亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        管理會計工具及應用案例

        2016-11-17 04:26:41申亞楠溫素彬郭春明
        會計之友 2016年20期

        申亞楠 溫素彬 郭春明

        【摘 要】 風險管控是管理會計的重要職能,而商業(yè)秘密泄露的風險管控是風險管控的重要內(nèi)容之一。當前企業(yè)關(guān)于商業(yè)秘密泄露的風險管控更多的是從技術(shù)角度進行,而忽視了管理會計的重要作用。文章研究了商業(yè)秘密泄露的方式,從環(huán)境、技術(shù)、設(shè)備、人員四個因素分析了導致泄露的原因;從制度基礎(chǔ)、業(yè)務安全、技術(shù)防護三個維度的十一個方面,建立了商業(yè)秘密防泄漏風險系統(tǒng)管控模型。進而,探討了WHHX公司的商業(yè)秘密泄露風險管控實踐。

        【關(guān)鍵詞】 商業(yè)秘密; 泄露風險; 管控模型

        【中圖分類號】 F275 【文獻標識碼】 A 【文章編號】 1004-5937(2016)20-0132-04

        商業(yè)秘密既包括技術(shù)信息,又包括經(jīng)營信息,這些信息是公司核心競爭力的載體,一旦泄漏,可能對企業(yè)造成重大損失,甚至是致命威脅。普華永道2016年《全球信息安全現(xiàn)狀調(diào)研報告》顯示,信息安全預算正在不斷增加。全球檢測到并上報的安全漏洞數(shù)量較2014年報告呈上升之勢,增長率38%,2015年,中國內(nèi)地和香港企業(yè)檢測到的信息安全事件平均數(shù)量約上升5倍[1]。目前,多數(shù)企業(yè)的商業(yè)秘密防泄漏管控聚焦于數(shù)據(jù)加密、虛擬專用網(wǎng)、身份認證、入侵檢測、數(shù)據(jù)防泄漏系統(tǒng)等技術(shù)手段,對管理手段重視不夠。本文從管理與技術(shù)的雙重視角對商業(yè)秘密泄漏風險管控進行研究,并建立風險管控模型。

        一、商業(yè)秘密泄露的方式

        商業(yè)秘密具有信息所固有的“收集——傳輸——使用——儲存——維護——銷毀”這樣一個生命周期。前四個階段屬于信息的活動階段,泄漏風險較大。根據(jù)每個階段信息泄漏的方式不同,一般可能通過以下三種不同的數(shù)據(jù)泄漏方式:①網(wǎng)絡方式:主要包括網(wǎng)頁、電子郵件(如Foxmail)、即時通訊、網(wǎng)絡硬盤、FTP、P2P、論壇等;②存儲方式:主要包括文件服務器、Web服務器、數(shù)據(jù)庫、郵件服務器等;③終端方式:主要包括各種移動外設(shè)如U盤、藍牙、CD等方式,電子郵件終端、筆記本,打印/傳真等。

        除此之外,還有一些信息泄露方式易被忽視。例如:拍照、竊聽這樣的物理安全問題;第三方(如設(shè)計方、施工方、制造方等)合作過程中泄密,員工離職轉(zhuǎn)崗過程泄密等組織管理問題;口頭傳播,書面文檔復制與傳播,外來人員參觀、考察接待,學術(shù)交流,新產(chǎn)品推介,廢舊涉密載體處置等需要從提高員工安全意識抓起的問題;等等。

        二、商業(yè)秘密泄露的致因

        從商業(yè)秘密泄漏的動機來看,主要分為主動泄密和被動泄密,其中被動泄密一般是由于安全意識薄弱,機器中了木馬和病毒,在不知情的情況下產(chǎn)生的信息泄漏;而主動泄密則一般是為了利益,內(nèi)部人員主動將機密數(shù)據(jù)竊取的行為。從造成商業(yè)信息泄露的因素來看,可以分為環(huán)境因素、人員因素、技術(shù)因素和設(shè)備因素。

        1.環(huán)境因素。多數(shù)企業(yè)在快速發(fā)展過程中,信息安全管理落后,商業(yè)秘密管理缺乏統(tǒng)一的保密體系規(guī)劃和防泄漏機制,企業(yè)安全責任不明確,績效考核體制不健全,懲戒措施和審計機制缺失。

        2.技術(shù)因素。從軟件來看,防火墻、IDS或防病毒軟件不能對內(nèi)網(wǎng)中的所有網(wǎng)絡行為進行實時監(jiān)測和控制,員工訪問的某些互聯(lián)網(wǎng)可能被安裝間諜軟件;另外,信息系統(tǒng)設(shè)計時沒有以風險評估為基礎(chǔ),存在業(yè)務流程描述錯誤或遺漏、前期測試不充分、數(shù)據(jù)訪問權(quán)限設(shè)置不清晰、信息資產(chǎn)安全等級不明確以及信息資產(chǎn)沒有保護措施等情況。

        3.設(shè)備因素。這主要集中在物理安全方面,包括物理安全邊界不明確、非授權(quán)的物理訪問、設(shè)備或存儲介質(zhì)缺乏安全措施、設(shè)施設(shè)備的非授權(quán)使用或移動、鏈路傳輸?shù)男盘柋桓`取等。

        4.人員因素。人員是商業(yè)秘密防泄漏管理中最薄弱的環(huán)節(jié),但也是抵御信息安全威脅最強大的武器,從高層、中層到基層不同類別的人員對保密事故的影響不盡相同,在崗位設(shè)置上不相容職務分離是風險控制的關(guān)鍵。

        三、商業(yè)秘密泄露風險的系統(tǒng)管控工具:三維模型

        從對商業(yè)秘密的源頭管理、數(shù)據(jù)流管理和系統(tǒng)化設(shè)計三個方面著手,可以實現(xiàn)對商業(yè)秘密泄露風險的系統(tǒng)管控,實現(xiàn)商業(yè)秘密生產(chǎn)周期的各個階段在策略、設(shè)計以及運行等各個層面的安全保障。本文基于制度基礎(chǔ)、業(yè)務安全、技術(shù)防護三個維度,建立了商業(yè)秘密防泄漏風險管控工具:三維模型,如圖1所示。

        商業(yè)秘密的制度基礎(chǔ)包括實現(xiàn)業(yè)務安全的保密策略、保密組織體系、保密績效考核以及保密審計四個方面,包括管理政策、執(zhí)行規(guī)定和流程、具體規(guī)范和標準、信息安全記錄要求等內(nèi)容,健全的制度體系是技術(shù)手段、業(yè)務安全實施效果的重要保障;業(yè)務安全則應該從人力資源管理、技術(shù)秘密與經(jīng)營秘密的內(nèi)容保護、物理區(qū)域安全等方面實施管理;技術(shù)防范主要從網(wǎng)絡、終端、應用、權(quán)限四個方面進行安全管理,技術(shù)防范措施是實現(xiàn)業(yè)務安全的重要基礎(chǔ)。

        三維模型架構(gòu)下的商業(yè)秘密管理,可以實現(xiàn)從源頭上清理所有不合規(guī)的數(shù)據(jù)訪問權(quán)限,分配與崗位職責相對應的數(shù)據(jù)訪問權(quán)限;在數(shù)據(jù)的傳遞、使用、發(fā)布過程中,有全面的標準規(guī)范和流程制度保障數(shù)據(jù)安全,同時培養(yǎng)員工的數(shù)據(jù)安全意識;建立基于業(yè)務需求的、不斷完善的循環(huán)體系,實現(xiàn)數(shù)據(jù)安全保護管理的系統(tǒng)化、自動化。

        以下就商業(yè)秘密泄露管控的幾個重要方面進行闡述:

        (一)商業(yè)秘密管理的組織機構(gòu)建設(shè)

        建立商業(yè)秘密保護的組織機構(gòu),明確崗位職責是有效實施保密制度和措施的基礎(chǔ)。一般的,企業(yè)應該建立商業(yè)秘密保護領(lǐng)導責任制度,規(guī)定信息安全管理責任的最終問責機制;建立商業(yè)秘密管理組織制度,規(guī)定具體實施信息安全管理的組織架構(gòu)(例如保密委員會、保密辦公室)、職能、人員構(gòu)成、預算、匯報路線、崗位權(quán)責規(guī)范、核心工作機制等內(nèi)容。

        (二)商業(yè)秘密分級、分類保護

        商業(yè)秘密內(nèi)涵豐富,為了保證對之保護的效率和效果,企業(yè)要遵循“信息識別——信息分級——信息保護”的思路,把主要資源向高密級信息傾斜。企業(yè)要對涉密技術(shù)信息和經(jīng)營信息進行界定、評級,制定分類保護策略;對商業(yè)秘密的密級、期限、脫密等基礎(chǔ)性內(nèi)容進行界定;對于保密信息的全生命周期進行規(guī)范,包括采集、登記保管、安全、加密、發(fā)布、分發(fā)傳遞、打印、復制、查閱、外借、銷毀以及涉密會議等。

        (三)商業(yè)秘密保護的人力資源管理

        英國工商部聯(lián)合普華永道在英國進行的信息安全漏洞調(diào)查數(shù)據(jù)顯示:有80%的大規(guī)模企業(yè)(員工>250人)和42%的小規(guī)模企業(yè)(員工≤250人)認為信息安全事件與內(nèi)部人員有關(guān)。企業(yè)的信息資產(chǎn)都是通過人來管理和控制的,對人的管理實際是商業(yè)秘密保護中最重要,也是難度最大的工作。企業(yè)應對員工入職前、在職中、崗位變動或離職實行保密的生命周期管理,并且注重公司保密文化的養(yǎng)成。

        1.入職環(huán)節(jié)的涉密人員管理。人力資源部門應重視對候選人員的背景檢查,尤其當選用的職位涉及到對保密信息的訪問時,應按照相關(guān)法律法規(guī)、道德規(guī)范和對應的業(yè)務要求、被訪問信息的類別和察覺的風險來執(zhí)行背景驗證檢查,減少招聘風險。

        員工入職后,企業(yè)要和員工簽訂保密協(xié)議,這不僅是保護商業(yè)秘密的最好方法之一,也往往是執(zhí)法機關(guān)判斷保密措施是否合理的一項重要因素。企業(yè)與核心技術(shù)人員及高管人員還要簽訂競業(yè)禁止協(xié)議。需要強調(diào)的是,競業(yè)禁止只是對涉密人員擇業(yè)的一種限制,不能簡單地等同于保密義務。競業(yè)禁止期滿或被認定無效,只意味受限制人員不再受擇業(yè)方向限制,并不意味免除了保密義務。

        2.在職中的涉密人員管理。企業(yè)應識別公司重點涉密人員,進行重點監(jiān)控和員工信用等級評估,定期實施崗位輪換,對其保密狀態(tài)進行定期評估,建立定期約談機制。

        3.保密培訓。商業(yè)秘密保護要想取得實效,企業(yè)所有員工,上至高級管理層,下至普通職員都應該充分意識到信息安全對企業(yè)的重要性,對于不同的培訓對象,制定不同的教育和培訓類型,讓他們充分了解和遵守企業(yè)制定的安全策略、標準、規(guī)程和指導方針。

        4.保密文化。信息安全管理是一個自上而下的管理活動,是全員的責任,要求企業(yè)中的每一個人、每一個崗位、每一項工作都要關(guān)注信息安全,倡導建立基于信任與合作的、以人為本的信息安全文化,以此來提高員工信息安全意識,支配和規(guī)范員工的信息安全行為。

        5.崗位變動或離職。公司應明確規(guī)定需對轉(zhuǎn)崗或離任研發(fā)人員的涉密保護情況進行稽核檢查,應根據(jù)人員的崗位執(zhí)行適當?shù)纳婷茈x任審計;并由法務人員向離職員工出具離職后律師函。

        6.對外來人員的管理。企業(yè)商業(yè)秘密經(jīng)常涉及被許可人、供應商、客戶、制造商、銷售代理商,以及向公司提供產(chǎn)品或服務的建筑師、工程師、顧問、承包人、分包人等第三人。公司對外部單位或人員聘用之前,要對外部組織進行安全評估,簽署保密協(xié)議,進行保密培訓,對外來員工在企業(yè)工作期間的權(quán)限進行控制。

        (四)商業(yè)秘密的主要技術(shù)防護

        商業(yè)秘密保護與企業(yè)的信息化工作緊密結(jié)合,利用外部法律、內(nèi)控制度和信息技術(shù)手段系統(tǒng)化地推進[2]。網(wǎng)絡層是整個信息化的傳輸基礎(chǔ),網(wǎng)絡安全是信息安全防御的第一層,包括內(nèi)外網(wǎng)絡接口、內(nèi)部網(wǎng)絡安全域劃分。安全域劃分是把一個大規(guī)模復雜系統(tǒng)的安全問題,化解為更小區(qū)域的安全問題,是實現(xiàn)大規(guī)模復雜信息系統(tǒng)安全等級保護的有效方法。防火墻技術(shù)、入侵檢測系統(tǒng)(Intrusion Detection System,IDS) 則可以主動有效地檢測并攔截針對系統(tǒng)漏洞的各種攻擊,屏蔽各種木馬和病毒;另外,公司應統(tǒng)一規(guī)劃對路由器、交換機、防火墻等網(wǎng)絡設(shè)備的配置管理,并對網(wǎng)絡訪問進行準入控制。

        數(shù)據(jù)是安全技術(shù)的核心,數(shù)據(jù)可能是文件形式,也可能是郵件形式,數(shù)據(jù)的存放地可能在本機也可能在遠程服務器,企業(yè)在數(shù)據(jù)安全保護方面可以考慮實施以下技術(shù):

        1.虛擬桌面技術(shù)能夠在“云”中為用戶提供遠程的計算機桌面服務,實現(xiàn)公司重要涉密信息的集中管理。但是虛擬桌面系統(tǒng)不能解決員工通過郵件、即時通訊工具以及其他網(wǎng)絡傳播方式導致的研發(fā)信息泄漏問題,不能解決通過打印或者拍照等方式引發(fā)的信息泄漏問題,不能解決超級管理員賬號的管理問題,所以企業(yè)可以考慮同時部署數(shù)據(jù)防信息泄露(DLP)方案、實施文檔安全管理和數(shù)字水印技術(shù)產(chǎn)品,以及系統(tǒng)管理員管理平臺,等等。

        2.數(shù)據(jù)防泄露防護方案(DLP)

        數(shù)據(jù)泄露防護(Data Leakage Prevention,DLP)是通過一定的技術(shù)手段,防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)。數(shù)據(jù)防泄漏解決方案可以通過DLP來制定策略、檢測網(wǎng)絡流量、準確地檢測事件并能夠主動阻止不適當?shù)臄?shù)據(jù)傳輸。另外,DLP還可以幫助公司執(zhí)行某些政策來阻止包含機密數(shù)據(jù)的網(wǎng)絡傳輸以及制止向USB、iPod等驅(qū)動復制任何數(shù)據(jù),同時能夠自動化其他執(zhí)行行為,如通知發(fā)件人、對電子郵件路由加密等,以確保敏感數(shù)據(jù)沒有被暴露在文件系統(tǒng)中。總之,DLP可以實現(xiàn)“外部威脅防得住,敏感信息出不去,違規(guī)行為賴不掉”的管控效果。

        3.文檔安全管理。企業(yè)在上述商業(yè)秘密防護系統(tǒng)之外,可以并行實施文檔管理系統(tǒng)以實現(xiàn)對公司各種重要項目文檔的分發(fā)、保管、傳播等功能。成熟的文檔管理系統(tǒng)應該能夠?qū)崿F(xiàn)自動加密功能,只有裝有指定的保密終端的設(shè)備才能打開;同時具有控制打印次數(shù)、下載等功能,具有良好的權(quán)限控制功能。

        最后一個層面是終端安全管理,企業(yè)要求確保計算機終端都是安全的,而且符合安全策略定義的配置。企業(yè)可以考慮禁用guest(來賓)賬號,提高操作系統(tǒng)密碼復雜性要求,通過分權(quán)管理加強對管理員賬號的管控,部署專用服務器并定義策略進行補丁分發(fā),用戶桌面上配置DLP終端等措施加固終端安全。

        (五)保密審計

        保密審計主要是監(jiān)控來自網(wǎng)絡內(nèi)部和外部的用戶活動,發(fā)現(xiàn)系統(tǒng)或用戶行為中的入侵或異?,F(xiàn)象,檢測系統(tǒng)中現(xiàn)有和潛在的威脅,對安全活動的信息進行識別、記錄、存儲和分析。保密審計的內(nèi)容可以包括上網(wǎng)審計、郵件審計、操作日志審計、終端審計、USB審計、權(quán)限審計、文印審計、病毒審計、文檔審計、應用權(quán)限審計等。通過保密審計可以極大地加強公司的商業(yè)秘密防泄漏監(jiān)控能力和對事件的響應水平,提升公司的保密管理水平;及時發(fā)現(xiàn)內(nèi)部用戶的違規(guī)操作、用戶網(wǎng)絡中的異常、外部用戶竊取企業(yè)數(shù)據(jù)的企圖。

        四、WHHX商業(yè)秘密泄露風險管控實踐

        WHHX公司是中國唯一擁有MDI、ADI、IPDI制造技術(shù)知識產(chǎn)權(quán)的企業(yè),是全球產(chǎn)能最大、質(zhì)量最好、成本最低的MDI供應商。WHHX的涉密信息主要包括試驗記錄、工藝軟件包、PID與PFD圖、施工圖、生產(chǎn)準備文件、工藝操作說明等。公司對這些商業(yè)秘密,以及相應的涉密區(qū)域、涉密人員等進行安全等級劃分,實施不同等級的安全保護。

        組織架構(gòu)上,WHHX成立了“保密委員會”,下設(shè)制度流程梳理分委會、涉密人員管理分委會、信息化安全分委會、保密審計分委會、信息披露分委會、泄密事故調(diào)查分委會,明確界定了各分委會的成員組成以及工作職責,這些職責涵蓋了“商業(yè)秘密泄漏風險管控模型”中的三個維度十一個方面,覆蓋了研發(fā)體系、工程建設(shè)、生產(chǎn)體系、經(jīng)營信息、市場營銷五個領(lǐng)域的信息安全。其中,泄密事故調(diào)查分委會為非常設(shè)機構(gòu),如機密級以上資料出現(xiàn)泄密;或有重要涉密人員違反公司規(guī)定,造成商業(yè)秘密泄露;或出現(xiàn)核心人員離職,可能會對公司造成重大影響,由保密委員會臨時指派分委會主席。

        WHHX平衡成本與效率,遵循“適度安全”原則,建立了商業(yè)秘密泄露風險管控信息系統(tǒng),包括安全組織、安全流程、安全策略、安全工具、安全運維五個層次,涵蓋身份管理、數(shù)據(jù)安全、桌面安全、基礎(chǔ)設(shè)施保護、基礎(chǔ)設(shè)施管理、IT安全治理與合規(guī)六個部分。如圖2所示。

        “身份管理”負責管理用戶身份的生命周期以及身份與業(yè)務應用服務之間的關(guān)系,例如集中化的賬號管理、身份集中認證管理、集中授權(quán)管理等?!皵?shù)據(jù)安全”包括信息泄漏保護,數(shù)據(jù)權(quán)限管理,數(shù)據(jù)加密,郵件安全?!白烂姘踩睂崿F(xiàn)對終端計算機資產(chǎn)集中管理、遠程監(jiān)控、訪問管理和限制、可信軟件或補丁分發(fā);對于涉密等級比較高的員工,實施了無盤工作站?!盎A(chǔ)設(shè)施保護與管理”在ITIL(IT Infrastructure Library,信息技術(shù)基礎(chǔ)構(gòu)架庫)框架指導下,對終端、存儲、服務器、網(wǎng)絡進行系統(tǒng)架構(gòu)和管理。“IT安全治理與合規(guī)”基于遠程監(jiān)控、數(shù)據(jù)防泄漏系統(tǒng)、物理監(jiān)控系統(tǒng)、門禁系統(tǒng),以及身份管理、服務器、操作系統(tǒng)、數(shù)據(jù)庫等日志進行保密審計;基于公司各項保密制度進行合規(guī)性審計。

        【參考文獻】

        [1] 普華永道.全球信息安全現(xiàn)狀調(diào)研報告(2016)[R].2016.

        [2] 李小山.商業(yè)秘密保護與信息安全[J].中國信息安全,2014(3):102-104.

        亚洲熟女乱色一区二区三区| 精品国产一区二区三区香| 91免费国产| 绿帽人妻被插出白浆免费观看| 国产一区二区免费在线观看视频 | 99热免费观看| 国产精品麻豆成人av| 国产精品视频一区二区久久| 亚洲av毛片在线免费看| 不卡av电影在线| 少妇熟女视频一区二区三区| 男人j进女人p免费视频| 高清亚洲成av人片乱码色午夜| 日韩精品免费一区二区三区观看 | 丰满人妻熟妇乱又伦精品软件| 初高中生精品福利视频| 国产av普通话对白国语| 中文字幕乱码熟女人妻在线| 欧美成人精品午夜免费影视| 欧美人与动人物牲交免费观看| 国产精品久久久一本精品| 精品人妻av中文字幕乱| 日本在线 | 中文| 国产肥熟女视频一区二区三区| 亚洲日韩精品国产一区二区三区| 伊在人亚洲香蕉精品区麻豆| 91精品人妻一区二区三区水蜜桃| 国产免费又色又爽粗视频| 国产做a爱片久久毛片a片| 国产女奸网站在线观看| 亚洲乱码av一区二区蜜桃av| 无码熟妇人妻av影音先锋| 亚洲另类激情综合偷自拍图| 亲少妇摸少妇和少妇啪啪| 亚洲永久国产中文字幕| 国产国拍亚洲精品mv在线观看| 连续高潮喷水无码| 成人国产自拍在线播放| 国产精品网站91九色| 亚洲日韩精品无码专区网站| 国产精品视频牛仔裤一区|