企业信息安全管控范文

企业信息安全管控篇1

关键词：内部信息网络；信息安全；管理

中图分类号：F270.7 文献标志码：A 文章编号：1674-9324（2014）21-0018-02

做好企业信息安全管控工作，首先要结合所在企业的实际情况，了解来自内部和外部环境的主要威胁，抓住工作重点，发现解决难点问题。下面就信息安全管控的一些重点和难点问题，谈一点看法。

一、信息安全管控的重点

我们常说，“信息安全控制三分靠技术、七分靠管理”，尤其是对非IT行业来说，它首先是信息系统的使用者，其次才是运行和维护者。它的内部信息网络运行人员，可能仅占到总人数的1%甚至更低。所以技术措施主要是作为管理人员的手段来发挥作用，维持信息网络安全稳定运行，最重要的还是明确管理制度、细化安全职责、加强监督考核。大部分企业的内部网络出口，都装有防火墙和入侵检测系统，理论上说一个外界的入侵者想绕过防火墙和入侵检测系统进入到企业内部网络进行非法操作，难度很大。

二、信息安全管控的难点

随着企业各项业务的信息化，其信息资产的价值也在迅速提升，这势必会吸引一些有目的性的内部或外部威胁，从而带来信息安全性的下降。信息系统可用性已经不再是信息安全管控的唯一目标，系统数据的保密性和完整性也已经成为了信息安全工作的重要内容。在信息网络运行工作中，这就需要我们关注更广的范围，监控更多的节点，进入更多的层面。

同时我们必须认识到，在某些方面，信息安全性的提高是以降低应用的便利性为代价的。例如：一些员工为了避免一系列限制，不使用企业统一的外网出口，而是自己利用3G上网，虽然有很强的自由性，也能提高访问速度，但是这样就打开了一个不经过防火墙和入侵检测系统的外网接口，一旦外部有影响恶劣的新型病毒爆发，病毒就可以在信息管理人员做好准备之前入侵内部网络，造成较大的安全事故。安全性和便利性的这种冲突，需要我们针对网络和信息系统重要程度，划分级别，寻找一个两者之间的平衡，在达到安全标准的前提下，提高应用的便利性。

三、安全管控的实施原则

基于以上理解，在企业内部信息网络中进行安全管控措施规划、实施时，可以遵循以下原则。

1.整体性原则。从应用系统的视角，分析信息网络的安全的具体措施。安全措施主要包括各种管理制度以及专业技术措施等。一个较好的安全措施往往是多种方法适当综合的应用结果，只有从系统综合整体的角度去看待、分析，才能选取有效可行的措施，着重加以落实。

2.平衡性原则。对于一个计算机网络，绝对的安全很难达到，也不一定非要达到不可。应结合企业实际，对其内部网络的性能结构进行研究，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后选取急需落实执行的规范和措施，确定当前一个时间段的重点安全策略。

3.一致性原则。一致性原则主要是指网络安全措施应与整个网络的生命周期同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设的开始就有前瞻性的考虑到网络安全问题，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。

4.容易性原则。安全制度需要人去遵守，安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。

5.动态性原则。企业信息系统的应用范围将越来越广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。应该随着企业信息化的发展，不断完善现有网络安全体系结构，适时增加或减少应该重点落实的安全措施。

6.多重性原则。任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，采取多项安全措施进行多层防护，各层防护相互补充，当一层保护出现漏洞时，其他层仍可保护信息网络的安全。

四、安全管控的重点措施

信息安全的保障，还要靠制度细则的执行，具体措施的落实。近几年来，在电力行业内部，各级单位制定了一系列的安全管理措施，来保障内部信息网络的安全可靠。

1.“不上网、上网不”，切实避免将的计算机、存储设备与信息网络连接，避免在接入外部网络或互联网的计算机设备上存储、处理、传递信息或内部办公信息。

2.计算机接入信息内网必须严格执行审批登记制度，使用规范的计算机名称，实现IP和MAC绑定。必须纳入企业统一的域安全管理，接受统一的监管。

3.执行统一的互联网出口策略，禁止单位和个人私自设置互联网出口。

4.接入企业信息内网的计算机设备，应严禁配置、使用无线上网卡等无线设备，严禁通过电话拨号、无线技术等各种方式与互联网互联。信息内网应避免使用无线网络组网方式。

5.在计算机的运行使用中，所涉及到的用户帐户应执行口令强度的要求与定期更换的规定，采取有效措施监控、发现、并及时修改弱口令，防止被他人利用。应禁止内部员工未经授权侵犯他人通信秘密，擅自利用他人业务系统权限获取企业电子商密信息。

6.应使用企业集中统一的内外网邮件系统，接受统一的内容审计管理。对于在外部网络和互联网上传输的内容，也要采用加密压缩方式进行传输。

7.连接内网的传真、打印、复印一体机，应切断电话线连接，取消智能存储功能。应禁止将普通移动存储介质和扫描仪、打印机等计算机外设在信息内网和外部网络上交叉使用。

8.内网使用的存储设备，需要到企业外进行维修、软硬件升级、逾期报废等工作，须经消磁、粉碎等技术处理。

企业信息安全管控篇2

[关键词] 能源集团企业；安全生产管控信息化系统；系统功能

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 01. 043

[中图分类号] F270.7；TP311 [文献标识码] A [文章编号] 1673 - 0194（2017）01- 0077- 03

0 引 言

近年来，陕西能源集团大力推行安全生产“三化”（规范化、标准化、精细化）管理，层层落实安全责任制，完善各项管控措施，实现了规模以上企业全部达标。为了进一步推进安全生产过程管控和精细化管理，筑牢企业安全根基，提高企业安全生产管控效率，集团结合法规标准和集团管控纲要，按照整体规划，分步实施的原则，探索建立一套安全生产管控信息化系统。该系统包含18个模块106项管控要素，满足日常业务流程管理功能要求。系统将在集约信息资源，提高管控效率，降低企业安全风险、实现企业绿色安全发展等方面发挥重要作用。现将该系统作如下介绍。

1 安全生产管控信息化系统建设目标

第一，建成集团各单位安全生产履职记录档案系统，可以通过系统对各级管理人员进行监督，履行主体职责和监督职能。第二，建成集团分级管理的系统。通过对业务权限设置实现业务的分级管理，保障管理权力的充分自由。第三，建成知识积累共享的系统。集团各单位共同建设完善法律法规库、培训资料库等资源库，实现了集团内部知识积累、知识共享。第四，建成信息沟通的系统。集团各单位可以通过系统实现会议信息、隐患信息、费用管理信息等的即时传递，提高信息沟通的效率。

2 安全生产管控信息化系统功能

系统包含责任制及目标、机构及人员、风险管控、安全生产投入、法律法规及管理制度、安全教育培训、设备设施、危险作业、隐患排查和治理、职业卫生、应急管理、事故（事件）、环境保护、安全生产信息报送、安全文化、安全生产标准化、重点专项管控等业务模块。

第一，责任制及目标。各单位按要求制定各自的责任制，上传到系统中实现备案，各单位均可以通过系统查看备案情况也可通过系统下载文件查看责任制管理办法的具体内容。实行责任制及目标监督考核功能。

第二，机构及人员。系统实现企业基本信息的生成维护和查询；各单位通过系统建立各自的领导机构信息，实现管理机构信息的维护及共享；实现集团内生产单位安全生产三级组织体系信息的集中共享；通过该模块实现会议通知、会议管理等功能。

第三，安全生产投入。安措、环措费用：系统实现了年度安措环措费用计划的审核及执行情况的记录；安全专项费用：通过系统实现对安全生产费用的提起标准查询、提取金额记录、使用情况的记录及相关的统计分析；安全费用（目录外）：系统支持该类企业进行安全费用使用的记录；建设项目安全费用：系统支持各单位建设项目安全设施及安全措施费用的计划管理、使用情况管理及相关的统计分析等，支持上级单位的信息总览。

第四，法律法规及管理制度。法律法规标准：系统支持在集团内部形成统一国家安全生产法律、法规、规章、标准及规范性文件库；管理制度及规程：系统支持各单位将各自安全生产管理制度及规程进行上传、保存、查询等管理，形成各自安全生产管理制度及操作规程库，上级单位可以总览、督促下级单位安全生产管理制度及规程的管理。

第五，风险管控。危险源辨识与风险评价：各单位通过该模块实现危险源的辨识结果的录入系统，并通过系统进行风险评价；重大危险源：系统实现各单位对本单位重大危险源档案管理，上级单位可以对所属下级单位重大危险源档案信息总览；实现煤矿重大灾害防治、危险物品管理的功能。

第六，教育培训。教育培训计划与执行：系统支持各单位教育培训计划、培训记录的管理，上级单位可以总览直接下级单位计划及其执行情况，并可根据计划执行情况进行考核；员工安全环保教育培训档案：各单位对档案内容进行维护，上级单位可对教育培训档案信息进行统计。

第七，设备设施。安全设施分类管控，对建设项目安全设施“三同时”信息维护总览，对检修安全管理、重大检修项目信息的存档、查询，支持各单位对本单位特种设备信息维护，对关键装置与重点部位信息进行维护，支持缺陷的信息录入及管理。

第八，危险作业。支持三级单位登记、录入本单位涉及的危险作业，支持集团及二级单位对危险作业目录信息的总览；系统支持各分子公司对本单位作业过程“票、证、卡、表、单”管理信息维护和监管。

第九，隐患排查和治理。隐患清单：各单位可以将已有的隐患清单编入系统，为隐患的统计分析提供基础数据；隐患排查：系统实现企业对日常排查出的隐患信息、整改信息的存档，实现上级单位对不同级别的隐患的督促整改，进而消除隐患，使企业人、机、料、法、环处于良好的状态；安全检查：安全检查模块实现了安全检查通知、安全检查记录、隐患整改的管理。

第十，应急管理。系统支持在集团内应急领导及指挥机构信息的共享，系统支持各单位各自进行应急救援预案的基本信息维护，系统支持应急演练计划及记录信息维护，支持上级单位对下级单位应急演练计划及记录信息的总览，支持应急事件处置流程管理。

第十一，重点专项管控。系统建设中一个重要的功能就是重点专项管控，其主要涉及集团的公共安全、消防、防汛管理、交通安全管理、安全技术进步及管理创新、建设工程项目、重点工作及督办，以此来满足目前集团公司各重点专项环节的管理需求。

其他管理功能模块支持到三级子企业及其二级部门的业务管理流程，满足监管需要。

3 安全生产管控信息化系统技术方案要点

本系统基于互联网应用支持PC终端和手机APP应用的信息系统：

第一，表单开发平台。表单开发平台可以满足集团多样化的表单的处理。通过表单开发平台，提供灵活的绘制功能，生成JSP页面，通过功能，将形成的JSP文件到系统程序框架中，形成符合实际要求的程序，满足用户的表单开发的需要。

第二，工作流管理。系统应通过工作流工具实现业务流程控制，工作流管理是协调和控制业务过程，使得工作量可以被监督，将分派工作到不同的终端用户以达成平衡。工作流管理系统通过计算机技术的支持去定义、执行和管理工作流程，协调工作流程执行过程中活动之间以及群体成员之间的信息交互。通过工作流系统的使用，柔性了用户业务流程，满足业务管理需要。

第三，报表管理。系统内置强大的图形报表管理工具，用户可根据自己的需要从数据库中提取所需数据，任意生成各种图表，方便归档，打印快捷。

第四，系统管理工具。系统应能够提供了全面、强大的多层级组织机构建模、业务分工、业务协作、权限管理、日志管理功能。用户可以通过系统管理工具对组织机构和权限以及系统日志进行维护与定制。

4 结 语

能源企业是国民经济发展的重要动力，信息化建设已成为能源企业和国民经济发展的重要手段。信息化建设时能源企业增强核心竞争力，实现跨越式发展、安全绿色生产的重要途径，有效的利用信息技术为企业的发展服务是能源企业需要深入探究的重要课题，陕西能源集团安全管控信息化系统将进行进一步完善和深度开发，最终实现主要业务流程的信息化功能。

主要参考文献

[1]余里程.基于风险管控的实时动态安全生产管理信息系统设计与实现[D].广州：华南理工大学，2013.

[2]郑明辉.中小制造企业经营管控信息化系统的研究[D].天津：天津职业技术师范大学，2016.

[3]齐育明.基于NET的安全生产信息化系统的设计与实现[D].长春：吉林大学，2015.

企业信息安全管控篇3

关键词：企业网络安全；内网安全；安全防护管理

中图分类号：TP311 文献标识码：A 文章编号：1674-7712 （2013） 04-0069-01

一、企业网络安全防护信息管理系统的构建意义

据调查统计显示，源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右，网络安全问题大部分发生在企业内部网络，内部网络也是网络安全防护的关键部分。因此，对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击，这种方式只是将企业内部网络当作一个局域网进行安全防护，认为只要能够有效控制进入内部网络的入口，就可以保证整个网络系统的安全，但是，这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为，只有不断加强对企业内部网络的安全控制，规范每个用户的行为操作，并对网络操作行为进行实时监控，才能够真正解决企业内部网络信息资源安全防护问题。

二、企业网络安全防护信息管理系统总体设计

（一）内网安全防护模型设计。根据企业内部网络安全防护的实际需求，本文提出企业网络安全防护信息管理系统的安全防护模型，能够对企业内部网络的存在的安全隐患问题进行全面防护。

由图1可知，企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护，组成了多层次、多结构的企业内部网络安全防护体系，对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范，从而保障了企业内部网络信息资源的整体安全。

（二）系统功能设计。企业网络安全防护信息管理系统功能主要包括六个方面：一是主机登陆控制，主要负责对登录到系统的用户身份进行验证，确认用户是否拥有合法身份；二是网络访问控制，负责对企业内部网络所有用户的网络操作行为进行实时监控和监管，组织内网核心信息资源泄露；三是磁盘安全认证，负责对企业内部网络的计算机终端接入情况进行合法验证；四是磁盘读写控制，负责对企业内部网络计算机终端传输等数据信息流向进行控制；五是系统自防护，负责保障安全防护系统不会随意被用户卸载删除；六是安全审计，负责对企业内部网络用户的操作行为和过程进行实时审计。

（三）系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构，由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成，实时对企业内部网络进行安全防护，保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器，安全防护管理控制台发出指令，由安全防护服务器将指令传送给安全防护完成执行。

三、企业网络安全防护信息管理系统详细设计

（一）安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台，能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令，再传递给安全防护服务器，通过启动安全防护对企业内部网络计算机终端进行有效控制，制定完善的安全管理策略，完成对系统的日常安全管理工作。

安全管理人员登录管理控制台时，系统首先提示用户输入账号和密码，并将合法的USB Key数字认证设备插入主机，经过合法性验证之后，管理员获得对防护主机的控制权。为了对登录系统用户的操作严格控制，本系统采用用户名和密码登录方式，结合USB Key数字认证方式，有效提高了系统安全登录认证强度。用户采取分级授权管理的方式，系统管理人员的日常维护过程可以自动生成日志记录，由系统审计管理人员进行合法审计。

（二）安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递，作为一个信息中转中心，安全防护服务器还承担命令传递、数据处理等功能，其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此，安全防护服务器的设计不但要实现基本功能，还应该注重提高系统的可用性。

安全防护服务器的主要功能包括：负责将安全管理控制台发出的安全控制信息、安全策略信息和安全信息查询指令传送给安全防护；将安全防护上传到系统中的审计日志进行实时存储，及时响应安全管理控制台的相关命令；将安全防护下达的报警命令存储转发；实时监测安全管理控制台的状态，对其操作行为进行维护。

（三）安全防护设计。安全防护的主要功能包括：当安全防护建立新的网络连接时，需要与安全防护服务器进行双向安全认证。负责接收安全防护服务器发出的安全控制策略命令，包括用户身份信息管理、磁盘信息管理和安全管理策略的修改等。当系统文件已经超过设定的文件长度，或者超过了设定的时间间隔，则由安全防护向安全防护服务器发送违规操作信息；当其与安全防护服务器无法成功建立连接时，将日志信息存储在系统数据库中，等待与网络成功重新建立连接时，再将信息传送到安全防护服务器中。

综上所述，本文对企业内部网络信息安全问题进行了深入研究，构建了企业内部网络安全防护模型，提出了企业网络安全防护信息管理系统设计方案，从多方面、多层次对企业内部网络信息资源的安全进行全面防护，有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。

参考文献：

[1]王拥军，李建清.浅谈企业网络安全防护体系的建设[J].信息安全与通信保密，2011，12.

企业信息安全管控篇4

关键词：烟草行业；信息安全；数据备份

在烟草行业运营与生产管理活动中，信息化工具发挥着较为重要的作用，已初步搭建了较为完善的网络架构与内部信息系统环境，成为烟草行业提升核心竞争力的重要基础。与此同时，信息安全问题也日益突出，已成为导致烟草行业数据丢失等的关键因素。因而，深入分析烟草行业信息安全风险与防控策略至关重要。

1烟草行业信息安全风险

烟草行业在信息化建设中，主要具有如下几个方面的信息安全问题。

1.1缺乏信息安全整体规划

整体而言，相比于西方等经济发达国家，国内信息安全技术发展相对滞后于网络技术，这必然会造成烟草行业在应用新型网络技术产品时，信息安全技术显得稍落后，难以保障烟草行业的信息安全。比如，部分烟草企业可能会选择使用PS防御系统，但是在综合权衡经济预算、信息安全实际应用需求等后，最终并没有决定使用性能最佳的信息安全产品，最终导致硬件难以满足信息安全风险防控的要求，这些均与烟草企业未制订积极有效的信息安全整体规划有较为紧密的关系。

1.2面临外部信息安全威胁攻击

在烟草企业经营管理活动中，为了便于管理员工高效工作，允许企业员工在外网通过VPN的方式访问烟草企业内部的信息系统。另外，在烟草企业内部网络应用过程中会有信息设备供应商以及其他信息系统服务商等第三方的介入，这也会导致烟草企业在网络应用中会频繁进行内外网连接，这给木马、黑客等攻击烟草企业网络架构以可乘之机。当烟草企业网络遭受攻击后，很有可能会导致烟草行业信息系统无法正常应用，致使烟草企业面临来自外部的信息安全风险。

1.3内部信息安全控制不力

信息技术在持续发展，可供烟草企业选择的信息设备以及信息系统也越来越多，大多数烟草企业已搭建起相对较为完整的基础网络架构以及应用系统服务群，包括生产销售管理平台、OA办公平台、综合服务管理平台等，这对于烟草企业正常的经营管理以及决策管理起到关键的作用，大大提升了烟草企业的办公效率。然而，烟草企业在利用信息技术获得便利的同时，也面临着来自内部信息安全控制不力的风险，包括不良网络信息冲击员工正确价值观，以及烟草企业内部员工较大的流动性给信息安全风险防控所带来的负面影响。

1.4员工信息安全意识薄弱

较强的员工信息安全意识，是提升烟草行业信息安全等级的重要渠道。在信息技术应用持续深化的情况下，传统的管理人员已难以满足信息时代下企业发展的需求。另外，当前部分烟草企业信息安全管理团队不完善，以及管理人员自身的信息安全意识较为薄弱，领导对信息安全管理工作不重视，或者员工存在侥幸心理，都会致使烟草企业产生不同程度的信息安全事故。

2烟草行业信息安全防控策略

针对当前烟草企业所面临的信息安全风险，建议从如下几个方面制定防范策略。

2.1科学高效地开展信息安全规划

科学、合理地规划烟草企业信息安全架构，是烟草企业防范信息安全风险的重要基础。首先，应根据信息安全的未来发展方向制订烟草企业的信息安全发展规划，以确保烟草企业所采取的防范措施符合整体发展方向，避免走错方向、浪费资金投入。其次，应紧密结合烟草企业的信息化建设现状与存在的问题规划信息安全发展方向。烟草企业的不同发展规划，对信息安全的管理需求有所不同，这就要求烟草企业紧密结合自身的信息安全发展需求，制定更具针对性的信息安全风险防控策略，以更高效地规避内部隐患、外部攻击。

2.2完善加密手段，构建加密渠道

在制订了科学合理的信息安全防范规划后，就应采取加密信息的手段，构建更为合理的加密渠道。比如，烟草企业在信息化建设中应要求信息技术人员研发信息加密的多样化手段，构建更为丰富的加密渠道，从而提升烟草信息平台的安全性。同时，还应加强烟草企业内部应用系统以及数据库的备份工作。再如，在实际管理中，烟草企业可以要求信息技术人员通过访问控制、数字签名、身份认证多种方式，以达到烟草企业防范信息安全风险的要求，还可以要求各个信息系统使用方妥善保管各个信息系统的登录密码，不允许使用复杂度过低的密码，应根据信息安全规范要求制定密码复杂度规则，以提升信息系统访问安全性。同时，还应定期提醒或要求用户更改密码，以达到安全管控的目的。

2.3做好企业内部数据备份与恢复工作

内部数据丢失风险，是当前烟草企业信息安全风险之一。积极做好企业内部数据备份与恢复工作，是规避数据丢失风险的重要方式之一。首先，应做好内部数据备份工作。比如，积极搭建异地数据灾备中心，选择一个相对安全的地方进行数据备份。选择性能更为强大、安全等级更高的备份系统，以更高效地执行数据备份，并且不影响其他应用系统的正常使用。其次，定期执行数据模拟恢复操作。部分烟草企业认为，只要定期完成内部数据备份工作便可确保烟草企业数据安全，忽视了备份数据的有效性。而积极开展模拟恢复操作，是确保所备份数据有效性的重要方法。因而，烟草企业应定期开展积极有效的模拟恢复操作，以确保所备份的数据是可用的，切实保护烟草企业的信息安全。

2.4重视培训提升员工信息安全意识

员工较高的信息安全意识，是烟草企业防范各种信息安全风险的重要保障。首先，应重视员工信息安全意识培训工作。烟草企业信息主管部门，在实际信息管理活动中，应定期或者不定期组织员工参与安全培训，或者通过微课的方式向员工们宣传信息安全知识。其次，应重视网络使用规范或者应用系统应用规范，以在规范员工信息行为的同时提升所有员工的信息安全意识，从而更为有效地规避信息安全风险。对于员工使用基础网络或系统过程中所存在的信息安全隐患，信息主管部门应针对这些案例进行整理，形成宣传文案，以提高所有员工的警惕性。

3结语

烟草业在信息建设中将面临着各种信息安全隐患，这要求信息建设管理人员从制订信息安全建设规划、完善加密手段、做好内部数据备份工作以及提升员工安全意识等方面入手，切实提升信息安全等级，保护信息建设成果。

作者:毛纪辉 单位:辽宁省烟草公司丹东市公司

参考文献

[1]刘轲.论烟草行业信息安全风险及防控[J].重庆与世界:学术版,2014(11):97-100.

[2]彭志勇.烟草行业信息安全风险及其防控策略探究[J].技术与市场,2016(12):217.

企业信息安全管控篇5

一、 企业会计内部控制

（一） 企业会计内部控制

企业会计内部控制，是指采取相应的控制措施对企业财政部门进行组织行为规范，从而保证企业财产安全和完整性，进而保障企业经济活动的顺利进行、企业的正常、有效运营，提高企业会计信息质量。

企业会计内部控制是运用会计手段对企业财务部门和相应的会计业务部门等涵盖于企业内部管理的企业内部控制。其侧重于对企业经济项目和会计事务的事前和事中控制。

（二） 企业会计内部控制的作用

1、 有利于企业经营效率的提高。企业会计内部控制要求企业财务部门对企业部门和企业职员进行科学分工、控制、考核、协调，有利于企业生产活动的有序进行，促进企业各部门工作目标的确定。

2、 有利于企业会计信息质量的有效提高。通过加强企业内部会计控制力度，进而提升企业会计资料的审核力度，利于保障企业会计资料的真实性和有效性，进而为企业发展做出正确决策提供有力的参考数据。

3、 有利于企业法人治理结构的完善。企业会计内部控制的关键在于对企业资产动用授权人的控制。加强对其授权人员的控制，可准确反映企业的产权关系，推动企业法人治理结构和管理模式的进一步完善。

二、 企业会计内部控制存在的问题

1、 缺乏内控意识，制度管理混乱。我国大部分中小型企业缺乏对企业会计内部控制的意识，一方面是企业的负责人和管理阶层对企业会计内部控制理解不透彻，将其与企业的成本、安全性等方面的控制相互混淆，认为其仅限制于对企业会计规章制度的控制以及加强控制后企业所付出的成本是无效的，导致了企业会计内部控制工作开展、进行难的问题。另一方面，是企业部门及企业职员对企业会计内部控制的不重视，自身内控意识淡薄，难以形成企业良好的内部控制，和管理、财务、业务等三位一体的联系、监督、制约模式的建立。

同时，大多数的企业会计内部控制组织结构、制度等存在很多缺陷。例如，企业财务部门任用亲友的现象严重，对聘请的会计工作人员审核、监管不严，致使财政部门人员结构不合理、规范，且部门内部的权利和责任不明确统一，监督效果不明显。

2、 信息化程度低和会计电算化隐患。信息化作为企业会计内部控制的基础和平台，对企业会计内部控制有着至关重要的作用。企业管理者缺乏对会计信息化的理解与应用，导致企业会计信息缺乏正确性和及时性。财务报表的制定过程中，会计工作人员结合了相关报表，促使企业的运营状况与财务状况的体现不明确；又由于企业管理者额一己私念，隐瞒企业真实的会计信息，以谋取个人利益，导致企业的会计信息不完整。这两种情况都直接影响了企业会计信息的质量，不利于企业了解真实的运营状态和未来发展的决策。

会计电算化的使用，一方面帮助了企业资源共享的实现，另一方面对企业的财政安全造成了巨大的安全隐患。一方面是数据的处理，原始数据输入错误以及非法更改，就会导致整个系统信息错误，输出的信息结果失真；另一方面是财务软件，由于系统设置的过于重视功能性应用从而忽视了其安全性能的设置，软件的系统安全性能不高，数据保密程度较低，导致了企业财务信息存在外露的安全隐患。再则，网络安全性能危害，企业在网络上进行财务信息的对外交流时，易遭受网络黑客的攻击，会对信息系统造成严重破坏，并对企业机密造成泄露、篡改等安全危害。

3、 会计工作人员素质较低，会计核算缺乏规范化。企业中，有的会计工作人员其专业水平有限，难以适应企业会计内部控制要求；有的会计工作人员，缺乏专业道德和职业操守，被利益驱使，对企业资产进行非法牟利的行为，对企业造成严重、直接的经济损失。

会计核算和档案管理缺乏规范性。企业会计核算程序不规范，会计工作不透明，账目的收入、支出醒目不明细，档案管理缺乏成熟的管理机制，由于各种人为或其他因素造成的数据丢失，使得会计审核困难，等等各方面的问题都造成了企业会计内部监督工作困难。

4、 内部控制体系不完善，监控作用不明显。由于企业管理者缺乏现代企业的管理理念，沿用传统的企业管理方式，在企业的会计岗位设置上不合理，人员配置和素质缺陷；企业内部监督机构、体系不完善，缺乏独立性。这些方面的问题都导致企业的内部管理权限不够，管理不到位，效果不明显。

三、 企业会计内部控制对策探究

（一） 完善企业会计内部控制机制

企业管理人员，改变管理观念，树立科学的现代化企业管理理念，并结合外部环境监督，完善企业内部控制机制。

1、 建立、完善企业会计内部管理制度。结合当代企业管理和企业自身情况，建立、完善适用的企业内部管理机制，对企业财务管理进行制度化管理。

2、 加强会计信息化安全建设。信息化的安全性是企业发展前提，加强对企业会计信息化的建设和信息安全性的建设，做好企业信息网络防毒工作，加强会计电算化的应用控制，确保企业会计信息的传输、控制、完整和安全。

（二） 提高企业会计从业人员的专业水平和综合素质

会计从业人员的专业水平和综合素质都直接影响着企业会计信息的质量问题和企业的正常、良性运营。企业要加强会计从业人员专业水平和综合素质的培训，提高专业知识和技能操作运用，提高职业道德和工作态度，加强其自我约束能力，从根本上消除会计虚假信息和工作人员的消极工作态度，保障企业会计信息的高质量、高标准、高效率。

（三） 加强企业内部审计，会计核算监督

加强企业内部的会计审计和会计核算的监督工作，进一步保证企业会计内部控制的有效实施。加强对企业会计信息的完整性和真实性审核、监督，及时处理不规范的财政凭证；加强对财务报表、账目等的建设监督；对企业的经济活动进行事前、事中、事后的财务审计，提供正确、可靠的财务信息，确保企业会计内部控制的顺利进行。

四、 结束语

企业信息安全管控篇6

（一）企业集团在实施财务管理信息化过程中，必然使得财务工作流程及方式有所改变，而且在财务组织结构、财务运行机制以及财务人员的管理上也发生了全新的变化。财务管理信息化的实施，给内部控制带来了多方面影响

1.财务管理信息化的适时集中的数据处理方式使传统的控制方式发生了改变。我们知道，传统的会计方式正是通过职能的分割与人员的分工来形成有效的内部控制。而财务管理信息化系统是按照计算机及网络数据处理系统组织起来的，账务处理过程全部由电子计算机自动完成，主要处理过程无须人工干预。而这种数据处理的集中性使传统的组织控制功能减弱。随着这种改变，会计工作常常随之划分成数据收集、凭证编审、数据处理(包括数据输入、处理、输出)、财务管理、系统维护等。

2.财务管理信息化系统使企业的内部控制范围不断扩大，内部控制重点也相应发生变化。传统的内部会计控制主要局限于企业内部的查错防弊，而财务信息化涉及的控制范围相应扩大，使得内部会计控制重点从岗位牵制、审核等制度控制转变为以网络安全、原始数据输入、会计信息的输出控制、人机交互处理的控制、计算机系统之间连接控制几个方面。由于电子信息技术的进步，企业与外部的信息交互传递愈加频繁，以往传递壁垒逐渐消失，由于内部会计控制的范围不再局限于企业内部，给企业集团的内部会计控制增加了难度。

3.财务管理信息化使企业内部控制手段和技术发生了变化。在财务信息化不断实施发展的情况下，控制方式和手段由手工控制转为手工控制和程序化控制相结合。财务信息系统要求在程序设计的各个环节、阶段为审计留下线索。所以，财务信息化条件下，原有的手工控制手段部分需要保留，同时增加了一些包含于计算机程序中的程序控制。一般来讲，财务信息化程度越高，必须采用更多的程序化控制。

4.内部控制的环境发生了改变。首先是会计部门的组成人员结构发生了变化，在原来的财务、会计人员基础上更增加了计算机操作员、网络系统维护及管理人员等；其次是会计业务处理范围变大，除完成基本的会计业务外，同时还集成许多管理以及财务的相关功能；再次是提供使会计信息的网上实时处理成为可能的在线办公等服务；最后是各类会计凭证和报表的生成方式、会计信息的存储方式和存储媒介发生了变化。因此，企业集团实施财务管理信息化后，会计内部控制的重点由对人的控制为主转变为对人、对计算机和互联网的控制。

（二）财务管理信息化后企业内部控制面临的新问题

1.建立与财务管理信息化建设相适应的内部控制体系。随着财务管理信息化建设的逐步实施，企业会计核算与会计管理的环境发生了很大变化，传统会计系统的内部控制机制与手段已不适应于新的环境，因而建立与财务管理信息化建设相适应的内部控制体系成为目前企业急需解决的问题。

2.实施财务管理信息化后，企业面临的安全风险加大。企业集团实施财务管理信息化后，内部控制的核心和关键随之将发生根本性转变，传统的财务会计强调证实相符、账证相符、账账相符，而在财务信息化实施中，内部控制的重点转为数据输入输出及网络安全管理等。财务信息化的实施在一定程度上增加了内部控制的难度和风险。

3.财务信息化的开放性使企业内部控制的风险加大。财务信息化提倡开放，目的在于为会计与有关各方建立有机联系，创造条件，以推动财务管理的发展，促进企业管理。开放表现为软、硬环境的开放。其中硬环境的开放是内部控制风险增大的一个重要方面。但会计信息一直被视作商业秘密。没有哪一种加密技术绝对安全，不法分子有可能利用各种技术手段，使内部会计控制措施失效。正是由于财务信息化控制技术的复杂性，加大了系统的控制风险。

二、企业集团应该如何加强财务管理信息化环境下的内部控制

如何加强企业集团信息系统的内部控制，对于实现企业集团的战略目标和业务目标，提高企业经营效率，降低信息系统风险及企业经营风险具有重要的现实意义。

（一）从财务管理信息化系统方面加强内部控制。

1.加强系统设计控制。在软件的选型与软件供应商的选择方面加强选择控制，防止所选购的软件质量存在缺陷，或软件功能不适合企业的实际需求，如果专项开发设计更应在设计需求方面注重控制的加强。企业集团的所购或开发的财务软件要经过严密的可靠测试，降低数据结构、程序结构隐含的问题会在后期系统运行中被触发或各种舞弊导致损失的可能性。

2.加强系统安全控制。企业财务管理信息化安全风险主要由技术因素和管理因素两方面引起，网络系统本身存在安全脆弱性，软件系统内部缺陷没被测试出来属技术因素，而组织内部没有建立信息安全管理制度，使用人员操作缺乏相应的操作规范，无控制标准与安全防范标准属管理因素。企业资产损毁、被盗等导致损失的可能性也是系统安全控制的方面。

3.加强系统管理控制。信息系统的管理和维护是财务管理信息化实施中必不可少的工作。包括工作人员的分工、权限的设置、必要的审批、日常的运行维护和管理都能够增加系统的安全控制，促进系统实施有效性的发挥。

（二）从内部控制管理方面加强内部控制

1.加强内部会计控制制度的建立和完善。建立企业内部控制制度是制定完善的管理制度，包括明确岗位责任制，合理设置会计及相关工作岗位，形成相互制约机制；制定和完善技术安全制度，从制度上防范由于互联网等先进信息技术对系统安全的威胁；制定和完善财务档案管理制度，包括纸质档案和电子信息档案管理，通过内部控制档案管理的规范化加强内部控制。

2.建立内部控制监督机制，完善内部控制措施。内部审计是保障内部控制制度有效执行的重要手段之一，企业集团应从加强会计信息资源控制、组织与管理控制、财务管理信息化系统开发控制、财务管理信息化系统维护控制、财务管理信息化系统应用控制等方面，加强包括内部审计等监督机制的建立。

三、总结

总之，由于不断变化的生产经营环境，财务信息化内部控制机制也将存在着一个动态的发展过程，不断面临新问题的挑战。因此，从财务信息化角度出发，随着未来财务信息化管理的标准化和规范化的深入，建立和完善科学的财务管理信息化，并针对执行过程中发现的问题，逐步完善和提高，促进内部控制目标的实现，将成为每个企业集团必须经历的漫长发展路程。

企业信息安全管控篇7

论文摘要:文章首先分析了信息安全外包存在的风险，根据风险提出信息安全外包的管理框架，并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制，并获得与外包商合作的最大收益。

1信息安全外包的风险

1.1信任风险

企业是否能与信息安全服务的外包商建立良好的工作和信任关系，仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息，并全面了解其企业和系统的安全状况，而这些重要的信息如果被有意或无意地对公众散播出去，则会对企业造成巨大的损害。并且，如若企业无法信任外包商，不对外包商提供一些关键信息的话，则会造成外包商在运作过程中的信息不完全，从而导致某些环节的失效，这也会对服务质量造成影响。因此，信任是双方合作的基础，也是很大程度上风险规避的重点内容。

1.2依赖风险

企业很容易对某个信息安全服务的外包商产生依赖性，并受其商业变化、商业伙伴和其他企业的影响，恰当的风险缓释方法是将安全服务外包给多个服务外包商，但相应地会加大支出并造成管理上的困难，企业将失去三种灵活性:第一种是短期灵活性，即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力，即在短期到中期的事件范围内所需的灵活性，这是一种以新的方式处理变革而再造业务流程和战略的能力，再造能力即包括了信息技术;第三种灵活性就是进化性，其本质是中期到长期的灵活性，它产生于企业改造技术基本设施以利用新技术的时期。wWW.133229.CoM进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。

1.3所有权风险

不管外包商提供服务的范围如何，企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责，并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到，应该将信息安全作为其首要责任，并进行安全培训课程，增强常规企业的安全意识。

1.4共享环境风脸

信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险，因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器)，这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。

1.5实施过程风险

启动一个可管理的安全服务关系可能引起企业到服务外包商，或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡，这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划，并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。

1.6合作关系失败将导致的风险

如果企业和服务商的合作关系失败，企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的，而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败，如同其他商业关系一样，它需要给予足够的重视、关注，同时还需要合作关系双方进行频繁的沟通。

2信息安全外包的管理框架

要进行成功的信息安全外包活动，就要建立起一个完善的管理框架，这对于企业实施和管理外包活动，协调与外包商的关系，最大可能降低外包风险，从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分，分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准，然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后，双方共同制定适合企业的信息安全外包的控制方法，协调优化企业的信息安全相关部门的企业结构，同时加强管理与外包商的关系。

3信息安全外包风险管理的实施

3.1制定信息安全方针

信息安全方针在很多时候又称为信息安全策略，信息安全方针指的是在一个企业内，指导如何对资产，包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义，定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明，以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义，而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。

3.2选择信息安全管理的标准

信息安全管理体系标准bs7799与信息安全管理标准is013335是目前通用的信息安全管理的标准:

(1)bs7799:bs7799标准是由英国标准协会指定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准，标准包括如下两部分:bs7799-1;1999《信息安全管理实施细则》;bs7799-2:1999((信息安全管理体系规范》。

(2)is013335:is013335《it安全管理方针》主要是给出如何有效地实施it安全管理的建议和指南。该标准目前分为5个部分，分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。

3.3确定信息安全外包的流程

企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度，识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案，然后进行合乎规范的评估，识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估，或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后，外包商授予企业独立评估方评估权限，并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节，以减少任何对可用性，服务程度，客户满意度等的影响。在评估执行后的一段特殊时间内，与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存，企业将这些文档作为评估的重要工具，对外包商的服务绩效进行考核。评估结束后，对事件解决方案和优先级的检查都将记录在相应的文件中，以便今后双方在服务和信息安全管理上进行改进。

3.4制定信息安全外包服务的控制规则

依照信息安全外包服务的控制规则，主要分为三部分内容:第一部分定义了服务规则的框架，主要阐明信息安全服务要如何执行，执行的通用标准和量度，服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求，这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求，服务范围等方面的内容;第三部分是安全要求，包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。

3.5信息安全外包的企业结构管理具体的优化方案如下:

(1)首席安全官:cso是公司的高层安全执行者，他需要直接向高层执行者进行工作汇报，主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。cso需要监督和协调各项安全措施在公司的执行情况，并确定安全工作的标准和主动性，包括信息技术、人力资源、通信、法律、设备管理等部门。

(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部it人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术性服务。

(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官，客户企业的cio和cso，外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议，负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。

(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更，新的技术手段的应用，服务优先等级的更换以及服务的财政问题等，咨询委员会的成员包括企业内部的ti’人员和安全专员，还有财务部门、人力资源部门、业务部门的相关人员，以及外包商的具体项目的负责人。

(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题，工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系，将突出的问题组建成项目进行解决，并将无法解决的问题提交给咨询委员会。

(7)服务交换中心:服务交换中心由双方人员组成，其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门，发掘出企业中潜在的信息安全的问题和漏洞，并将这些问题报告给安全工作组。

（8）指令问题管理小组:这个小组的人员组成全部为企业内部人员，包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后，或者，是当cso了关于信息安全的企业改进方案之后，这些解决方案都将传送给指令问题管理小组，这个小组的人员经过学习讨论后，继而将其到各个业务部门。

(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。

3.6管理与外包商的关系

企业信息安全管控篇8

关键词：内部审计；信息系统；风险控制

中图分类号：F239 文献标识码：A

原标题：企业内部审计应重视开展信息系统审计工作

收录日期：2013年7月6日

随着现代通信技术和计算机技术在企业的广泛应用，使企业不断提高对各种资源的管理能力和信息的处理效率，同时信息系统带来的风险也越来越受到企业管理层的高度重视，企业内部审计作为内部控制机制的重要组成部分，有责任开展企业信息系统审计，充分发挥“免疫系统”第一道防线的功能作用。

一、开展信息系统审计是内部审计的职责

纵观内部审计发展史和实践证明，围绕检查评价内部控制的有效性，始终是内部审计的本职工作。我国《内部审计基本准则》指出，内部审计通过审查和评价经营活动及内部控制的真实性、合法性和有效性来促进组织目标的实现。2008年的《企业内部控制基本规范》已明确，内部审计是企业实施内部控制的基础，应当在董事会下设立审计委员会，负责审查企业内部控制，监督内部控制的有效实施。信息系统是企业利用计算机和通信技术，对建立内部控制的政策、标准、程序进行集成、转化和提升所形成的信息化管理系统。企业通过信息系统来强化内部控制，有利于减少人为因素，提高控制的效率和效果。内部审计是以监督、检查、评价内部控制的有效实施，揭示企业潜在的经营管理风险，提高企业经营管理水平，确保企业财务经营信息可靠完整，政策、计划、程序、法规贯彻落实，企业资产安全、企业资源使用经济有效，以便更好地实现企业的经营战略目标。因此，开展对企业信息系统的审计是内部审计的职责。

二、开展信息系统审计是信息化环境下企业加强管理的迫切需要

随着经济全球化和我国工业化进程的加快，做大做强企业，必需引入全方位的现代企业管理思想，高效快捷地利用各种信息资源，防范风险，应对瞬息万变的经济形势。企业越来越重视现代通信和计算机技术在生产制造、成本控制、资源配置、人力资源利用、财务管理等方面的运用，这是信息技术与企业管理融合的产物，是现代企业先进管理思想的体现。如ERP企业资源计划是建立在信息技术基础之上，全面集成企业所有资源信息，为企业提供决策、计划、控制与经营业绩评估的全方位和系统化的管理平台。同时，也应认识到，信息系统自身也存在风险，需要加强管理和控制。首先，信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；其次，系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；最后，系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行，企业资产安全将受到威胁。信息系统审计，就是对信息系统的各项控制措施是否能够保护资产安全、维护数据完整、高效利用各种资源、有效实现组织目标而做出判断评价的过程。因此，开展信息系统审计已成为现代企业加强管理、防范信息系统风险的重要保障。

三、开展信息系统审计是企业提高管理水平、风险防范能力的重要途径

企业内部控制基本方式包括管理模式、组织目标、政策、标准和程序，就其性质来说，同时也是内部审计的基本内容。信息系统建设是以企业发展战略和业务需要为依据，是基于企业内部控制基本方式而建立的，其内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成，融入到企业的战略层、战术层和经营层，与企业的组织架构、业务范围、地域分布、技术能力相匹配，其内部控制已贯穿于所有行政管理和经营管理。信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操作因素，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。企业内部审计围绕服务企业可持续发展这个中心任务，开展信息系统审计，并以此为切入点，对企业的经营控制和管理控制进行检查、分析、评价，及时揭示风险，如财务和经营信息不实，政策、计划、程序、法律和标准贯彻失败，资产流失，资源浪费和无效使用，组织目标不能实现等问题，提出解决问题的措施，明确各个层次的管理责任，推动管理工作的改善，提高企业的经济效益。由于信息系统内部控制对企业管理来说具有高度整体性，因此开展信息系统审计是企业实现全面监督的重要途径，有助于提高企业各层次的管理水平，防范来自于企业内部和外部的各种风险。

四、开展信息系统审计是推动企业内部审计发展的助推器

审计信息系统最早称为计算机审计，主要关注电子数据的取得、分析、计算等数据处理业务，还称不上信息系统审计。随着计算机技术应用范围的不断扩展，计算机审计所关注的内容也从单纯的对数据处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下，计算机审计的业务内容已经扩展到了符合性测试领域。目前，现代内部审计已发展至风险管理审计，由于信息系统的安全性、可靠性与企业所面临的各种风险的联系越来越紧密，在风险基础审计模式下，与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型审计业务不断涌现。开展信息系统的软件和硬件审计，已成为内部审计的新领域。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”，这一观点已经逐渐成为国外审计界的一个共识。可以说，信息系统审计将改变内部审计机制、模式，引领内部审计树立服务企业价值增值的理念，使内部审计从更高层面发挥审计主动性、提升前瞻性、增加防范性、注重协调性，积极发挥内部审计在“免疫系统”中第一道防线的功能。

有利于提高内部审计管理水平。面对现代企业经营环境高度信息化，内部审计只有加快提升自己信息化建设水平，才能适应日益高技术化、高信息化的审计环境的变化，才能将内部审计工作融于企业经营管理的各个方面，更好地发挥内部审计防范风险、服务企业价值增值的保障作用。一是内部审计工作机制规范化建设，利用计算机技术构建内部审计工作管理平台，从审计项目立项到电子归档，审计成果运用，贯穿整个审计工作流程，提高审计工作效率；二是审计项目实施标准化、数字化管理，应用专业审计软件从数据采集、分析、审计抽样、内控测试、风险评估到制作审计工作底稿、取证记录，提高审计质量；三是运用现代通信技术和计算机技术，适时开展信息系统审计、联网审计、在线审计，提高审计技术方法的现代化水平；四是人才队伍素质建设，多渠道培养、引进各类专业人才，不仅需要具备丰富会计、财务和审计知识与技能的人才，还需要具备计算机、网络、信息系统、企业管理、工程项目管理等多方面的知识与技能的人才，提高审计专业化水平，适应内部审计工作转型发展的新要求。

主要参考文献：

[1]内部审计基本准则.

[2]企业内部控制基本规范.