返回
浅谈如何加强信息系统内控建设防范安全风险

浅谈如何加强信息系统内控建设防范安全风险

ID:30435577

大小:76.54 KB

页数:7页

时间:2018-12-29

浅谈如何加强信息系统内控建设防范安全风险_第1页
浅谈如何加强信息系统内控建设防范安全风险_第2页
浅谈如何加强信息系统内控建设防范安全风险_第3页
浅谈如何加强信息系统内控建设防范安全风险_第4页
浅谈如何加强信息系统内控建设防范安全风险_第5页
资源描述:

《浅谈如何加强信息系统内控建设防范安全风险》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、http://www.docin.com/sundae_meng浅谈如何加强信息系统内控建设防范安全风险摘要:如何保证信息系统处理流程规范,系统数据安全完整准确,内控制度落到实处,本文从信息系统的开发建设、运行维护、审计检查几个方面论述如何加强内控制度建设防范安全风险。关键词:信息系统、内控制度随着电信企业各项生产运营系统的建立与使用,各类信息系统的内部控制是否健全、风险是否得到有效控制就成为了内部审计关注的重要课题。近年来电信企业上线运行的重要信息系统有BSS业务受理系统、OA办公自动化系统、资源管理系统、综合调度系统、智能网管理系统、计费账务系统、计划建设管理系统等等。这些

2、信息系统的建立运用能解决人工难以及时处理大量信息数据、难以及时进行复杂运算分析的难题,利用信息系统可以将人工处理的程序、模型预先设计好,帮助企业高效率地管理生产过程,帮助企业及时获取并提炼重要的信息,以利于提高企业综合竞争力。但这些系统是否安全、是否符合内控要求,信息数据是否完整准确,却无人来回答。内审部门作为企业的内部控制监督检查部门有责任有义务对信息系统的内控制度进行评估检查,分析系统的安全风险,堵塞系统漏洞,切实发挥信息系统在企业发展决策方面的支撑作用。日前获悉,某电信运营企业因小灵通预付费系统超级密码被盗,导致被非法制作了1000多万元的小灵通充值卡,至案发时已全部充值

3、消费,7http://www.docin.com/sundae_meng给电信企业造成了巨大的经济损失。由此看出信息系统的安全与否直接影响着企业的经济利益,对企业是至关重要的。本文将就信息系统如何加强内部控制、防范安全风险谈几点看法:一、信息系统从开发建设起就必须建立一套完整的内控流程1、信息系统程序设计必须健全数据核对环节,保证数据准确信息系统能提高企业管理效率,提升企业服务水平,提高企业竞争应变能力,但这一切是建立在信息系统能提供完整、真实、准确数据的基础上的。如果数据经过信息系统的一系列加工处理流程,其中发生了部分溢出、丢失或变异,那么信息系统会输出错误的数据,经营管理者

4、依靠错误的数据肯定不会得出正确的结论。因此信息系统的数据完整准确是首先要保证的。如何保证数据准确呢,一般情况下采用在重要数据输入前和处理输出后进行总量比对、结构比对、逻辑验证等方法验证数据是否完整准确。2、信息系统建设必须考虑数据安全存放,保证数据安全一般情况下数据是否安全主要考虑两个方面,一是数据库是否安全,能否防止非法访问,如果发生有非法访问,或是发生恶意修改、篡改数据情况的,7http://www.docin.com/sundae_meng系统是否会留下记录,能否及时告警。另外一方面是数据存放介质是否可靠,有无备份,重要数据是否异地存放,防止自然灾害对数据安全的危害。根据

5、电信企业信息系统数据对企业生产经营、财务报告等的影响程度分别对数据进行ABC分类,A类数据库如会计核算系统、计费账务系统必须要具备可靠的存储介质,严格建立实时的异地备份,以保证数据安全。B、C类数据根据机房容量、建设成本情况分别制定备份计划,采用两种以上介质存储、两个不同机房存放等方法。3、信息系统开发要考虑设置严谨的密码策略,杜绝非法入侵信息系统必须建立用户身份的验证机制,对信息系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。同时要制定严谨的密码政策,并根据密码政策在系统固化相应的设置,以避免用户使用安全级别低的密码。密码政策具体包括:用户密码长度不得低于6

6、位、密码应至少每90天进行更新、不得使用最近的密码。以上称为’6901’密码策略,对于超级用户则需要按照’8901’来设置密码,位长不少于8位,更新周期同普通用户。在对电信企业信息系统进行内控评估时,发现较多的系统存在用户名、密码共用的现象,不符合内控要求。共用账号、密码会影响密码的定期更换、不能防止非法访问,发生问题时也无法落实责任。因此有此现象的应当确认为重要缺陷,必须立即整改。7http://www.docin.com/sundae_meng二、信息系统运行维护要严格遵守内控规定1、用户账号变更严格履行审批对信息系统的用户创建和授权必须通过信息系统主管部门主管人员审批后,

7、方可由系统管理员在系统中创建用户帐号,以避免未经授权帐号及权限的创建或修改。在员工工作调动或离职等工作职能发生变化时,由人力资源部或用户所在部门及时正式书面通知系统维护部门,由系统管理员更新或删除其相应的访问权限。在对某电信企业信息系统进行内控评估时,发现用户账号的创建、修改缺少书面审批资料,无法证明是否经过必要的授权,因此被认定为内控执行缺陷。2、重要操作要严格执行复核、审批制度对信息系统的重要操作如涉及数据增加、修改、变更等需要坚持复核、审批制度,即一人操作、一人复核再加上主管审批,防止

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。