网络会计信息系统安全管理战略

网络会计信息系统安全管理战略

（1）对于会计信息系统，信息安全主要是保证信息的保密性、完整性、可用性、真实性、可控性、可审查性、不可靠性等。数据保密性是指数据在网络上传输时不被非法窃取，或者窃取者虽然不能破解其真实意义；数据完整性是指数据的准确性和可靠性，指数据在传输过程中不增加、删除和修改内容；可用性是指合法用户的正常使用，以确保能够实现而不被拒绝；真实性是指识别数据源，消除非法数据源，确保进入系统的数据真实可靠；可控性是指数据的输入、输出和处理过程；可审查性是指记录数据的任何访问和操作（增加、删除、修改），便于“信息”跟踪或审查；不可靠性是指记录和归档所有用户的操作，防止用户否认操作。

（2）为保证会计信息系统的安全，规划系统时应综合考虑安全管理的基本思路，按照“全网安全”的思路实现多层次控制。(图1)是基于这一思想的安全体系框架。可见，该结构主要由技术体系、组织体系、管理体系三部分组成。（1）技术体系：技术体系安全架构主要为系统安全提供技术保障，包括安全技术和技术管理。安全技术又分为网络环境安全和信息环境安全两部分。网络环境安全主要是指物理安全和环境安全。为防止物理安全问题造成会计信息安全风险，应对计算机及相关设施进行物理保护，避免损坏和丢失；信息环境安全主要是指系统安全和信息安全。技术管理分为三个部分：符合ISO标准的技术管理，从安全服务、系统规范、实施细则、安全评价等方面管理会计信息系统安全；审计监控技术管理、会计信息系统实时状态监控、非法入侵监控；技术管理、财务系统安全策略、关键管理。（2）组织体系：组织体系主要为系统安全提供组织人员保障。从机构设置、岗位设置、人事设置三个方面进行建设。（3）管理体系：管理体系主要为系统安全提供制度保障。从国家法律立法、企业规章制度、企业业务培训三个方面保障制度安全。