害。
三、信息安全体系结构
(1)息安全的保护机制
信息安全保护存在的主要问题与政策: 正确的信息安全政策和策略是搞好国家信息安全保护工作的关键, 引发信息安全问题的因素有有外部因素和内部两方面,主要的因素在于内部如信息安全政策不确定;信息安全保护工作组织管理制度不健全,安全责任制不落实,导致管理混乱、安全管理与技术规范不统一;信息安全市场和服务混乱、不规范;国家监管机制不健全,监管手段缺乏等。
信息安全等级保护要贯彻国家保护重点和基础信息网络与重要信息系统内分区重点兼顾一般的原则。
(2)信息安全体系框架
依据信息安全的多重保护机制,信息安全系统的总要求是物理安全、网络安全、信息内容安全、应用系统安全的总和,安全的最终目标是确保信息的机密性、完整性、可用性、可空性和抗抵赖性,以及信息系统主体对信息资源的控制。
完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。
为了适应信息技术的迅速发展以及信息安全的突出需求,国际上许多标准化组织和机构很早就开始了信息安全标准的研究和制定工作,如美国的国防部DOD(Department Of Defense),国际标准化组织ISO,英国标准化协会BSI(British Standards Institute)等。
四、漏洞扫描技术与信息安全管理
(1)漏洞扫描技术
一般认为,漏洞是指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。
随着Internet的不断发展,信息技术已经对经济发展、社会进步产生了巨大的推动力。
不管是存储在工作站、服务器中还是流通于Internet上的信息,都已转变成为一个关系事业成败的策略点,因此,保证信息资源的安全就显得格外重要。
目前,国内网络安全产品主要是以硬件为主,防火墙、入侵检测系统、VPN应用较为广泛。
漏洞扫描系统也是网络安全产品中不可缺少的一部分,有效的安全扫描是增强计算机系统安全性的重要措施之一,它能够预先评估和分析系统中存在的各种安全隐患。
换言之,漏洞扫描就是对系统中重要的数据、文件等进行检查,发现其中可被黑客所利用的漏洞。
随着黑客入侵手段的日益复杂和通用系统不断发现的安全缺陷,预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。
漏洞扫描的结果实际上就是系统安全性能的一个评估报告,因此成为网络安全解决方案中的一个重要组成部分。
(2)信息安全管理
随着社会信息化的深入和竞争的日益激烈,信息安全问题备受关注。
制定信息安全管理策略及制度才能有效的保证信息的安全性。
制定信息安全管理策略及制度
目前关于信息安全的理论研究,一个是信息安全问题不仅仅是保密问题,信息安全是指信息的保密性、完整性和可用性的保持,其最终目标是降低组织的业务风险,保持可持续发展;另一个观点是,信息安全问题不单纯是技术问题,它是涉及很多方面如历史,文化,道德,法律,管理,技术等方面的综合性问题,单纯从技术角度考虑是不可能得到很好解决的。
这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织,其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。
作为这样一个组织实体应该有一个完整的信息安全策略。
信息安全策略也叫信息安全方针,是组织对信息和信息处理设施进行管理,保护和分配的原则,以及使信息系统免遭入侵和破坏而必须采取的措施,它告诉组织成员在日常的工作中哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全的行为规范。
制定信息安全管理制度应遵循如下统一的安全管理原则:
(1)规范化原则。
各阶段都应遵循安全规范要求,根据组织安全信息需求,制定安全策略。
(2)系统化原则。
根据安全工程的要求,对系统个阶段,包括以后的升级、换代和功能扩展进行全面统一地考虑。
(3)综合保障原则。
人员、资金、技术等多方面 综合保障。
(4)以人为本原则。
技术是关键,管理是核心,要不断提高管理人员的技术素养和道德水平。
(5)首长负责原则。
(6)预防原则。
安全管理以预防为主,并要有一定的超前意识。
(7)风险评估原则。
根据实践对系统定期进行风险评估以改进系统的安全状况。
(8)动态原则。
根据环境的改变和技术的进步,提高系统的保护能力。
(9)成本效益原则。
根据资源价值和风险评估结果,采用适度的保护措施。
(10)均衡防护原则。
信息安全系统工程
安全系统工程运用系统论的观点和方法 ,结合工程学原理及有关专业知识来研究生产安全管理和工程的新学科,是系统工程学的一个分支。
其研究内容主要有危险的识别、分析与事故预测;消除、控制导致事故的危险;分析构成安全系统各单元间的关系和相互影响,协调各单元之间的关系,取得系统安全的最佳设计等。
目的是使生产条件安全化,使事故减少到可接受的水平。
安全系统工程不仅从生产现场的管理方法来预防事故,而且是从机器设备的设计、制造和研究操作方法阶段就采取预防措施,并着眼于人——机系统运行的稳定性,保障系统的安全。
信息安全风险评估与安全预算【2】
随着我国信息化建设进程不断加速,各类企事业都在积极运用网络带来的便利,对各种信息系统的依赖性也在不断增强,但是信息系统的脆弱性也日益暴露,如何通过有效的手段,保证有限的安全预算发挥出最大的效果,以保证信息安全,成为大家共同面临的问题。
一、如何看待安全预算
【摘要】随着信息化的逐步深化、扩展,信息系统的安全性和可用性显得愈来愈重要。本文基于电网企业开展的信息安全风险评估工作,对信息安全风险评估的评估实施流程、评估实施方法及其在信息系统生命周期不同阶段的实施要点进行浅要分析。
【关键词】信息系统;信息安全;风险评估;评估方法
一、信息安全风险评估的评估实施流程
信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议,在风险评估之后就是要进行安全整改。
网省公司信息系统风险评估的主要内容包括:资产评估、威胁评估、脆弱性评估和现有安全措施评估,一般采用全面风险评估的方法,以安全顾问访谈、管理问卷调查、安全文档分析等方式,并结合了漏洞扫描、人工安全检查等手段,对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估,经过充分的分析后,得到了信息系统的安全现状。
二、信息安全风险评估实施方法
2.1 资产评估
网省公司资产识别主要针对提供特定业务服务能力的应用系统展开,通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。
综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。
2.2 威胁评估
威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中,根据各单位业务系统的具体系统情况,结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查,下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述:
2.3 脆弱性评估
脆弱性评估内容包括管理、运维和技术三方面的内容,具体实施可参照公司相应的技术或管理标准以及评估发起方的要求,根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考:
管理脆弱性:安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。
运维脆弱性:信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。
技术脆弱性:网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。
管理、运维、技术三方面脆弱性是相互关联的,管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生,运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行,运维和管理的.脆弱性主要通过访谈和调查问卷来发现。此外,对以往的安全事件的统计和分析也是确定脆弱性的主要方法。
三、现有安全措施评估
通过现有安全措施指评估安全措施的部署、使用和管理情况,确定这些措施所保护的资产范围,以及对系统面临风险的消除程度。
3.1 安全技术措施评估
通过对各单位安全设备、防病毒系统的部署、使用和管理情况,对特征库的更新方式、以及最近更新时间,设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析,并确定级别。
3.2 安全管理措施评估
访谈被评估单位是否成立了信息安全领导小组,并以文件的形式明确了信息安全领导小组成员和相关职责,是否结合实际提出符合自身发展的信息化建设策略,其中包括是否制定了信息安全工作的总体方针和安全策略,建立健全了各类安全管理制度,对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。
3.3 物理与环境安全
查看被访谈单位信息机房是否有完善的物理环境保障措施,是否有健全的漏水监测系统,灭火系统是否安全可用,有无温湿度监测及越限报警功能,是否配备精密空调严格调节控制机房内温度及湿度,保障机房设备的良好运行环境。
3.4 应急响应与恢复管理
为正确、有效和快速处理网络信息系统突发事件,最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响,需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制,应对网络信息系统突发事件的组织指挥能力和应急处置能力,是否及时修订本单位的网络信息系统突发事件应急预案,并进行严格的评审、发布。
3.5 安全整改
被评估单位根据信息安全风险评估结果,对本单位存在的安全风险进行整改消除,从安全技术及安全管理两方面,落实信息安全风险控制及管理,确保信息系统安全稳定运行。
四、结语
公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施,各单位结合风险评估实践情况,以技术促安全、以管理保安全,确保公司信息系统稳定运行,为公司发展提供有力信息支撑。
参考文献
[1]中国国家标准化管理委员会,信息安全技术一信息安全风险评估规范,
[2]国务院信息办信息安全风险评估课题组[R],信息安全风险评估研究报告,
【摘 要】本文介绍了信息安全风险评估的基本概述,信息安全风险评估基本要素及通用的信息安全风险评估过程。提出在实际工作中结合实际情况进行剪裁,完成自己的风险评估实践。
【关键词】信息安全;风险评估
1 企业信息安全风险评估概述
信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。是针对威胁、脆弱点以及它可能导致的风险大小而评估的。
对信息安全进行风险分析和评估的目的就是:企业能知道信息系统中是否有安全隐患的存在,并估测这些风险将会造成的安全威胁与可能造成的损失,经过这些判断来决定修复或者对于安全信息系统的建立。
信息系统风险分析和评估能够有效的保护企业信息,但同时它也是一个较为复杂的过程,建立一个完善的信息安全风险评估需要具备相应的标准体系、技术体系、组织架构、业务体系同时也要遵循相关的法律法规。
2 企业信息安全风险评估的作用
信息安全风险评估是信息安全工作的基本保障措施之一。风险评估工作是预防为主方针的充分体现,它能够把信息化工作的安全控制关口前移,超前防范。
针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息安全风险评估,这样能够在第一时间发现各种所存在的安全隐患,然后再运用科学的方法对风险进行分析,从而解决信息化过程中不同层次和阶段的安全问题。
在信息系统的规划设计阶段,信息安全风险评估工作的实行,可以使企业在充分考虑经营管理目标的条件下,对信息系统的各个结构进行完善从而满足企业业务发展和系统发展的安全需求,有效的避免事后的安全事故。
这种信息安全风险评估是必不可少的,它很好地体现了“预防为主”方针的具体体现,可以有效降低整个信息系统的总体拥有成本。信息安全风险评估作为整个信息安全保障体系建设的基础、它确保了信息系统安全、业务安全、数据安全的基础性、预防性工作。因此企业信息安全风险评估工作需要落到实处,从而促进其进一步又好又快发展。
3 信息安全风险评估的基本要素
★ 信息安全论文
