信息技术风险范文（精选11篇）

信息技术风险 第1篇

自从计算机在50年前进入商业应用领域, 各种形式的信息技术外包就一直存在, 但是直到最近15年信息技术外包服务才盛行起来。外包赋予了组织应对快速变化的全球经济所必需的灵活性, 同时它也使组织在竞争激烈的市场环境中能将精力集中于组织的核心竞争力上。

对中国的大多数企业来说, 外包还是一个新鲜的事物。国内有关信息技术外包的研究也还处于初级阶段。但是, 在善加利用企业信息技术外包的优势为我所用的同时, 企业信息技术外包的风险同样不容忽视, 国外学术界和实务部门早已展开了相关研究。在我国企业界大力推行信息技术外包的同时, 也应注意研究和控制其风险。本文将首先重点分析在“委托代理”模式下的企业信息技术外包风险, 最后总结企业信息技术外包实务中的风险类型和风险控制。

一、“委托代理”模式下的企业信息技术外包风险

从实质上看, 外包所体现的是一种企业和外包服务商之间的“委托一代理”关系, 我们有必要对该模式下的相关风险问题进行重点分析。

“委托一代理”在现代市场经济中普遍存在。一般而言, 由于存在信息不对称, 委托人往往比代理人处于一个更不利的位置, 实施信息技术外包的企业 (委托人) 与外包服务商 (代理人) 之间的关系也是如此。在企业和外包服务商的交易中, 当交易的一方掌握有另一方所不知的信息时, 交易便处在不对称信息结构当中。

信息的不对称可以从两个角度划分:一是不对称发生的时间;二是不对称信息的内容。由于信息不对称现象在企业实施信息技术外包的活动中无所不在, 因此对其进行深刻理解, 是很有必要的。下面, 我们从“委托一代理”关系中的两种基本类型出发, 对企业实施信息技术资源外包的风险进行分析:

1. 隐蔽信息。

隐蔽信息的问题在企业选择外包服务商的过程中具有普遍性。由于信息不对称, 服务商比企业更了解自己的资信、真实的技术实力、人员实力, 并向企业提供不充分或不真实的信息。同时在企业方面, 一是由于项目经理没有能力或没有严格设计和遵照招标规程去了解服务商的实际运作情况、背景、主导产品与核心业务情况, 也没有对服务商的财务状况、非财务状况、稳定性等进行认真核查及分析, 从而无法把握来自于服务商的风险;二是由于直接项目负责人存在个人倾向性, 导致其虽然了解来自服务方的信息, 但没有充分地向后台决策层反馈, 后台决策层缺乏充分有效的信息来支持决策。这种信息不对称的决策导致了“逆向选择”企业误选了不适合自身实际情况的服务商。

2. 隐蔽行动。

其意指:假设委托人和代理人在签定契约时各自拥有的信息基本上可视为对称, 但达成契约后, 委托人无法观察到代理人的某些行为, 或者外部环境的变化仅为代理人所观察到。在这种情况下, 代理人在有契约保障之后, 可能采取不利于委托人的一些行动, 进而损害委托人的利益。隐蔽行动的问题在企业对合同进行管理的过程中也具有普遍性。当内部的信息技术业务或资源交由外部的服务商管理之后, 企业无法对外包的内容进行直接控制, 也得不到来自外包商服务人员的直接报告, 加之合同中双方权利义务的界定不清, 失控的风险显而易见, 比如服务质量、提供效率、对服务需求变化的灵活性掌握、费用控制、企业的商业秘密和内部资讯、乃至知识产权等方面都有可能存在风险。同时, 在服务商方面, 一是由于缺乏可操作的而且严格的监控措施, 服务商有可能不履行先前的承诺, 服务资源也存在级别被降低的风险;二是由于技术更新的速度非常之快, 技术成本随着时间的推移而降低, 但因服务商缺乏来自企业的激励, 为赚取更多利益反而限制了新技术的应用或服务费用的降低, 从而存在着与企业想要分享信息技术进步、增强成本控制的初衷背道而驰的风险。这种隐蔽行动导致了“败德行为”外包服务商降低服务水准、增加潜在费用。

二、企业信息技术外包实际中的风险分析

企业在实施信息技术资源外包过程中通常面临着很多不确定性, 始终处于风险环境之中, 因此, 企业对风险的把握, 直接决定着信息技术资源外包的成功与否。简单地说, 一个企业要成功地实施信息技术资源外包, 通常必须经历如下阶段, 即:战略制定 (企业内部分析和评估、界定需求) , 选择适合的服务商, 以协议形式固定双方合作关系, 对合同进行实施、管理与监控。在以上阶段中, 无不充斥着来自企业内外环境的风险, 企业必须树立风险意识并加强风险管理, 从而最大限度地发挥信息技术资源外包给企业带来的积极作用。

信息技术外包风险在实际的企业运作中主要体现在以下几个方面:

1. 安全性风险。

企业可能丧失对外包的控制, 从而影响整个业务的发展。外包信息系统的安全性是非常值得关注的一个问题。在外包的系统中, 由于企业没有内部科技人员的全程跟踪, 一般业务部门容易忽视程序漏洞。同时, 后期的维护企业需要提供足够的信息, 而这些信息可能就会在无意中形成安全隐患。

2. 创新能力弱化风险。

信息技术能力的获得是企业长期实践和应用的结果, 信息技术的外包可能削弱企业内部信息技术部门的学习创新的能力。如果将企业的信息技术外包, 服务商与企业的合约关系将限制熟悉业务的用户和熟悉的专家之间的接触, 可能会阻碍新技术与业务的结合, 从而削弱企业的学习和创新能力。

3. 战略信息泄漏风险。

企业将自己的信息系统外包, 其商业秘密或所有权信息可能会泄漏给竞争对手, 从而使企业面临潜在的风险, 造成企业战略信息的泄漏。一般来说, 造成企业战略信息泄漏的原因有两种:一种是服务提供商有意识地泄漏企业的相关策略信息给企业的竞争对手;另一种是服务提供商无意泄漏了企业的战略信息。

4. 服务提供商无法提供所需要服务的风险。

就信息技术服务提供商方面来看, 其原因可能有:企业开始没有很好评估信息技术服务商的实力, 选择了低劣的服务提供商;服务提供商方面的人员变动, 无力提供外包合同中规定的服务水平;在前期需求分析时, 服务提供商未能充分理解企业的业务需求等等。

三、企业信息技术外包的风险控制

针对上述信息技术外包的实际风险, 企业应强化风险意识, 有针对性地进行风险控制。主要应该从如下方面着手:

1. 完善企业的风险评估过程。

企业应组成一个由企业内外专家组成的风险评估专家委员会, 充分理解信息技术外包的相关风险因素, 评估外包项目将如何支持企业的目标和战略计划, 如何对外包服务商进行关系管理。风险评估过程应考虑到业务处理系统的外包风险, 包括:对系统的安全性和有效性, 系统和资源的完整性, 管理规则的一致性等方面所遇到的威胁。企业还应该注意到其系统结构, 设计及控制方面的功能所面临的风险。

2. 选择资信和服务能力好的外包服务商。

对承包商进行评估以决定服务商的财务和运作方面的能力, 对其服务能力进行鉴别。

3. 外包合同的制订要严密。

信息技术外包的合同是外包策略中最关键的一个环节, 企业在制订外包合同的时候, 应该注意以下几个要素:界定外包服务范围的时候要有一定的灵活性;明确信息技术外包服务要求的安全性和保密性;明确争端的解决方法;确立企业的跟踪检查权力;明确企业对后期成本变动的限制权及转包服务提供商时的批准权。

4. 对外包服务商进行跟踪监督。

在企业和信息技术外包提供商的合同执行期间, 企业应该对承包商进行持续的监督, 从而进一步降低风险。

5. 寻求外包的新形式。

为了减少和控制风险, 除了考虑以上因素外, 还应探索信息技术外包的新形式。外包的下一浪潮 (或趋势) 是能增加联盟有效性的独特法人结构在业务过程再造和增加股东价值方面的使用, 这些法人结构包括偶发事件定价 (Contingency Pricing) 、资源合作 (Co-Sourcing) 、交叉拥有关系 (Cross Ownership) 和联合投资 (Joint Ventures) 等。

参考文献

[1]霍国庆:企业信息技术资源外包及其风险分析[J].中国软科学, 2001年第3期

[2]MichaelF.Corbett.Global Outsourcing Market2002[R].www.CorbettAssociates.com

[3]林则夫陈德泉温珂:试论信息技术外包中的风险管理策略[J].科学学与科学技术管理, 2004年第25卷第2期

银行信息技术外包风险管理策略探析 第2篇

通过各优秀的风险计量模型与测量系统高效计量、控制、监测、识别来推进全面的风险管理，并且科学、合理的处理加快、发展全面的风险管理关系，把需要发展的道路变更成以内涵为主的方式，在规范中发展，做好速度、质量、结构、效益的统筹，实现这四者长时间的统一协调发展。经营管理一定要把风险管理作为重点中的重点来执行，将优秀的企业文化与风险管理文化有机结合，将经营管理作为企业文化的最佳契入点。

3.2 确立系统的IT外包组织架构

（1）尽快确立首席信息官（CIO）和首席风险官（CRO）一起承担IT外包风险的运营管理模式。银行经营管理特点就是以风险代价为基础的经营和管理，基于IT外包的专业特性，首席信息官（CIO）和首席风险官（CRO）必须一起承担IT外包风险的一体化管理。（2）对于IT外包风险管理的各部门而言，各部门不可缺少的要分别设置一位IT外包风险经理。所以的风险经理统一向首席信息官汇报情况，因为这样可以最大限度的提高风险管理的效率。

3.3 建立全面的应急处理预案

（1）建立IT外包业务和全面的应急演练方案；银行对外的社会形象、银行综合竞争等与银行的IT是紧密相连的。尤其重要的是银行应用系统的不间断运行和更重要的IT外包项目的连续安全运行。由此可见，建立IT外包业务和系统的应急演练方案对银行来说是非常有必要进行的。定期、定时、定量的进行相应演练，模拟IT外包业务和系统突发故障的真实环境，通过发现问题来调整拟定的演练方案，只有经过了一定的实操训练，在真实突发的情况下才能让紧急预案的方案发挥有效作用。

（2）准备方案：建立TT外包后人员；银行IT业务的重点不单在有良好的运行管理制度和系统的应急预案，最重要的是在于技术人员AB角保障。原因在于现在虽然伴随着科技的快速发展，但仍无法找到了一个完全全能型的技术人员，所以，IT外包风险管理的重要环节还机体在某他子项目负责人以及备用人员的预备方面，这样在系统出现问题的时候，尤其是第一负责人无法确保在现场的情况下，可由第二负责人来进行现场的处理工作，并且确保第一负责人可以给予远程的技术指导，否则，所有的控制与计划都会成为海市蜃楼。

4 结语

综上所述，在我国，市场经济的发达程度不如西方国家，IT外包发展比较迟，银行IT应用水平并不高，IT外包市场仍然没有发展成熟，因此这方面遇到的问题和困难还很多。所以，正确的系统分析和考察有关的复杂因素可以使 IT外包决策正确，并高效防范并进一步消除各类风险，服务于银行的战略目标，是我国学术界和银行界需要深入研究的重要课题。

参考文献

[1]江兵，夏晖，刘洪.企业信息技术外包的策略分析.管理工程学报，.

信息技术风险 第3篇

【关键词】 上市公司； 财务风险； 预警定位； 信息技术业

中图分类号：F275.5 文献标识码：A 文章编号：1004-5937（2015）20-0034-04

一、引言

信息技术业是一门新兴的、带有高科技性质的服务性产业，是国务院确定的战略性新兴产业，是知识经济时代的核心产业。信息技术业上市公司是信息技术企业中的佼佼者，却频发财务风险，尤其是近年来陷入财务困境（ST）的企业，其数量直逼制造业，列第二，远高于其他行业。同时，由于信息技术业企业具有高风险、高成长、高收益的行业特点，相对其他行业，其财务风险更加突出。如何结合我国信息技术业企业财务管理特征，设计信息技术业财务风险预警指标，构建信息技术行业财务风险预警指数，以便于全面、客观、准确地对信息技术行业上市公司面临的财务风险进行定位，一直是实务界以及理论界关注的焦点问题。

二、信息技术行业财务风险预警指数模型的指标体系设计

（一）预警指标的选取

财务风险预警指标选取原则主要包括：代表性原则，即应选取能代表信息技术业上市公司某一方面财务状况，并及时准确反映其异动和发展趋势的指标；全面性原则，即指标体系应尽可能全面反映企业所有财务活动；易获取原则，即所选指标应可以从现成的信息技术业上市公司资料中简易获得。

结合上述预警指标选取原则，本文参照国务院国资委财务监督与考核评价局《企业绩效评价标准值2014》确定盈利能力、资产质量、债务风险和经营增长4大类16个指标，具体指标类型及对应计算公式如表1所示。

（二）预警指标的处理

表1所示财务风险预警指标既存在愈大愈好型指标，即指标值越大反映出越好的财务状况，也存在愈小愈好型指标，即指标值越小反映出越好的财务状况。为便于财务风险预警指数的计算和分析，需对数据进行同向化和标准化处理。本文选择沪深两市中284家信息技术业上市公司2010—2014年的各年度数据平均值。在选择样本过程中剔除非正常类上市公司，主要是由于这些公司本身经营不正常，有的面临摘牌，不具有代表性；剔除年报缺失的数据；全部采用年报数据。运用阈值法对数据进行处理，数据来源于国泰安CSMAR数据库。

设指标为Xij，对于愈大愈好型指标，采用公式X'ij=（Xij-Xmin）/（Xmax-Xmin）；对于愈小愈好型指标，采用公式X'ij=（Xmax-Xij）/（Xmax-Xmin），经过阈值法处理后的指标均满足0≤Xij≤1之间，且均属于愈小愈好型指标，即指标越小风险越小。

（三）预警指标的筛选

在所选择的16个预警指标中，各指标所能反映出的企业财务状况的程度不同，且指标之间亦存在一定相关性。在构建财务预警模型时，越多的财务指标会带来更繁琐的程序设置，且可能降低模型的预警定位精度。因此，需要筛选出关键财务风险指标，筛选的目标在于选择能反映信息量最大的风险指标来代表所有指标进行分析，为此引入主成分分析法（PCA）①。筛选原则为：各主成分与各指标之间相关系数最大的指标。经计算，表1中16个财务风险预警指标可对应形成7个主成分，由此遴选出7个关键财务风险预警指标，反映出所有预警指标信息比例为72.33%②，指标筛选结果如表2所示。

三、信息技术行业财务风险预警指数模型构建

（一）信息技术行业财务风险预警综合指数

信息技术行业财务风险预警综合指数包括“行业盈利能力预警指数”“行业资产质量预警指数”“行业债务风险预警指数”和“行业经营增长预警指数”四大个体指数，即信息技术行业财务风险预警综合指数=ω1×行业盈利能力预警指数+ω2×行业资产质量预警指数+ω3×行业债务风险预警指数+ω4×行业经营增长预警指数。ω1、ω2、ω3、ω4表示各指数权重。信息技术行业财务风险预警指数权重由公式1计算得到。

四、基于信息技术行业财务风险预警指数模型的风险警度定位

采用“五级定位体系”进行信息技术行业财务风险的警度判定。根据上市公司财务风险从小到大，风险预警等级依次为无警、轻警、中警、重警和巨警。假设η1、η2、η3分别表示三个预警临界值，分别来自《企业绩效评价标准值2014》中信息技术业全行业中的平均值、较低值和较差值，可以计算t1=（η1+η2）/2，t2=（η2+η3）/2，由此得到的五个临界值可形成如图1所示基于财务风险预警临界值的风险警度“五级定位体系”。

依据表2以及公式1和公式3，可计算各指数权重ωi和各二级指标权重λij。同时，通过借鉴国资委关于信息技术行业企业绩效评价标准可确定信息技术行业财务风险预警指标的临界值，如表3所示。

基于信息技术行业财务风险预警指数模型可进一步计算综合指数和个体指数的预警临界值，如表4所示。

五、信息技术行业上市公司财务风险预警定位分析

以沪深两市A股信息技术业上市公司为研究对象，将特别处理（ST）作为企业陷入财务风险的标志，从中选取2010—2014年间4家被ST公司作为财务风险公司样本，其中，为了对比财务风险企业和财务健康企业各年度财务状况的不同，根据以下原则按1∶1的比例选择财务健康的信息技术业上市公司作为配对样本：期间一致原则，即所选ST公司的配对样本应为同年的公司；数据完整原则，即所选ST公司及其配对样本2010—2014年财务数据应能够完整获取；资本规模相近原则，即配对样本企业应与ST公司资本规模最接近；配对样本非ST原则，即所选配对样本应在对应年份内未被ST，以增加信息技术行业上市公司财务风险预警定位的准确性。配对结果如表5所示。

经计算，得到如表6所示信息技术业上市公司财务风险预警警度定位表，表中警度判定依据表6得到。

由表6可知，所选信息技术业上市公司样本中，财务健康企业和财务风险企业的行业盈利能力预警指数、行业资产质量预警指数均处于有巨警或者重警状态，这两大指数主要反映出企业资产利用率以及企业经营獲取收益的能力，指标偏低不仅表明企业总资产周转慢，销售能力弱，还表明企业主营业务市场竞争力不强，获利水平偏低。企业可以通过薄利多销的办法，加速资产的周转，带来利润绝对额的增加。8家上市公司中，有3家企业的行业债务风险预警指数处于有警情状态，这表明企业过度依赖负债，导致资本结构不合理面临偿债风险。信息技术业上市公司原本就需要大量资金的投入，但是很多企业还通过过度借贷来盲目扩大企业的规模，导致了更高的财务杠杆。借贷越多，企业需要越多的现金来偿还利息，这对企业的资金流动性提出了很高的要求，一旦企业无法偿还到期利息，轻者降低企业的信用度，重者面临债权人逼债等。如果上市公司严重资不抵债，债权人举证企业无法偿还到期债务，还可能迫使上市公司破产还债。此外，通过对比可知，信息技术行业财务风险预警综合指数对4家ST上市公司财务风险警度定位为3家有警情，1家无警情，对4家非ST上市公司财务风险警度定位均为无警情，这表明信息技术行业财务风险预警指数对上市公司预警定位具有一定的准确性，准确预测度可达75%。

【主要参考文献】

[1] 国务院国资委财务监督与考核评价局.企业绩效评价标准值2014[M].北京：经济科学出版社，2014.

[2] 张友棠，黄阳.基于行业环境风险识别的企业财务预警控制系统研究[J]. 会计研究，2011（3）：41-48，95.

[3] 黄晓波，高晓莹. 基于神经网络的企业财务危机预警研究——以制造业上市公司为例[J]. 会计之友，2015（5）：30-34.

[4] 王丽娟，张莉莉. 基于灰色关联的多元回归财务预警实证研究[J]. 会计之友，2013（9）：61-65.

信息技术环境下企业风险管理 第4篇

信息技术和企业之间是相互影响的, 企业的发展提高了信息技术的应用水平, 信息技术的发展也改变着企业及企业的经营方式, 信息技术已成为企业创新和发展的关键。信息技术的应用势必给企业的内部环境带来变化, 因此传统的内部控制方法的控制力正在逐渐被弱化。内部控制理论的发展经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架四个阶段。最初内部控制的定义局限于财务方面的相关操作, 即“为了保护公司现金和其他资产的安全、检查账簿记录准确性而在公司内部采用的各种手段和方法。”这个定义缺乏对管理方法方面的要求。随着对内部控制研究的不断加深, 内部控制理论也越来越成熟。时至今日, 已经有了被广泛认可的以内部控制结构和组成要素为内容的定义。1992年, 美国C O S O委员会提交的一份报告《内部控制整体框架》 (Internal ControlIntegrated Framework) 是内部控制研究的里程碑, 首次提出了内部控制的五个组成要素, 并且强调, 内部控制是一个过程, 是受执行者影响的过程, 并非只是制度与表格, 而是来自于组织内每一个阶层的人, 应将内部控制按类别划分, 然后相互配合达到多层次的管理目标。这五个要素分别是控制环境 (control environment) 、风险评估 (risk appraisal) 、控制活动 (contro activity) 、信息和沟通 (information and communication) 及监控 (monitoring) 。该报告的另外一个重大贡献就是首次将风险评估引入到内部控制的组成部分, 使得内部控制理论得以完善。本文研究过程中所引用的《企业风险管理总体框架》 (Enterprise Risk Management, 简称E R M) , 正是在此基础上进行的拓展。它将构成要素更加合理地划分为八个要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。内部控制有了这个最新的理论基础后, 能够指导企业在进行风险管理、内部控制时所遵循应遵循的方向, 为风险管理提供合理保障。随着信息技术的飞速发展, 旨在加强信息技术相关质量控制的各项制度标准也应运而生, 具有代表性的是1996年美国信息系统审计与控制协会 (ISACA) 公布的COBIT (Control Objectives fo Information and Related Technology) 模型, 即“信息及相关技术控制目标”, 是一个信息技术管理模型。它提供了I T管理、安全和控制方面的清晰策略, 是国际上公认的最先进、最权威的安全与信息技术管理和控制标准。有了这样一个科学的模型, 企业在进行信息化建设的过程中才能保证其信息系统的安全与稳定, 才能为企业内部控制提供一个基础, 在此基础上再对企业进行的风险管理才是有意义的。随着信息技术应用水平的提高, 信息孤岛已经不再存在, 分散应用已经向整合应用转变, 数据也由分散管理向集中管理转变, 这对企业的内部控制环境产生了很大的影响。企业在进行风险管理时显然应该关注并分析环境变化所带来的影响, 充分发挥新环境所带来的优势, 为其风险管理提供更加有力的保障。

本文笔者通过理论分析和实践研究发现了在信息环境下的企业风险管理还存在一些不足之处或者容易被忽视的方面, 下面给出以下几点建议。

一、充分利用信息技术资源, 发挥其关键作用以加强企业风险管理

1. 企业应当充分利用信息技术的数据资源, 为企业决策提供支持

随着信息技术的应用, 客户信息、文档资料、商业信息等前所未有地积累于企业内部, 空间上消除了文件储存的用地限制, 使用上通过运用搜索引擎可以迅速得到符合相关条件的信息检索, 既节约了时间也满足了信息量的需求。信息化时代, 企业的商业秘密与数据密不可分, 因为通过一定的攫取与分析, 能够对企业的经营方式方法了如指掌。但同样, 数据也蕴含着无限的商机, 通过数据仓库的建立, 将长期积累保存的数据转化为可供分析、使用的数据, 并通过加以分析得出结论。与机会并存的是风险, 在挖掘商机的同时, 也可以将数据仓库用于企业风险管理。有了如此丰富、运用灵活的数据, 可以帮助企业在短时间内迅速发现风险事项, 并根据模型进行分析、识别、认定、评估, 根据分析结果做出反应, 并继续跟踪事项的发展以监督该风险是否被控制到容忍度内。

2. 企业应当抓住信息系统建设的良机, 更多地将企业风险管理要素融入其中

企业的信息化建设是一个长期的过程, 从规划、组织、实施到交付、使用都要符合各自阶段的要求。企业应当充分利用信息系统建设的这个契机, 将先进的内部控制理念融入到企业的信息化建设进程的每一个环节中去。在信息系统建设阶段, 就严格按照企业风险管理的要求去做, 使得信息系统结构更加严密, 流程更加顺畅, 控制效果事半功倍。

3. 企业应当及时更新信息技术, 为企业风险管理提供保障

随着世界的扁平化, 空间被逐渐淡化, 减少了空间上的阻碍, 技术的更新换代更为频繁与迅速。信息技术也是如此, 无论是硬件的研发与更新, 还是软件的升级与换代, 生命期都在明显缩短。如此迅速的技术更新, 虽然给企业带来一定压力, 但更多的是带给企业前进的动力。

4. 企业应不断维护信息系统相关设施, 为企业建立安全的内部环境

既然企业的发展离不开信息技术的支持与信息系统的应用, 那么就应该不断的给予支持和保护信息系统的相关资源的维护、升级, 保证其能够稳定运行, 创建安全的内部环境, 为内部控制提供最根本的保障。

二、充分利用第三方咨询机构的优势帮助企业构建有效的信息化环境

企业作为一个盈利单位, 其主要目标是在一定的行业中靠自身的优势取得利益, 使企业得以持续经营。既然企业是一个行业知识相对单一的单位, 那么在进行信息化建设的过程中难免会有些力不从心, 无法对专业的信息技术给予得心应手的控制。随着社会分工的细化, 信息技术供应商和第三方咨询机构已经逐渐发展壮大, 加之WTO的推动, 很多国际大型信息技术供应商和咨询机构纷纷在华开展业务, 这些经济环境的变化, 为企业寻求一个外援提供了可能。专业的信息技术提供商, 由于市场分工的不同其专属领域也各有不同, 它执着于信息技术的发展与应用水平的提高, 关注如何为客户提供更加优秀的信息技术解决方案。而作为第三方咨询机构具有良好的跨行业知识结构, 很熟悉企业所在行业的业务特点, 能够恰当的分析业务, 给信息技术供应商提出正确的业务需求, 使得信息技术供应商可以量身定制信息系统, 提供差别化服务, 使企业充分享受信息技术的应用为企业带来的效益。现在很多企业都已经将信息技术的应用工作交给了信息技术供应商, 但是请第三方咨询机构作为沟通桥梁的却很少, 这也是许多企业信息化建设失败的原因之一。因此, 企业应当在恰当的时机内聘请第三方咨询机构来帮助企业共同构建一个符合企业风险管理要求的信息系统。

三、赋予企业信息技术部门真正的职能, 切实发挥管理作用

目前很多企业的组织结构已经很完善, 均符合公司法对企业组织结构的要求, 也成立了信息技术部门来负责企业的信息化建设。但由于传统观念的影响, 很多企业认为信息技术部门只是一个职能部门, 而且还是一个只会花钱的职能部门。信息化成本年年走高, 令企业的管理层对之成见更深。之所以有以上的这些观点, 是因为他们没有很好的理解信息化建设的意义, 认为只是简单的将业务处理电脑化了一下, 将账务处理电算化了一下, 仅此而已, 唯独没有看到信息化建设带来的更大的利益。其实在管理层的日常工作中总是处处在享受着信息化带来的好处, 比如, 可以进行电子签名来审批公司内部事务而不是一定要把身子锁定在办公桌前, 只要有网络的地方就可以完成这样的公事, 使得管理者能够不受空间的限制投身到更需要他们的环境中去。企业的管理层可以及时地通过信息系统获取他们所需要的信息、资料, 做出快速、准确的决策;企业的执行者可以通过信息系统及时地发现风险偏离、风险回归等事项, 实时查看业务数据, 在任何需要的时候实施监控, 以求得企业健康、平稳得发展。因此, 信息技术部门所从事的工作需要得到企业管理层的大力支持, 它不仅仅是一个执行者, 更是一个很好的参与者、管理者, 它需要真正地被赋予职能, 发挥其管理作用。

四、及时更新相关理论知识, 不断寻找融合点

事物都是处于变化中的, 不变是相对的, 变化才是永恒的, 有些理论的应用可能现在是符合实际情况的, 但很快随着不断变化的外界条件也会脱离实际。这就需要企业不断的发现、更新内部控制的理论知识, 不断的寻求信息技术与内部控制的融合点, 找到适合现代化企业发展的信息系统结构。

信息安全风险与信息安全体系论文 第5篇

信息安全风险与信息安全体系论文【1】

摘要：信息概念是由信息论的创立者申农提出的，他把信息定义为在信宿中用来消除对于在信源中发出的消息的不确定性的东西。

它包含的两个特质也揭示了成熟的信息的存在与能动主体的目的性行为是不可分的，本文就信息安全进行讨论主要包括信息安全风险与体系结构、漏洞扫描技术与信息安全管理等。

关键词：信息;安全

信息是客观世界中物质和能量存在和变动的有序形式，和组织系统对这个形式的能动的反映及改组。

其中前一个表语表述了信息概念的广义内涵，后一个表语表述了信息概念的狭义内涵。

一、信息的概述

信息是物质的普遍性，是物质运动的状态与方式。

信息的一般属性主要包括普遍性、客观性、无限性、动态性、异步性、共享性 、可传递性等。

信息的功能是信息属性的体现 ，主要可以分为两个层次：基本功能和社会功能。

信息的功能主要体现在以下几个方面：信息是一切生物进化的导向资源，是知识的来源，是决策的依据，是控制的灵魂，是思维的材料。

二、信息安全的重要性

在当今的信息时代，必须保护对其发展壮大至关重要的信息资产，因此，保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者的最优先的需求之一。

安全漏洞会大大降低公司的市场价值，甚至威胁企业的生存。

当今世界已进入信息社会，随着计算机、通信技术的迅猛发展，计算机信息系统的广泛应用，促使它渗透到社会各个行业和部门，人们对它的依赖性越来越大。

在军事、经济、科学技术、文化教育商业等行业中，重要的信息资源是通过计算机网络进行输入、处理、存储、传递、输出， 给人们提供迅速、高效的各种信息服务，因此如果不重视计算机信息系统的保护，国家的机要信息资源如不加保护，势必容易被非法窃取、更改、毁坏，将会造成国民经济的巨大损失，国家安全的严重危害。

三、信息安全体系结构

(1)息安全的保护机制

信息安全保护存在的主要问题与政策： 正确的信息安全政策和策略是搞好国家信息安全保护工作的关键， 引发信息安全问题的因素有有外部因素和内部两方面，主要的因素在于内部如信息安全政策不确定;信息安全保护工作组织管理制度不健全，安全责任制不落实，导致管理混乱、安全管理与技术规范不统一;信息安全市场和服务混乱、不规范;国家监管机制不健全，监管手段缺乏等。

信息安全等级保护要贯彻国家保护重点和基础信息网络与重要信息系统内分区重点兼顾一般的原则。

(2)信息安全体系框架

依据信息安全的多重保护机制，信息安全系统的总要求是物理安全、网络安全、信息内容安全、应用系统安全的总和，安全的最终目标是确保信息的机密性、完整性、可用性、可空性和抗抵赖性，以及信息系统主体对信息资源的控制。

完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。

为了适应信息技术的迅速发展以及信息安全的突出需求，国际上许多标准化组织和机构很早就开始了信息安全标准的研究和制定工作，如美国的国防部DOD(Department Of Defense)，国际标准化组织ISO，英国标准化协会BSI(British Standards Institute)等。

四、漏洞扫描技术与信息安全管理

(1)漏洞扫描技术

一般认为，漏洞是指硬件、软件或策略上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。

随着Internet的不断发展，信息技术已经对经济发展、社会进步产生了巨大的推动力。

不管是存储在工作站、服务器中还是流通于Internet上的信息，都已转变成为一个关系事业成败的策略点，因此，保证信息资源的安全就显得格外重要。

目前，国内网络安全产品主要是以硬件为主，防火墙、入侵检测系统、VPN应用较为广泛。

漏洞扫描系统也是网络安全产品中不可缺少的一部分，有效的安全扫描是增强计算机系统安全性的重要措施之一，它能够预先评估和分析系统中存在的各种安全隐患。

换言之，漏洞扫描就是对系统中重要的数据、文件等进行检查，发现其中可被黑客所利用的漏洞。

随着黑客入侵手段的日益复杂和通用系统不断发现的安全缺陷，预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。

漏洞扫描的结果实际上就是系统安全性能的一个评估报告，因此成为网络安全解决方案中的一个重要组成部分。

(2)信息安全管理

随着社会信息化的深入和竞争的日益激烈，信息安全问题备受关注。

制定信息安全管理策略及制度才能有效的保证信息的安全性。

制定信息安全管理策略及制度

目前关于信息安全的理论研究，一个是信息安全问题不仅仅是保密问题，信息安全是指信息的保密性、完整性和可用性的保持，其最终目标是降低组织的业务风险，保持可持续发展;另一个观点是，信息安全问题不单纯是技术问题，它是涉及很多方面如历史，文化，道德，法律，管理，技术等方面的综合性问题，单纯从技术角度考虑是不可能得到很好解决的。

这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织，其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。

作为这样一个组织实体应该有一个完整的信息安全策略。

信息安全策略也叫信息安全方针，是组织对信息和信息处理设施进行管理，保护和分配的原则，以及使信息系统免遭入侵和破坏而必须采取的措施，它告诉组织成员在日常的工作中哪里是安全区，哪里是敏感区，就像交通规则之于车辆和行人，信息安全策略是有关信息安全的行为规范。

制定信息安全管理制度应遵循如下统一的安全管理原则：

(1)规范化原则。

各阶段都应遵循安全规范要求，根据组织安全信息需求，制定安全策略。

(2)系统化原则。

根据安全工程的要求，对系统个阶段，包括以后的升级、换代和功能扩展进行全面统一地考虑。

(3)综合保障原则。

人员、资金、技术等多方面 综合保障。

(4)以人为本原则。

技术是关键，管理是核心，要不断提高管理人员的技术素养和道德水平。

(5)首长负责原则。

(6)预防原则。

安全管理以预防为主，并要有一定的超前意识。

(7)风险评估原则。

根据实践对系统定期进行风险评估以改进系统的安全状况。

(8)动态原则。

根据环境的改变和技术的进步，提高系统的保护能力。

(9)成本效益原则。

根据资源价值和风险评估结果，采用适度的保护措施。

(10)均衡防护原则。

信息安全系统工程

安全系统工程运用系统论的观点和方法 ，结合工程学原理及有关专业知识来研究生产安全管理和工程的新学科，是系统工程学的一个分支。

其研究内容主要有危险的识别、分析与事故预测;消除、控制导致事故的危险;分析构成安全系统各单元间的关系和相互影响，协调各单元之间的关系，取得系统安全的最佳设计等。

目的是使生产条件安全化，使事故减少到可接受的水平。

安全系统工程不仅从生产现场的管理方法来预防事故，而且是从机器设备的设计、制造和研究操作方法阶段就采取预防措施，并着眼于人机系统运行的稳定性，保障系统的安全。

信息安全风险评估与安全预算【2】

随着我国信息化建设进程不断加速，各类企事业都在积极运用网络带来的便利，对各种信息系统的依赖性也在不断增强，但是信息系统的脆弱性也日益暴露，如何通过有效的手段，保证有限的安全预算发挥出最大的效果，以保证信息安全，成为大家共同面临的问题。

信息安全风险评估综合分析 第6篇

关键词：信息安全；风险评估；脆弱性；威胁

1.引言

随着信息技术的飞速发展，关系国计民生的关键信息资源的规模越来越大，信息系统的复杂程度越来越高，保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而最大限度地保障网络与信息安全。

2、网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全，而从广义的角度考虑，还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。

网络信息安全具有如下6个特征：(1)保密性。即信息不泄露给非授权的个人或实体。(2)完整性。即信息未经授权不能被修改、破坏。(3)可用性。即能保证合法的用户正常访问相关的信息。(4)可控性。即信息的内容及传播过程能够被有效地合法控制。

(5)可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛，根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。

而通过有效的网络信息安全风险因素分析，就能够为此复杂问题的解决找到一个考虑问题的立足点，能够将复杂的问题量化，同时，也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。

网络信息安全的风险因素主要有以下6大类：(1)自然界因素，如地震、火灾、风灾、水灾、雷电等；(2)社会因素，主要是人类社会的各种活动，如暴力、战争、盗窃等；(3)网络硬件的因素，如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响；(4)软件的因素，包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等；(5)人为的因素，主要包括网络信息使用者和参与者的各种行为带来的影响因素，如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等；(6)其他因素，包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

3、安全风险评估方法

3.1定制个性化的评估方法

虽然已经有许多标准评估方法和流程，但在实践过程中，不应只是这些方法的套用和拷贝，而是以他们作为参考，根据企业的特点及安全风险评估的能力，进行“基因”重组，定制个性化的评估方法，使得评估服务具有可裁剪性和灵活性。评估種类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。

3.2安全整体框架的设计

风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依据。作为评估直接输出，用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得整体框架应用较少。但是，企业至少应该完成近期1～2年内框架，这样才能做到有律可依。

3.3多用户决策评估

不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通评估。将评估过程作为多用户“决策”过程，对于了解风险、理解风险、管理风险、落实行动，具有极大的意义。事实证明，多用户参与的效果非常明显。多用户“决策”评估，也需要一个具体的流程和方法。

3.4敏感性分析

由于企业的系统越发复杂且互相关联，使得风险越来越隐蔽。要提高评估效果，必须进行深入关联分析，比如对一个老漏洞，不是简单地分析它的影响和解决措施，而是要推断出可能相关的其他技术和管理漏洞，找出病“根”，开出有效的“处方”。这需要强大的评估经验知识库支撑，同时要求评估者具有敏锐的分析能力。

3.5评估结果管理

安全风险评估的输出，不应是文档的堆砌，而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统，但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统，使用它来指导评估过程，管理评估结果，以便在管理层面提高评估效果。

4、风险评估的过程

4.1前期准备阶段

主要任务是明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。

4.2中期现场阶段

编写测评方案，准备现场测试表、管理问卷，展开现场阶段的测试和调查研究阶段。

4.3后期评估阶段

撰写系统测试报告。进行补充调查研究，评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。

5.风险评估的错误理解

(1)

不能把最终的系统风险评估报告认为是结果唯一。

(2)不能认为风险评估可以发现所有的安全问题。

(3)

不能认为风险评估可以一劳永逸的解决安全问题。

(4)不能认为风险评估就是漏洞扫描。

(5)不能认为风险评估就是IT部门的工作，与其它部门无关。

(6)

不能认为风险评估是对所有信息资产都进行评估。

6、结语

网络技术与企业信息风险控制 第7篇

1.1一般控制。对信息系统环境以及数据输入的控制是一般控制。包括:1.1.1操作系统的控制。由于操作系统的开放性, 它时刻面临着来自个方面的潜在危险, 包括系统内人员的滥用职权、越权操作和系统外人员的非法访问甚至破坏。要提高系统的安全系数, 除了选用安全等级较高的操作系统, 并经常进行版本升级外, 在管理上应该采取严格地控制措施:a.建立计算机资源使用制度, 明确每个用户的安全级别和身份, 并分别定义具体的访问的对象;b.建立日志审计制度, 对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系敏感资源进行实时监视和记录;c.对系统资源进行分类管理, 根据用户级别限制系统资源的共享和流动;d.特权牵制。即由若干个系统管理员和操作员共同管理系统, 使其具有完成其任务的最少特权, 并相互制约, 提高系统的安全可靠性。1.1.2数据资源控制。对数据库系统安全的威胁主要来自两个方面:一是系统内外人员对数据库的非法访问;二是由于系统故障、误操作或人为破坏造成的物理损坏。针对上述危险, 可采取以下措施:a.合理定义应用模式。在网络环境下, 为了限制合法用户或非法访问者轻易获取全部数据资源, 应根据不同的应用项目分别定义面向用户操作的数据界面, 做到需要什么数据, 就开放什么数据;b.建立数据资源授权表制度, 明确每一用户对数据资源访问的范围和内容, 并分别规定对数据的查阅、修改、删除、插入等操作权限;c.建立数据备份和恢复制度。即实时对数据进行备份, 建立业务日志文件和检查点文件。1.2应用控制。1.2.1计算机操作及其应用的控制。应用控制是指具体的应用系统中用来预防、检测和更正错误, 以及处置不法行为的内部控制措施。大部分应用控制措施在系统开发时可直接嵌入软件功能中。这些控制措施可分为三大类:a.输入控制。目标是确保网络环境下数据采集的合法性、准确性和完整性;b.处理控制。目标是确保数据处理的正确可靠性, 包括处理正确性控制、数据一致性控制、欲留审计线索控制等;c.输出控制。目标是确保信息系统输出或输入中没有被遗失、错发、截留、秘密没有被泄露等, 包括打印控制、分发控制、最终用户控制等。1.2.2计算机中心控制。计算机工作中心控制主要针对系统的物理环境及设备可靠性的控制, 目标是确保系统设备能及时地、连续地运转。主要包括三个方面:a.计算机工作中心安全控制。包括中心机房结构设置控制、出入机房控制以及电源、防火、防磁、温度、湿度控制等;b.服务器系统控制。服务器系统实际上是一种针对网络环境下的多机工作制度, 平时各计算机运行各自的应用项目, 并保持系统和数据的相互联系, 当一台计算机发生故障时, 服务器系统中的另一台计算机会立即承担故障计算机的工作和数据的备份, 保证了数据的连续性。1.2.3组织控制。基于网络条件下的信息系统是一种分布式处理结构, 计算机服务功能 (工作站) 分布于企业内各业务应用部门。因此, 计算机工作中心对各部门的控制由原来的集中处理模式下的行政控制转变为间接业务控制。其主要的内容包括:a.工作站点设置控制。合理设置工作站点, 并通过操作系统、数据库管理系统实现对各工作站的职责分工控制;b.内审制度。设立内审组, 监督和控制各工作站的日常运行;c.风险管理制度, 设立风险评估小组, 定期对系统进行风险评估、弱点分析, 以不断完善会计控制系统;d.人事管理控制。实行业务考核制度, 对特殊企业 (如金融企业等) 的重要岗位可实行轮岗制度等。1.2.4终端控制。终端可以是单机点, 也可以是分服务器站点, 它是整个网络系统在应用项目 (如库存管理、成本控制等) 下的一个用户界面;终端既是系统日常应用处理 (包括数据采集、处理和输出) 的端点, 也是潜在危险系统安全的一个入口, 因此对终端的控制显得特别的重要。终端控制包括:a.终端内部控制。包括终端物理环境控制、操作权限控制、系统存取控制、操作规程控制和故障处理控制等等;b.终端对整个系统访问的控制。根据最小特权原则, 要严格控制工作站超越权限的操作行为, 这主要可通过计算机工作中心的职责分工、授权控制与日常监控来实现。

2 网络条件下风险的外部控制。

2.1安全区域控制。安全区域控制是通过对安全区域的边界实施控制来达到保护区域内部系统的安全性目的, 它是一切防外措施的基础。安全区域控制的主要内容包括:2.1.1设置外部访问区域。访问区域是系统内接待外界 (关联方、社会公众) 网上数据访问、与外界进行数据交换的逻辑区域。在建立局域网时, 要对网络的服务功能和拓扑结构的布局进行详细分析, 通过专用软件、硬件、管理措施, 实现内部信息管理应用系统与外部访问区域之间的严密的数据隔离、访问权限。2.1.2建立防火墙。防火墙是指建立在保护网络周围的分隔被保护网络与外部网络的一种技术系统。根据网络系统区域划分的不同, 可设置多级防火墙系统。一般分为两类:一类是外层防火墙, 用来限制外界对主机操作系统的访问;第二类是应用级防火墙, 用来逻辑隔离内部信息系统与外部访问区域之间的联系, 限制外界穿过访问区域对网络应用系统服务器, 尤其是对会计数据系统的非法访问。2.1.3建立周边监控系统。通过系统日志和网络数据包的实时监控, 实时检测来自外部的入侵行为和内部用户的未授权活动, 同时为追究入侵者法律责任提供线索和证据。2.2大众访问控制。网上大众访问包括电子邮件转递、网上信息查询等内容。由于网络系统是一个开放的系统, 对社会大众的网上行为实际上是不可控制的;另外由于网络技术的飞速发展, 网络问题也日益突出, 如许多恶意的、非法的人通过他们掌握的网络技术进行网络破坏。因此, 除了加强社会法律威慑作用外, 企业也应该在自身主要的系统外部区域内采取防护控制措施。包括:2.2.1邮件系统控制。一般将邮件系统限定在外部访问区域的服务器和终端上比较安全。2.2.2网上信息查询控制。社会大众可在网上查询企业的产品信息、财务报告等内容, 这类业务一般也应限制在系统的外部访问区域内。系统要对提供信息的时间、内容做严格规定, 并通过安全通道及时更新访问区域上的信息资料。2.3电子商务控制。由于电子商务的双方都是在网络的环境下进行交易的, 因此会产生很多问题, 为了避免发行量减少的问题, 可采用下列措施对电子商务进行管理与控制。2.3.1建立与关联方的电子商务联系模式, 一般可分为两类:一类是数据浏览型模式, 企业通过互联网向外部企业提供数据和条件检查功能, 外部企业不能更改数据;第二类是事物处理型模式, 交易双方可在网上直接进行电子凭证的交换, 并更新双方的事物处理文件, 为保证交易信息的安全可靠性, 防止被窃取、被仿冒、被篡改, 交易双方可对传输信息进行加密处理, 对稳定、密切的合作伙伴还可进一步建立虚拟专用网, 实现双方 (或多方) 之间具有相互操作性的数据联系。2.3.2建立网上交易活动的授权、确认制度;交易日志用来自动记录电子商务每个步骤的交易时间和内容, 对企业内外部来说都是重要的审计线索, 企业需要同时也有义务保证它的完整性、可靠性。2.4远程处理控制。2.4.1分支系统安全模式设计。分支系统是企业在异地具有独立局域网结构的信息系统, 由于母系统的监控和访问直接深入分支系统内部, 而不是在通常的外部访问区域, 因此, 需要特别考虑由于远程处理给双方增加的风险问题。除了通信技术应采取互联网上的虚拟专用网外, 在保证实时监控有效的前提下, 分支系统可采取单独设置母系统访问区域的做法, 以提高其信息系统的安全可靠性。2.4.2远程处理规程控制。由于远程实时处理双方一般不是通过系统的外部访问区域连接的, 任何一方的安全问题很可能给另一方带来危害, 因此, 双方要制定严格的远程处理控制操作规程, 包括操作权限控制、内容授权控制、处理程序控制、通道及两端服务器安全控制等等。对于需在线实时处理的内容, 应在严格的操作规程下进行, 确保处理结果的有效性和可验证性。

3 结束语。

完善的网络信息风险控制系统是经济发展和信息安全的重要保证。要想达到对网络信息风险更合理的控制, 应不断加强网络信息产品、网络安全等方面的立法工作。建立基于互联网信息系统的远程查账、远程报表、远程审计的集团模式企业, 为远程财务监控创造条件。所以说网络信息技术的发展对企业的管理控制系统、会计信息系统、质量安全控制系统的发展带来了更为广阔的空间。

摘要：随着信息技术与网络的飞速发展, 为社会带来一场深刻的变化, 网络化、数据化、知识化成为时代的旋律。以计算机、通信技术为基础发展起来国际互联网络深入到社会的各个领域, 使信息处理和传递方式发生了深刻的变化, 在企业管理和会计信息处理等方面, 网络将领导发展的新潮流, 因此对网络环境下企业信息风险的控制也将越来越必要, 技术难度和要求也将越来越高。

关键词：网络,信息,控制

参考文献

[1]计算机网络[M].北京:清华大学出版社.[1]计算机网络[M].北京:清华大学出版社.

信息技术环境下的审计风险 第8篇

审计风险是审计理论的重要组成部分, 随着现代信息技术的发展及我国十二五规划的实施, 审计环境必将面临更大的变化, 同时也会不断涌现出新的现象。本文正是基于这种变化, 研究新的环境下审计风险控制策略。

一、信息技术环境下审计风险的成因

审计风险可以分为审计职业整体面临的生存与发展风险和单个审计项目中审计人员面临的风险。前者称为审计职业风险, 即是指审计职业界生存和发展可能带来不利影响的行为和环境的总和。单个审计项目风险是指审计人员在审计过程中采用了并没有意识到的不恰当的审计程序和审计方法, 或错误地估计和判断了审计事项, 乃至发表了与事实相悖的审计报告, 使重大错误或舞弊行为未能揭示出来, 而受到关系人指控并遭受某种损失的可能性。审计作为社会经济发展的一个子系统, 信息技术的发展为其带来了新的发展机遇, 与此同时, 审计也面临着来自信息技术本身的巨大风险, 而且它更是通过对整个社会发展的影响间接地给审计系统带来巨大风险。其风险表现为:

1、审计人员的专业素质。现代信息技术审计需要审计人员具备更全面的知识, 而如果只依赖对以前手工做账的监督经验必然会导致会计信息存在偏差, 而这当中有可能存在重大的信息遗漏, 以此更进一步加大审计风险。

2、审计人员的风险意识。传统审计主要依赖手工做账, 纸质证据更方便审计人员取得, 而在计算机环境下, 审计证据的隐蔽性强、可控性差、破坏性大等特点, 加大了审计风险。

3、电子数据被篡改、破坏和丢失的可能性。在传统手工做账的审计中, 会计人员不太容易撕毁、破坏凭证, 而在计算机系统环境下, 人为的编造程序可修改、删除原有的电子数据。而同时人为的疏忽和大意也可能破坏原有的电子数据。

4、被审计单位故意隐瞒重大审计信息。审计的发生必须依赖被审计单位的积极配合, 如果被审计单位刻意通过计算机技术隐瞒重要信息 (例如会计程序或会计人员权限的变更等) , 这势必会造成审计人员取证不足, 进一步加大了审计风险发生的概率。

5、审计内容更多、审计软件繁杂等因素。传统审计只需要对手工做账部分进行审计, 审计软件单一, 而信息环境下不仅要对传统手工做账进行审计, 更需要对计算机部分进行审计, 而同时审计软件种类繁多, 要想全面掌握可能性很小, 从而也加大了审计风险。

二、信息技术环境下审计风险的特征

在信息技术环境下, 随着审计工作效率和审计质量的提高, 以及审计信息表露的更加及时, 审计风险也变得更加复杂, 其相应的危害性也更加严重。

一般而言审计风险 (AR) 包括固有风险 (IR) 、控制风险 (CR) 和检查风险 (DR) 。三者之间相互联系、相互作用。根据中国独立审计具体准则第9号内部控制与审计风险, 审计风险模型表现为:AR=IRCRDR。在信息技术环境下, 注册会计师对审计风险的研究仍然需要借助这个风险模型, 通过固有风险、控制风险和检查风险三个基本要素来分析信息技术环境下审计风险的特点。

(一) 固有风险更为突出。

随着计算机技术的提高, 计算机病毒、黑客、操作失误等也会造成实际数据与电子账面数据不一致, 从而也增加了固有风险。因此, 管理人员的品行、素质和能力对固有风险的影响更为突出。

(二) 控制风险增大, 并更难以确定。

信息技术的广泛使用, 交易程序的简单化, 而且所有企业的财务状况都存储在某一介质中, 使得企业内部人员之间可以相互串通、舞弊, 且不留下任何一点线索, 从而控制风险加大。同时, 信息技术的普及使得企业的内部控制由过去的纯手工记录到现在的手工和计算机共同记录, 而且控制点增加, 控制风险更难以确定。

(三) 检查风险进一步扩大。

信息技术的全面发展, 信息知识不断更新, 而审计人员的专业知识更新不及时, 审计技术本身的不成熟, 以及审计人员对审计技术的过分依赖和自身技术的欠缺使得在进行审计工作时, 仅仅依赖传统的审计方法, 难以发现重大错报漏报, 检查风险加大。另一方面, 随着企业软件升级更新速度加快, 这些都增加了审计人员获取原始数据的难度, 由此带来检查风险进一步加大。

三、现代信息技术环境对审计风险的影响

(一) 现代信息技术对审计风险的有利影响。

首先, 传统的纸质记账媒介容易造成审计证据丢失, 而现代信息技术可以更好地保存原始凭证和数据, 提供更充足的审计证据, 从而降低审计风险;其次, 传统审计人员需要做大量繁琐的工作, 而有了信息技术的帮助, 审计人员可以运用专门的软件进行操作, 减少了时间和精力的消耗, 从而提高审计工作的效率;最后, 信息技术的广泛传播可以更好地进行审计工作的传递。当一个审计人员临时有事, 其他审计人员可以很方便地接替他的工作。

(二) 现代信息技术对审计风险的不利影响。

首先, 计算机信息系统在开发和研制的过程中可能存在系统漏洞, 从而造成数据丢失、存储控制失灵、系统毁损等隐患, 从而加大了审计系统的困难, 也提高了审计风险;其次, 审计范围和审计对象的改变。随着信息技术的发展, 审计人员不仅要对企业的诚信水平进行审计, 还需要对企业的软件等相关方面进行审计, 从而加大了审计的工作量, 提高了审计风险;最后, 传统审计是通过纸质介质的审查, 可以通过字迹辨认真伪, 而现在审计人员需要从企业海量的数据中找出自己有用的进行审计, 而且无从知道这些数据的记账人员等, 这无疑更进一步提高了审计风险。

四、信息技术环境下审计风险的防范与控制

(一) 国外审计风险研究现状。

面对数据共享性强、网络化程度高, 而又必须满足客户各种需求的企业管理信息系统, 国外率先开展了这方面的审计, 并且取得了一定的成果。美国的ISACA (信息系统审计与控制协会) 是审计的主要推动者, 一直致力于探究控制信息技术的开放性标准, 以辅助管理者进行信息技术管理。国外许多学者对审计风险进行了定义, 并且将审计模型发展为审计风险=重大错报风险检查风险。国内外审计实践证明, 有效的实时审计必须是持续的、全过程的审计, 这既是各国审计发展的趋势, 也是防范和化解审计风险的重要途径。

(二) 防范信息技术环境下审计风险的对策

1、保证审计数据的正确性、完整性和连贯性。

审计人员在审计时必须认真检查被审计单位所提供的数据是否真实、是否属审计时间范围内的财务数据, 是否属结账后的数据, 各个会计期间的电子数据是否连贯, 并需要对数据进行复核。同时, 审计人员也可以采用就地审计或者突击审计的方式。

2、利用先进的信息技术提高审计技术, 大力发展在线审计。

在应用系统对经济业务进行处理的同时采集审计技术, 变事后审计为事中审计, 及时取得可靠证据, 对在应用系统中存在的问题进行及时的修正。同时, 也要发展审计经验集成技术即总结过去审计过程中存在的问题及失误, 仔细研究审计过程中的不足, 更好地为以后的审计提供经验, 并且可以增加审计人员的风险意识。大力发展实施跟踪技术, 实现远程审计, 将审计人员的计算机与被审计单位进行联网, 从而收集到审计人员需要的公司资料。

3、加大和完善对审计软件的开发和升级工作, 统一会计核算软件数据接口。

严格执行《信息技术会计核算软件数据接口》标准, 对现有的财务软件提供与之相适应的转换条件。同时建议被审单位采用正规公司开发的财务软件, 减少自行软件的开发。

4、提高审计人员综合素质。

认真学习相关法律法规, 加强对审计人员职业道德和廉政教育建设, 定期举行相关的法律专业讲座, 普及相关的法律知识, 从严律己, 防止以权谋私、滥用职权等违法行为的发生。同时, 审计人员要从思想上、观念上深入理解审计风险, 从而找出更好的措施规避风险。更重要的是审计人员要提高工作质量和效率, 保证审计工作的隐蔽性、保密性, 保护自身安全, 降低审计风险。

5、进行审计人员专业训练, 提高审计人员的计算机水平。

通过培训等方式改变现有审计人员的知识结构, 建立淘汰机制, 同时也要注意引进IT方面的人才, 将自主培养与引进相配合, 逐步建立起一批专业素质较高的团队。

6、引入风险管理模式。

对企业所面临的审计风险以及潜在的审计风险进行分析、判断、评估, 并以此为出发点找出合理的、适应该企业的审计风险策略, 并制定出该企业的审计计划;事中按照事前的策略和计划对审计风险进行有效地控制;事后进行总结, 并对上述事项的质量和效果进行总结。

7、加快立法程序。

尽快出台相关的法律法规进行对计算机联网以及审计检查相结合等方面的规定, 进一步明确审计机关和审计人员的权限范围, 同时也要加大对滥用职权的打击力度。制定相关的政策保护审计人员的人身安全, 随着互联网的发展, 审计人员面对的风险更加严峻, 被打击报复的危险与日俱增, 所以审计人员更要加强自身的安全防范意识, 提高自我保护意识。

五、以审计环境为起点构建新的审计体系

在现代信息技术日益发达的情况下, 审计职业将被置于一个新的环境中, 信息技术对审计职业产生重要影响, 同时也赋予其新的内涵。审计风险产生于审计实践中, 与审计理论密切相关, 审计理论的发展不可避免地受到社会各个方面的影响。纵观国内外审计研究现状, 审计必须是一项全面持续的工作过程。这也是各国审计发展的总趋势, 同时也是防范和化解各种审计风险使之在可控范围内的重要途径。

参考文献

[1]辛旭, 刘佳.现代审计风险模型的演进及应用研究[M].2010.

[2]杨霞光.审计信息化课程建设思考[J].财会通讯, 2010.24.

信息技术风险 第9篇

1.1 涵义

我国注册会计师审计准则对审计风险的定义为:“审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。”在信息化环境下, 相关的审计风险可表述为:审计风险是指审计人员在对被审计单位进行审计时, 虽然实施了相关的审计程序, 但未能发现被审计单位电子数据与事实不符的问题, 并为此出具了不恰当意见的审计报告的可能性。

1.2 成因

1.2.1 信息系统自身特性或缺陷引发的重大错报风险

现代信息技术在国民经济中的普及应用, 促使被审计单位的财政收支、财务收支及其相关经济业务活动的信息处理均可通过信息系统自动完成, 信息系统成为了被审计单位的业务流、资金流与信息流的载体, 其软硬件系统的安全性和可靠性对该系统输出的电子数据的质量起着决定性的作用, 若信息系统在安全性、可靠性存在问题, 必然会输出有瑕疵的电子数据, 而电子数据作为数据式审计的数据源, 审计人员以此为基础进行的数据分析就会出现偏差, 导致误判, 引发审计风险。

1.2.2 信息系统内部控制引发的重大错报风险

信息系统能否正常运行且信息处理的质量不仅取决于软硬件平台的安全性、灵活性与开放性, 还取决于信息系统内部控制设计的健全性与执行的有效性, 其中良好的信息系统控制环境是保证其内部控制得以有效执行的前提与基础。如果被审计单位存在信息化发展战略与业务战略不协调、单位各个部门的负责人与领导大部分都不参与制定或不认同信息化战略、管理者比较因循守旧、信息系统的使用者没有接受与信息技术应用相关的教育或培训或者对软件的功能、操作的便利性不满、单位内部尚未形成崇尚应用信息技术的氛围、治理结构存在不足等影响信息系统控制环境的因素, 必然会影响信息系统内部控制的建设与执行, 进而影响信息系统的安全性与可靠性而产生重大错报风险。

1.2.3 被审计单位舞弊导致的重大错报风险

被审计单位对部分资料进行隐瞒, 刻意回避、或者更改程序, 不允许联网或采集数据等现象, 这些现象一方面增加了审计人员实施审计工作的难度, 另一方面由于被审计单位领导层指使相关人员对系统的程序、数据进行了蓄意的修改并删除相关修改痕迹, 或者隐匿部分数据, 而由于信息的不对称, 审计人员未能识别被审计单位电子数据采集前已存在的瑕疵, 从而提高了审计风险水平。

1.2.4 审计人员自身带来的风险

审计人员面对海量且结构复杂、格式繁多的数据, 对审计人员的专业技能提出了更高的要求。审计环境和审计对象的变化, 要求审计人员应能在审计实践中灵活运用“大数据”、“云计算”、“数据可视化”等新的技术手段进行多维数据分析与数据挖掘, 具备应用计算机审计的能力。但是, 大多数审计人员并非计算机出身, 缺乏相应专业胜任能力, 是难以识别被审计单位电子数据的错报的, 不可能有足够的能力防范审计风险。

2 信息技术环境下的审计风险预警机制

2.1 实现感知功能的审计预警分析法

审计预警分析主要用于识别被审数据中超出正常区间的异常值, 帮助审计人员及时发现可能存在的数据异常。审计人员把重要观测指标按照区间划分等级, 并在系统软件中进行设置, 对照分析结论, 结合有关标准, 把背离常规指标数值的事项设置为预警。如系统中的数据达到预警范围, 则系统自动给出预警信号。审计人员根据这一预警的提示, 可迅速抓住审计重点。

预警分析法可以分为外部预警分析和内部预警分析。外部预警分析主要分析行业状况、法律环境、监管环境情况等。内部预警分析主要分析控制环境、机制运转率、职员队伍稳定性等。预警分析可以使审计人员未雨绸缪、明察秋毫, 把握被审单位审计重点, 及时采取应对措施。

2.2 实现揭示功能的审计作业方法

揭示功能是风险预警的关键, 也是审计人员现场开展数据式审计的必需环节。该阶段进行的数据式审计往往针对规范的财务数据和非规范数据分别采取不同的审计技术方法。

2.2.1 对规范财务数据采用的技术方法

对于财务会计核算软件、报表软件生成的电子财务数据, 由于是运用一定的数据库开发平台, 按照规定的规则, 依据数据字典等产生的规范数据, 所以对于这种方式产生的数据均为规范数据, 可以采用数据模版、自动转换、账表分析、数据查询、统计分析等方法实施审计。

2.2.2 对非规范数据采用的技术方法

对于非财务会计核算软件、报表软件生成的电子财务数据或在会计报告中描述有关数据, 由于不是软件系统产生, 一般没有后台数据库支撑, 不能直接转换和读取, 所以要求审计人员按照规范的格式, 增加相关的基础数据表, 这些数据主要通过文本数据转换或数据挖掘实现数据的转换采集后才能做进一步审查。

2.3 实现抵御功能的数据式审计技术方法

抵御功能采用的数据式审计技术方法实际上是类防火墙式的审计技术。具体做法有:一是, 在被审计单位信息系统上增设了审计人员访问模块, 开发审计数据采集系统, 实现了自动从被审单位采集审计数据, 并导入到审计人员系统平台中;二是, 配设了相关的安全控制系统, 根据构建安全的VPN网络, 审计人员可以通过移动加密狗在审计现场远程与被审单位信息系统连接, 以获取审计数据;三是, 加大审计专网建设, 这样既提供了安全保证, 也实现了免疫抵御功能。

3 应对信息技术环境下审计风险的对策

3.1 推进联网审计模式的应用

通过努力构造集数据管理、审计分析、审计工具、审计预警、系统管理五大模块为一体的实时联网审计模式, 实现被审计数据的联网获取, 从而进行相关系统性分析, 初步建立起较为完善、自动化程度高、可扩展性好的数据式审计应用平台。

3.2 打造大数据背景下的数据式审计应用平台

如今很多被审计单位提供的数据量, 不仅包含最基层的微观数据, 而且包含反映整体的宏观数据, 组成越来越庞大复杂的海量数据, 审计工作如果不顺势而为、与时俱进地开展大数据分析, 将寸步难行。因此, 应努力完善数字化审计制度机制, 打造大数据背景下的计算机审计应用平台, 从数据的报送、归集、分类、分析、应用、保密、存储与读取等各方面进行建章立制, 既确保大数据的开发利用有序有效, 也保证大数据运用的健康安全, 确保大数据环境下的数字化审计顺利推进。

3.3 加强审计人员应用计算机审计的能力

信息化的发展对审计人员提出更高的要求, 只有加强审计人员信息化素质的培养, 才能有效的应对信息技术环境下的审计风险。具体包括:一是, 抓好计算机审计知识普及培训, 提高审计人员应对信息技术下审计风险的意识。二是, 大力组织开展计算机审计业务培训, 以提高审计人员实践能力和创新能力。三是, 以点带面, 让具有计算机专业背景的审计业务骨干起到带头示范作用, 提高整个审计工作团队的计算机审计应用能力。四是, 整合审计力量组建专业攻关组, 如审前调研组、数据攻关组、审计核查组, 探索“集中分析、发现疑点、分散核查、系统研究”的审计模式, 以提高审计的质量和效率。

总之, 信息技术的应用给审计工作带来了新的挑战。如何构建有效的审计风险预警机制以准确地感知、揭示、抵御信息技术环境下的审计风险, 成为摆在审计工作人员面前的一大难题, 因此需要进一步探索在审计实践中应用计算机审计的途径, 实现对审计风险的有效控制。

摘要：本文探讨了信息技术环境下审计风险的成因, 从风险感知、风险揭示、风险抵御3个层面探讨了审计风险预警机制及方法 , 进而提出应对审计风险的有效措施, 为推广和应用计算机审计提供有益的借鉴。

关键词：信息技术环境,审计风险,风险预警方法

参考文献

[1]胡加明, 李霁友.计算机审计的文献综述[J].中国乡镇企业会计, 2011 (11) :230-232.

[2]庄明来.计算机审计与信息系统审计之比较[J].会计之友, 2010 (5下) :82-85.

[3]石爱中, 孙俭.初释数据式审计模式[J].审计研究, 2005 (4) :3-6.

[4]刘家义.以科学发展观为指导推动审计工作全面发展[J].审计研究, 2008 (3) :3-9.

[5]李殊喆.数据式审计在医院审计工作中的实践[J].审计月刊, 2012 (9) :32-33.

[6]李春青.我国计算机审计研究的变迁:基于文献综述[J].南京审计学院学报, 2011 (1) :46-52.

信息技术风险 第10篇

1信息系统安全评估的工作流程

1.1资产识别

所谓资产, 在这里指的是对相关信息系统的主体组织来说具有价值的信息资源, 也是我们研究的信息安全评估所保护的对象。这里的资产一般可以分为数据、软件、硬件、文档、服务与人员等类别, 在进行具体的信息系统安全评估中, 相关工作人员可以对所评估的系统主体中不同的资产赋予不同的等级, 并根据相关机密性、完整性与可用性作为等级赋予的参考。在这种信息系统的安全评估中, 对系统主体的赋值过程, 也是对系统资产机密性、完整性与可用性达成程度的分析, 而通过这些分析相关工作人员会得到一个较为综合的评估结果。

1.2脆弱性识别

所谓脆弱性, 在这里指的是对相关信息系统的主体组织来说一个或多个资产弱点的总称。在进行具体的信息系统安全评估中, 相关工作人员对所评估的系统主体资产为核心, 并在具体评估中将每个资产的弱点进行分别标注, 最后运用得到的每个资产的弱点对该信息系统中的资产进行总体评估。此外, 相关工作人员也可以通过对评估的系统主体物理、网络、应用等层级进行逐级评估, 并在最后将评估得到的资产报告与相关威胁相结合。在通过脆弱性是别发对信息系统的安全评估中, 相关工作人员可以选择物理环境、服务器、网络结构、数据库、应用系统、技术管理与组织管理多方面进行评估, 通过发现其脆弱点进行具体的评估工作。

1.3威胁识别

所谓威胁, 在这里指的是对相关信息系统的主体组织来说, 在其信息系统存在脆弱性以及相关安全措施缺乏的前提下, 相关威胁作用到信息系统的某个安全资产上, 并造成了一定程度破坏的信息安全风险。威胁识别是通过评估信息系统中存在的问题, 查出这些直接威胁或间接威胁的过程, 在相关人员进行具体的威胁识别工作中, 其需要建立风险分析所需要的威胁场景进行相关威胁的识别。

1.4风险分析

在对相关相关信息系统进行资产识别、脆弱识别与威胁识别后, 相关信息系统的评估人员就应进入信息系统的风险评估阶段, 在这个阶段相关工作人员的工作是对于相关风险进行分析与计算。

2信息系统的风险评估方法

2.1基于知识的信息系统风险分析方法

在基于知识的信息系统风险分析方法的具体操作中, 主要依靠的是相关风险评估工作的工作人员自身的经验, 通过对相关信息系统资料的采集, 通过自身知识储备与相关信息系统风险评估的标准进行比较, 找出该信息系统中存在的不合适的地方, 并通过相关标准与业界常用的最佳方法选择出相应的安全措施, 起到对信息系统风险控制与消除的作用。

2.2基于技术的信息系统风险分析方法

在基于技术的信息系统风险分析方法的具体操作中, 主要依靠的是相关风险评估工作的工作人员自身的技术能力, 通过对相关信息系统基础结构与程序系统的检查, 对相应的信息系统内部安全性与脆弱的的完整估计, 并以此解决信息系统中发现的种种风险隐患。这种基于技术的信息系统风险分析方法对相关技术分析较多, 但在管理上较为薄弱, 对于相关信息系统的管理分析上较为不足。

2.3信息系统定量分析方法

在信息系统风险分析中, 所谓定量分析方法指的是通过将相关信息系统中的资产价值与风险进行等量化财物价值的一种相关风险评估方法。在信息系统的定量分析法中, 其本身具有量化的数据支持这一优点, 这就使得信息系统中的相关安全威胁对系统内资产造成的损失可以通过财物进行相关衡量, 这种直观的衡量方式能够使相关信息系统的主体机构管理层较为容易的理解与接收信息系统风险分析。不过, 信息系统定量分析方法在使用中也有着其缺点, 那就是其量化的财物损失数据大多是以参与者的主观意见为基础, 这就使得在具体方法的使用中, 量化财务数据缺乏一定程度的客观性。

3结论

随着我国信息技术的不断发展, 为了保障我国民众个人或企业组织的信息安全, 信息系统的风险评估的相关发展已成为信息技术安全发展的重要方向之一。虽然我国现阶段关于信息系统风险评估的相关技术标准尚未出台, 但我国各地的相关信息系统风险评估机构都在密切关注着相关标准出台的进展, 而其自身所进行的相关信息系统风险评估方法的研究, 也对我国信息安全保障体系的发展与建立提供了重要保障。

参考文献

[1]李鹤田, 刘云, 何德全.信息系统安全风险评估研究综述疆[J].中国安全科学学报, 2006, 01:108-113+0-1.

[2]张利, 彭建芬, 杜宇鸽, 王庆.信息安全风险评估的综合评估方法综述[J].清华大学学报 (自然科学版) , 2012, 10:1364-1369.

[3]唐作其, 陈选文, 戴海涛, 郭峰.多属性群决策理论信息安全风险评估方法研究[J].计算机工程与应用, 2011, 15:104-107+144.

互联网金融信息技术风险及对策研究 第11篇

一、互联网金融面临的信息技术风险

互联网金融是建立在互联网大数据和云计算框架上的。 互联网金融的云计算(或称金融云)是利用云计算的模型构成原理,将各金融机构的信息系统架构转移到端;或是利用互联网实现数据中心互联互通,形成高效的数据共享机制;或利用云计算服务提供商的云网络,将金融产品、新闻、服务发布到云网络中,提升企业整体工作效率,优化业务流程,降低运营成本,为客户提供更便捷的金融服务。但支撑互联网金融的大数据、云计算等新技术发展还不成熟,云计算又是一个开放的网络环境,安全机制尚不完善;同时,第三方支付、P2P等互联网金融新业态还处于起步阶段,安全管理水平较低。因此,互联网在带来金融创新的同时,也带来了新的风险。

1.数据安全问题。主要体现在三个方面,一是后台数据库安全问题。大数据由于拥有庞大的数据库,一旦数据遭到窃取、泄露、非法篡改,将对个人隐私、客户权益、人身安全构成威胁,犯罪分子可以通过对大数据的收集分析,有机会获得更精准有用的信息,因此,后台数据库安全要解决核心数据资源面临的“越权使用、权限滥用、权限盗用”等安全威胁;二是数据传输安全,数据在传输过程中数据传输安全;三是数据容灾备份,大数据对数据的容灾机制要求比较高。

2.网络安全风险。与传统商业银行有着独立性很强的通信网络不同,互联网金融企业处于开放式的网络通信系统中, TCP/IP协议自身的安全性面临较大非议。另外,互联网金融交易平台需要在三个层面保障安全,安全环境检测、安全控件的加载以及用户账户口令认证,但当前的密钥管理与加密技术并不完善,这就导致互联网金融体系很容易遭受计算机病毒以及网络黑客的攻击。一旦遭遇黑客攻击,互联网金融的正常运作会受到影响,危及消费者的资金安全和个人信息安全。

3.安全应急技术薄弱。在信息技术发展迅猛的当下,互联网金融企业自身所具备的安全故障恢复机制以及所需的安全保障技术储备仍具有一定的局限性和薄弱性。面对Web应用漏洞以及已经造成的危害,企业自身的技术团队力量及资源不足以提供所需的安全响应支撑,使得在出现突发安全事故的情况下,企业不能及时作出安全应急响应,迅速进行运营恢复,深入解决安全问题,从而最大程度的降低整体安全风险及提高信息系统的安全等级。

二、互联网金融信息安全风险防控措施

针对上述风险,保障互联网金融信息安全应当从以下几个方面入手。

1. 严格遵照金融行业信息系统信息安全等级保护要求加强信息系统安全防护。加强信息安全等级保护工作的组织领导,认真梳理信息系统,科学合理定级,备案。按照不同等级采取相应的安全防护措施,并制定合理的安全策略。适时进行相关信息系统威胁分析和相互依赖分析,积极开展信息系统等级保护测评工作。通过制定配套的管理规范、技术标准、技术手段,以此来加强信息安全管理水平。

2.加强数据安全管理。可以通过数字证书等安全认证机制和传输加密机制来保障数据传输安全。如采用SSL加密技术对数据进行加密。SSL采用RC4、MD5以及RSA等加密算法, 运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,加密和解密需要发送方和接受方通过交换密钥来实现, 因此,所传送的数据不容易被网络黑客截获和解密,最大限度地保证了客户信息的安全和资金流向的安全。而在数据备份方面,可以采用服务器集群及异地热备技术,保障平台的高性能和高可用性。异地热备技术是指硬盘放在磁盘阵列柜里面, 两台服务器与磁盘阵列柜连接,共用里面的资料,当一台服务器出现问题时会自动切换到另一台服务器,既确保了数据备份安全,又保障了使用效率。

3.加强网络安全防护。在系统安全和数据通讯层面采取措施,通过网络安全协议、电子签名等,如建立反钓鱼机制,解决电子支付安全问题,大力推广可靠电子签名应用。将电子签名向供应链融资、网络微贷、P2P、众筹等其他业务形态中推广; 积极选用国产厂商自主可控的网络信息系统;部署网络安全防护产品,如部署防火墙保障网络边界访问安全,部署防病毒系统实时进行病毒检测与防护;部署漏洞扫描系统,主动进行威胁、脆弱性分析与安全检测;部署入侵检测系统,拦截黑客攻击,加强防入侵能力,加固边界安全等。

4.增强信息安全风险防范意识,提升风险事件应急处置能力。始终将信息安全工作放在首位,进一步完善风险管理控制体系,定期对系统进行风险评估,加强防御手段。制定和不断完善应急预案,提高金融网络系统应对突发事件的能力,有效、快速、合理地应对突发事件,最大程度地减少信息安全事件造成的损失和影响,保障金融业务的连续运行。

摘要：随着大数据及云计算等新技术的发展,互联网金融业务面临前所未有的挑战,除了具有传统金融业经营过程中存在的风险外,还存在基于信息技术导致的数据安全风险、网络安全风险以及应急技术薄弱等风险,文章通过分析上述信息技术风险,探索研究针对性的防范措施,保障互联网金融信息安全,促进互联网金融业务的健康发展。