的咨询公司,这样它便能被另一个信息系统外部的实体所管理,从而将风险迁移。特定的合同协议的优点就是供应商必须从头到尾恪守合同条款,承担对灾祸的还原任务,确保服务器网站的可用性。
一般情况下,转移部分系统风险并不是说将风险完全消除了而再也不用去面对,而是将风险降低,降低到企业可以接受的范围内。运用外部顾问能够将技术风险搬运到公司外部,由于要聘用外部顾问就必须付出对应的薪酬,这必然会加重企业财务负担,但这样做的好处是公司可将那些与杂乱体系管理有关的风险搬运到有处理这些风险经验的另一个公司或组织中,例如体系管理员,专业的安全专家。精明的公司通常都雇佣一个ISP或者一个网络咨询师来为他们供给咨询或服务,而不是运用它们的服务器,自己雇佣Web管理员。风险转移不意味着风险消除。假如公司没有会计信息安全管理人员和这方面的管理经验,就应当雇佣优秀人才来服务该公司。这个经验应当牢记,不论何时一个公司想要扩展它的事务,会计信息体系乃至信息安全体系的建立和管理,都是必不可少的。
(三)做好应急预案,消减因漏洞被利用造成的损失
我们把做好应急预案和事中控制的,消减因漏洞造成的损失的策略称知之为减轻策略。我认为一个完整的减轻策略至少应该包括三方面的内容:1、事先防备2、事中控制3、事后反思,这三个方面缺一不可,只有对这三个方面统一进行运用,才能是企业在面对突发性事件时所受到的损失将为最低,达到企业能够接受的程度。这里的减轻策略和上文中的避免策略并不是重复的,他们两个有着本质的不同:避免策略意在防患于未然,努力做到在灾难性事故未发生前,就把它消灭掉,而减轻策略则不同,它考虑的是如何将已经发生的灾难性事件所造成的损失降至最低,两者的前提是不同的。
(1)事前防备:所谓事前防备,就是我们在日常的安全的状态下,去思考一旦有突发事件来袭时我们应该做什么,怎么做。其实这个策略考察侧重于考察我们的想象力,因为要做安全的环境下,去制定应对灾难事件的办法,想要制定完备的方案,只有经验是不够的,我们必须要有想象力,并通过理性思维来思考,才能制定出比较实际合理的计划,以便防止突发性事件的发生,另外,事先防备策略并不是仅仅做出计划,它还包括建立健全公司内部情报信息监控机制,这样做的目标是一旦公司内部发生了会计信息灾难性事件,公司会计信息安全部门就能第一时间得到消息,俗话说“早发现,早治疗”,一个人得病是是这个样子,一个公司得病了同样是一个道理,
9
发现的越早,能避免的损失就越大。最后,事先准备的常用手段还包括软件备份,系统备份,会计信息备份,有了这些备份,我们就能在灾难过去之后,迅速地把公司的状态恢复到灾难事故发生之前的状态,有了这个方法我们就能够保证公司在发生会计信息安全事故之后,能以最快的速度恢复过来。
(2)事中控制:什么事事中控制呢,举个简单例子,假设在战争年月,你是一名前线指挥官,总司令给了你人,给了你枪,你现在要做的是如何指挥你的人拿着枪冲向敌人的阵地,获得战争的胜利,那么你现在所做的事情在企业或公司里就叫做事中控制。事中控制的重要性不言而喻,“台下十年工,台上一分钟”有很多时候,事前准备的很好,但是到了灾难事故发生的时候,由于心里素质等原因,导致了公司领导在面临紧急问题是不能够做好事中控制工作,是企业受到不应该有的损失。面对这种情况我们应该怎么办呢?首先,我们一定要做好选拔考核工作,选拔那样心里素质过硬能够独挡一面的人员进入管理层作为关键领导,对于那些心理素质一般工作能力突出的人员可以任用,但不能委以关键位置。其次,在日常企业工作中,公司应该注重对员工心理素质的培养,职工的良好心理素质对企业信息安全起到至关重要的作用。最后,事中控制能不能发挥到良好做效果,还要看事前防备做的是否完善,例如,当公司发生财务丢失时,我们的第一反应不是打电话告诉公司CEO,而是打电话告诉警察。还如我们在做事前准备时,应当标注应急的指挥点,以及路线,以防我们在慌乱中无法到达。
(3)事后反思:当一切的灾难事故尘埃落定时,公司或企业上下又呈现出了一片欣欣向荣的景象,但是我们不能够好了伤疤忘了痛,灾难事故带给我们带来损失的同时,也给我们带来了金钱买不到的东西,那就是教训,我们一定要认真总结它,防止类似事件的再度发生。
(四)限制不可防止漏洞带来的损失
有一些漏洞是这样的,它不能直接的经过有效的防止或调整办法来处理或者运用防止和调整的方法的成本远远大于这些漏洞所能带来的威胁。当企业遇到类似漏洞时,我们所要做就是将这个漏洞隔离开来以便防止其造成更大的损失。它的前提是公司对漏洞的威胁程度有着准确的认识。
10
上述四种策略运用流程图
图3-5 策略运用流程图
设计这个流程图的目的就是让公司和读者更清楚的明白何种情况下采用何种战略,才能够避免风险或者将损失降到最低。举个例子就是说当我们考量一项会计信息是,首先思考他有没有漏洞,如果没有漏洞,那它就不存在风险,如果有漏洞就要思考这个漏洞是不是能被利用,如果不能够被利,用那必然不存在风险,如果漏洞能被利用,那么接下来就要思考这个漏洞会带来多大的损失。经过系统的评估,如果该漏洞造成的风险小与防护它所需要的代价,我们不妨采取接受的态度,只要阻止其继续扩大即可,如果该漏洞导致的损失过大,我们就应当根据实际情况采用其他三种战略了。
结语
在企业中,信息安全管理存在的最根本问题是认识与实践的差距。信息安全管理的组织结构建设应当从企业战略出发,进行策略制定,然后按照策略组成信息安全组织,并依照企业的战略目标和业务目标,将信息安全任务划分到信息安全组织中的各个层级进行落实,保持企业最高战略层到最低操作之间的一致性。
11
参考文献
[1]徐丽. W公司会计信息系统内部控制研究[D].浙江工商大学,2014. [2]王培培. 网络会计信息系统安全对策研究[D].山西财经大学,2014. [3]朱亚林. 互联网环境下高校会计信息化安全问题研究[D].首都经济贸易大学,2013.
[4]李卢. 网络环境下的会计信息安全问题研究[D].燕山大学,2010.
[5]李昕. 互联网环境下中小企业会计信息系统存在的安全问题及解决方法[J]. 电子测试,2013,12:201-202.
[6]程平,周欢,杨周南. 云会计下会计信息安全问题探析[J]. 会计之友,2013,26:28-31.
[7]孙晶玮. 网络会计环境下内部控制的研究[D].首都经济贸易大学,2010. [8]徐海含,田海霞. 会计信息安全问题研究——基于电子商务视角[J]. 中国管理信息化,2015,07:64-65.
[9]王恒晖.网络环境下会计信息系统安全性探析[D].江西财经大学,2010. [10]常颖.具有可实施性的信息安全风险管理体系[J].科技信息.2009,24:572- 574.
[11]尹长囡.DF公司网络环境下会计信息系统内部控制研究[D].河南大学,2013.
[12]焦珊珊. 基于网络环境下的会计信息披露研究[D].长安大学,2013. [13]郑革.信息安全风险评估综合分析[J].现代商贸工业.2011(8):256-257. [14]陈春梅.网络环境新形势下会计信息安全问题的研究[J]. 商场现代化,2013,Z1:185.
[15]李唤儿. 网络环境下会计信息安全问题研究[J]. 合作经济与科技,2014,22:143-145.
12
致谢
浮华岁月,青春如歌,离离合合,时光静好。光阴似箭,日月如梭,四年的大学生活像流星一样在不经意间划过。经过几个月的努力,在今天我终于完成了这篇论文,为我的大学生涯画上了浓重的一笔。回想往昔,我首先应该感谢的是张新铭张老师,他在繁忙的工作中抽出大量时间为我悉心指导,从论文选题到初稿定稿,都倾注了他大量的心血。他总是不厌其烦的为我指导,对我的写作内容一遍遍的审阅,大至整篇论文的轮廓,小至一个标点符号都不放过。张老师严谨的治学态度和实事求是的作风让我受益匪浅,在此,我只想说一句话:张老师,您辛苦了,谢谢您!
同时,我也要特别感谢我的任课教师庞晓雪老师,刘娟娟老师,江雪老师,王丹老师,李慧老师,张峻松老师,还有照顾我们四年的辅导员秦聪老师,以及学院所有的授课老师。师者所以传道受业解惑也,如果没有他们的悉心教导,没有他们的热情帮助,很难想象现在的我会是什么样子。正是你们的悉心教导,我才能够取得今天的成绩,在此我由衷的感谢各位老师!
再次,相聚是缘,感谢在大学期间我所有的朋友,是他们让我懂得了理解与信任,也是他们让我收获了难能可贵的友谊,更是他们让我在人生道路上不在孤单,不在无助。
最后,我想感谢的是我的父母和家人,感谢他们无微不至的关怀和孜孜不倦的教导,是他们让我从一个襁褓里的婴儿,成长为一个茁壮的少年,也是他们让我从一个懵懂无知的少年成长为一个有理想有抱负的青年。谢谢你们,爸,妈。
13