《信息化背景下会计领域的新发展》:
(5)安全管理控制。
安全管理控制的目的是确保信息系统的硬件、软件和数据资源受到妥善保护,不因自然或人为因素而遭到破坏,使信息系统能够持续正常地运行。安全管理控制包括以下内容:
①设备安全控制。设备安全控制是指保护信息系统硬件(附属设备以及存储数据的载体)不受人或自然因素的侵害而实施的控制。比如,合理选择机房场地、制定磁介质存储载体的保管办法、制定突发事件应急预案和购买保险等。
②软件安全控制。选择并安装安全可靠的操作系统和数据库管理系统等正版软件,严格按操作规程运行软件,对整个系统所用到的所有软件都要登记造册,进行妥善、安全地保管,并建立可靠的备份机制。
③数据安全控制。数据安全控制是指系统中的数据不能丢失,不能被破坏、篡改和盗用。数据安全涉及信息系统中的硬件、软件、运行环境、计算机犯罪、计算机病毒、计算机系统管理等诸多问题。
④系统入侵防范控制。为了防止外来非法用户入侵本组织的网络应用系统,可采用两种措施。第一,建立防火墙。为了有效防范外来非法用户入侵本组织的网络应用系统,可设置防火墙。防火墙能够过滤每个进入内部网的信息包,以保证其来源是经过授权的。具体方法是通过IP地址过滤,经授权的访问者的IP地址存放在由网络管理员保管的访问控制列表中。对于每次来访的信息包,都要先查其lP地址是否在控制列表里,如果不在则拒绝访问,从而挡住了一次非法入侵。第二,设置代理服务器。企业内部网使用的另一种安全设备是代理服务器。代理服务器作为所有流出请求信息的过滤器,所有访问公司外部地址的请求都被发送到代理服务器,然后代理服务器分析每一个请求,以判断它是否是由有权限的人发往互联网上的经授权的站点的。因为被授权的个人或站点名单已登陆在控制列表中,如果请求合法,他会被代理服务器通过,否则请求会被拒绝。代理服务器可用于相反的方向,过滤流人的请求,从而阻止对企业内部一些特定区域的访问。
(6)信息系统外包管理控制。
由于信息系统更新换代的周期短,信息系统工作人员的流动性高,人工费用与设备维修费用十分昂贵,因此,近年来在发达国家出现了利用外包信息系统资源的方法,简称“外包”。外包是指组织只专注于自己的特定业务,而将相关的信息系统业务承包给外部的信息服务机构。通过外包,企业可以提高对信息技术、信息人才的利用效率,显著降低信息系统的运营成本,使企业可以将自己的力量集中于其核心竞争优势方面,更加集中于实现企业的战略目标。
外包必须由特定的人员来负责监督控制,主要有:不断评价外包商的财务能力;监督外包合同条款的执行;通过要求外包供应商定期提供一个第三方的审计报告或由客户的内部审计人员和外部审计人员定期审计其控制,对外包商控制的可靠性进行监督,确保外包商提供安全可靠的信息系统资源;建立外包灾难恢复控制,并定期评价这些控制,如果外包商发生灾难事项,客户也应设计自己的灾难恢复程序。
(7)运行管理控制。
运行管理控制是针对信息系统中硬件和软件设施的日常运行而实施的控制。其主要包括以下内容:
①计算中心进入控制。设立安全入口、使用身份胸牌、实施进入签名制度和使用监视器对进出人员录像等。
②计算机操作控制。许多信息系统是人机系统,系统运行分为人工操作和程序自动操作两部分。对于人工操作的活动,则通过一系列操作规程和严格的操作说明书加以控制。
③文件服务器控制。文件服务器必须安放在安全地带,选择觉悟高、诚实可靠并有丰富经验的高级管理员实施操作管理,对文件服务器的访问严格限制在经过授权的客户。
④硬件设备维护控制。管理层必须对维护人员的背景进行审查,有劣迹者禁止聘用;有条件时对维护人员应该实行岗位轮换;实施维护时,最好将敏感数据和程序从机器中移走;维护人员必须签署不泄密的承诺协议书。
⑤文档资料保管控制。文档要安全存储,充分备份;只有经授权的人员才可访问文档;文档借阅必须登记;文档载体要及时更新;存储媒体如磁带、磁盘、光盘等应存放在一个安全、无尘、防火、防潮、防磁、可上锁的房间里。
⑥软、硬件性能监控。系统管理员应制定系统软、硬件性能监控计划,并按计划定期检查,测试软、硬件平台的性能。
2.会计信息系统的应用控制
会计信息系统的应用控制应结合具体的业务,但由于会计数据处理都是由输入、处理和输出3个阶段构成,所以一般将会计信息系统的应用控制分为输入控制、处理控制和输出控制。会计信息系统的应用控制由手工控制和程序化控制构成,但以程序化控制为主。
……
展开
