⑴ 公司如何做好數據安全管理
導語:公司如何做好數據安全管理?信息安全策略是企業管理層解決信息安全問題最重要的部分。企業信息安全策略工作主要從兩方面進行,一是企業信息安全策略的制定,二是企業信息安全策略的貫徹、執行。制定安全策略的目的是保證網路安全,保護工作的整體性、計劃性及規范性。
1.建立健全信息安全制度體系
建立健全信息安全過程管理的制度、流程、標准體系,實行信息系統安全規劃、計劃、實施、運行、督查的全過程管控。對信息安全制度、標准進行滾動式修訂,持續夯實公司信息安全標准化管理基礎。
2.持續強化信息安全基礎管理
一是強化信息安全教育培訓,引入信息安全模擬培訓平台,將原有單次現場培訓調整為通過網路多次、周期化培訓,按季度、半年滾動進行,不斷強化和提高員工信息安全意識和行為規范;二是深化現有信息安全防禦體系建設,加強信息外網安全防護,對信息外網終端進行標准化管理,提高信息外網對DDos攻擊防護能力。推廣實施信息安全接入平台及安全終端、非法外聯監測系統、身份認證(RA)系統、文檔保護系統、統一漏洞補丁管理系統;三是推廣實施信息安全綜合治理體系,主要包括合規控制、風險控制、管理控制等方面;四是推進智能電網信息系統安全接入,按照國家電網公司統一堅強智能電網信息安全總體方案要求,研究重慶公司用電採集系統、輸電線路監測系統、倉庫管理系統和車輛管理系統的安全接入工作。
3.切實提高信息系統運行水平
一是按照電網安全生產和運行管理的要求強化信息系統運行管理,建立一套先進的信息調度運行體系。進一步將所有信息系統納入公司統一信息運行隊伍,嚴肅安全運行紀律,嚴格運維監控、運行維護、計劃檢修、故障通報處理等環節。二是開展運維操作標准化建設。制定信息系統運行《標准作業指導書》,實施標准化作業流程(SOP),對操作前、中、後三個環節執行嚴格管理。嚴格執行工作票制度,嚴格故障處理、升級和配置變更、投運與停運等操作流程的審批;通過安全審計系統對所有操作進行全程記錄,實現對運行操作從審批、執行到檢查、審核各主要環節的全過程管控。運行操作人員實行持證上崗操作制度,重要操作必須兩人在場,有人監護執行。加強運行現場工作的科學管理,規范運行操作標准,提高系統運維質量。三是加強三同步工作。確保信息安全措施與SG-ERP各業務建設的同步規劃、同步實施、同步投運,使信息系統全生命周期安全管理貫穿信息系統規劃、設計、實施、運維、廢棄五個階段,明確界定各涉及部門責任要求。建立信息系統安全評審制度,搭建應用系統項目管理平台,從安全管理、安全技術方面對信息系統進行安全管控。
4.深化信息安全督查工作
一是通過完善信息安全技術督查隊伍的裝備、工具,建設信息安全實驗室等手段逐步完善信息安全督查隊伍的硬體設施,提高技術檢查的准確性和精確度。二是貫徹全員參加、全員合格、全員保安全的宗旨,結合電監會和國網公司培訓、技術交流等形式,開展信息安全督查人員持證上崗培訓,提高信息安全督查隊員的業務技能,推動信息安全督查工作規范化、標准化,打造一流的.信息安全技術督查隊伍。三是建立督查掛牌消缺制度,加強督查發現問題的整改工作機制。深化日常、專項督查工作,開展信息安全高級督查。加強督查通報,建立公司督查標桿,推廣督查典型經驗。整合並擴充督查工具功能,搭建安全督查工作平台,通過安全督查專家分析,提高督查工作效率,規范督查工作。
5.大力培養信息系統運維人才
推廣運維隊伍持證上崗工作,拓展運維人員視野,適應信息技術日新月異發展的潛在要求,提升運維人員監測、響應和主動發現威脅的能力,新產品新技術掌控能力,新風險及時發現處置能力,建立一支高素質的信息運行維護人才隊伍,確保公司信息系統安全穩定可靠運行。
一、 客觀分析,正視問題,補缺補差
安全生產事故隱患,主要表現為生產經營活動中存在可能導致事故發生的物的危險狀態、人的不安全行為和管理上的缺陷。眾所周知,當前企業面臨的實際問題有:企業主體責任不落實,職工安全意識不高,專業人員缺乏,從業人員素質參差不齊且流動性大,建設項目基礎薄弱,安全投入嚴重不足等等。企業應嚴格對照安全生產標准化要求,實事求是,痛改前非,努力完善安全生產條件,提升企業安全生產水平。
二、 加大培訓力度,不拘泥於形式,強調實效
俗話說:“安全培訓不到位是最大的安全隱患”,修改後的《新安法》再一次強調企業必須對從業人員進行專門的安全生產教育和培訓,此次“安全生產月”,多地也將教育培訓重要性納入宣傳活動中。但實際工作中,很多企業,對於“教育培訓”流於形式,疲於應付,很難達到教育培訓目標。建議企業充分認識培訓重要性,不拘泥於形式,經常組織多種多樣,內容豐富,意義深刻的培訓,如藉助多媒體播放事故現場,並加以案例分析;帶領職工走出去參觀學習,請專家走進來“會診”隱患,現身說法。
三、 加大安全經費投入,監管促成效
作為一名安監工作者,在日常檢查中,常常發現許多企業幾乎沒有按照相關國家標准及行業規范給職工配置勞動防護用品,有的應付檢查,臨時從市場買來沒有任何標志的產品,有的甚至沒有防護品。企業財政支出中安全經費支出不明確,額度不夠,或是沒有該項等問題依然存在。安全經費是企業得以安全生產,創造更大經濟效益的保障,必須重視,絕對不容忽視,企業工會要加強監督,確保經費落到實處,有實效。
四、 嚴格獎懲,增強職工愛崗敬業責任心
完善安全生產制度建設,建立獎罰機制,目的在於獎勤罰賴、獎優罰劣。對那些提出重要建議,消除事故隱患、避免重大事故發生的,要給予獎勵。尤其對那些對認認真真、任勞任怨、在工地上正確履行安全生產監督、管理責任的專兼職安全員,要給予必要的激勵和獎勵,使他們在安全管理的崗位乾的更踏實、更有干勁。
1)建立信息安全督查工作常態化機制
在深入開展信息安全保障工作基礎上,成立了重慶市第一支企業化的信息安全督查隊,將信息安全督查工作常態化、固定化、流程化。制定了《重慶市電力公司信息安全督查管理辦法》,按照該管理辦法,公司先後開展了春節及兩會專項督查、供電公司信息安全督查、迎世博信息安全督查等多項工作。5月21日至22日,通過了國網公司督查組對重慶公司的信息安全專項督查並獲得良好評價。
2)開展信息安全反違章專項行動
為努力實現三個不發生基本安全目標,根治違章頑疾,消除事故隱患,全面提高信息系統可控、能控、在控水平,公司編印了《重慶市電力公司開展信息安全反違章專項活動方案》下發到公司各單位。通過開展信息安全反違章專項活動,組織全員學習《信息安全反事故基線措施》,進行信息安全宣傳教育;重點督查了信息安全八不準、隱患消缺機制落實等情況,並及時對公司郵件系統和應用系統發現的弱口令進行了整改。
3.加強應急演練和專項安全保障
1)組織應急演練
公司首次成功舉辦了由信通公司、江北供電局、楊家坪供電局和超高壓局參與的信息廣域網聯合應急演練。改變了廣域網故障排除以前大家各自為陣的局面,取而代之的是先進的遠程統一指揮協作。通過本次演練,為今後信息系統突發性故障遠程統一指揮、協同處置提供了新的模式。
2)保障迎峰度夏和世博會期間的信息安全
為確保迎峰度夏和世博會期間的網路與信息安全,公司開展了以下三方面的工作,一是完善信息系統應急處理機制。二是開展了安全區域、分區防護、終端安全接入等方面的劃分工作,強化業務應用系統與核心設備的綜合防護,加大互聯網出口和對外服務系統的安全巡檢與防惡意攻擊。三是強化運維值班制度,尤其是在重要、特殊時期的值班管理。
4.信息安全人才梯隊建設
1)舉辦公司首屆信息化技能競賽
在全公司組織開展了首屆信息化技能競賽。公司直屬單位、控股供電公司共計40家單位參加競賽。本次競賽的開展對建設信息化高技能人才隊伍、優秀信息運維隊伍、進一步提高全公司信息化建設水平具有重要意義。
2)開展新進大學生信息安全培訓
堅持從源頭抓信息安全教育,不斷創新信息安全教育培訓工作。每年對新進大學生開展信息安全知識培訓,使每位大學生在正式走上工作崗位前就深刻領會信息安全的重要性,敲響安全警鍾,牢固樹立信息安全意識,在今後的工作中嚴格遵守信息安全和保密相關規章制度。
(二)工作的突破和創新:信息安全標准化體系建設
參照ISO27001標准建立了公司信息安全標准化管理體系。已梳理原有11方面共計64個信息安全規章制度,新編了24個制度、修訂了20個制度,保證了公司信息安全管理體系的先進性和完整性。
⑵ 企業數據安全有哪些防範措施
數據防泄密方案主要是對數據進行加密。數據加密分為磁碟加密,透明加密和環境加密。
1、磁碟加密是最原始的加密方式,只需加密磁碟即可,但大大影響到了工作效率,目前這種模式的加密已經很少見了。
2、透明加密則是目前十分流行的加密方式,對員工的工作效率也沒什麼影響,比較適合文檔類的保護,但是對軟體開發的編譯和源代碼的保護有所限制,所以透明加密適用與文檔,圖紙方面。
3、環境加密是一種在磁碟加密的基礎上,再進行更深層次的加密方式,使用了沙盒原理,更加適用於源代碼開發,不影響軟體的編譯,且能對源碼在沙盒環境中做好保護。
個人推薦SDC沙盒,採用環境加密,不限制加密文件的類型和進程,適合於軟體開發公司和圖紙文件需求的公司。
⑶ 企業內部如何建立數據化管理
首先數據的採集和整合
我們面對的是大量積累的內部數據,不同階段的數據,數據質量參差不齊;同時,還有大量的外部數據,如何獲取如何使用,如何與內部數據整合發揮價值就非常重要。這裡面還有一個關鍵問題,就是數據使用的合法性問題,大數據行業魚龍混雜,非法買賣用戶數據的現象屢禁不止。中消協曾經發布過一個報告,在接受調查的100個APP中,有91個涉嫌過度收集個人信息。
頻繁發生的隱私風波也說明,當下對個人隱私的保護力度過於孱弱。我們務必釐清大數據使用與個人隱私的界限,在打通信息孤島和保護公民個人隱私之間,有明確的法律對其進行規范。在這里,我們作為大數據行業中的一名從業者,也呼籲社會盡快完成數據隱私立法,保護我們每個人的個人隱私,同時也讓數據的使用者能合法合規的試用數據。
第二個方面提升數據質量
就是針對大量的內外部數據,如何持續的提升數據質量。這就涉及到數據治理領域,通過技術手段來摸清數據的來龍去脈、前世今生,不斷的發現數據問題,規范數據標准,不斷改進不斷提升數據質量。
第三個方面挖掘數據價值
有了高質量的數據,那麼就要充分的挖掘數據價值,傳統的BI技術,結合人工智慧,實現更加自動化、智能化的數據分析和應用,以此來輔助決策。
第四個方面優化企業結構
就是如果應用上述成果,真正達到數字化轉型的目標,就是推進商業模式的創新,優化業務和管理。
目前的發展階段,大家比較重視的2個環節就是數據分析和數據治理。數據治理將為企業提供更全面更准確的數據,而數據分析將為企業的經營決策提供數據支撐,把數據變成信息、幫助企業把信息變成決策,把決策變成行動,把行動轉換成更高效業務操作,從而增加企業的競爭優勢。
⑷ 如何改善財務數據質量,提升信息披露合規准確度
建立科學、完整和行之有效的上市公司內部會計控制監督制度
建立、健全上市公司內部會計控制監督制度的目標應該是:保證公司財產安全與完整;控制有關數據的正確性與可靠性;保證會計資料真實完整;提高經營效率,防止舞弊,控制風險。要實現以上內部會計控制目標,光靠公司會計機構及會計人員的力量是不能完成的,還需要由單位負責人組織單位有關部門及相關人員參與內控制度的建立和貫徹執行。內控目標的實現涉及單位經營管理的方方面面,有空間、時效和職工管理意識濃淡等問題,因此在建立公司內控制度時,要具有前瞻性,要統觀時間與空間全局,通過在公司內部營造有利的控制環境,有效的會計系統和各種切合實際行之有效的控製程序,輔之以一定的控制手段如組織架構控制、授權批准控制、預算控制、實物控制、內部審計控制等,並將這些控制手段揉入到建立的各種經營管理的具體制度中,如固定資產的投資、采購、報廢處理制度:物質進出保管使用管理制度:產品的保管與出庫管理制度:現金收支與核算制度、費用報銷審批制度等,因為這些控制制度,都與會計資料的真實性和完整性密切相關。建立科學有效的內部會計控制制度,不僅能有效保證會計信息資料報露的真實和完整性,而且它也是建立現代企業制度的重要內容之一。
努力提高財會人員的職業素質和業務水平
無論做何種事情,人的因素始終是第一位的因素,上市公司的財務報告包括所有會計信息披露的內容和體現的方式都與廣大財務會計人員的思想行為和業務水準密切相關。要提高會計信息的披露質量,在對廣大財會人員的要求方面應從兩方面著手。第一,要在廣大財會人員中建立起一種普遍的職業道德觀念,一種為廣大投資者負責任的觀念,客觀真實地反映每一項經濟業務事項,在記錄反映經濟業務時,不受長官意志的約束任意改變應有的規則,按照朱基總理對廣大財會人員提出的「不做假帳"的要求行事,並以此作為自已的職業道德要求約束;第二,要不斷提高財會人員對業務范圍不斷拓展的實務操作水平。隨著國民經濟的發展和時代的進步,廣大財會人員面臨著「企業改制與會計改革"的雙重任務,多年來,我國依照「會計法——會計准則——會計制度——企業會計制度"的會計宏觀體制,已建立了較為完善的企業會計准則體系,二000年十二月二十九日財政部下發了《關於印發<企業會計制度>的通知》,二00一年的一月二十八日,財政部又制定了《企業會計准則——無形資產》等三項新准則和修訂了《企業會計准則——現金流量表》等五項准則。從專業角度觀察,企業會計制度的改革和完善與企業改制相輔相成,涉及面廣泛,內容豐富,尤其是關繫到公司財務、會計、審計、評估的重大理論與實務問題的深度和廣度是空前的,諸如:兼並與收購、公司重整、資產重組、債務重組、資產剝離(分離社會職能)、會計主體變更、權益歸屬(或轉移)界定(如住房公積金、公益金等)、資本缺位、虛資產、負資產、無形資產、或有事項處理、會計報表調整事項等等,一言以蔽之,在新舊轉換和會計改革中,廣大財會人員的專業理論和實務能力面臨新的挑戰和考驗,面對新的形勢,廣大財會人員自我要加強知識更新,緊跟時代步伐,努力提高業務能力和會計理論水平,以確保在從事會計實務操作時能准確應用規則,使會計報告披露的信息科學、可比、客觀和真實。
嚴格執行《會計准則》和《企業會計制度》
財政部於二000年十二月二十九日正式發布《企業會計制度》並於二00一年一月一日起暫在股份有限公司范圍內實施,這是我國會計界一件令人振奮的大事,加之各個單項《<會計准則》的陸續頒布,進一步完善了我國企業的會計核算制度,統一了會計核算標准,為更好的與國際會計准則相銜接邁出了實質性的大步,同時這也是切實提高會計信息質量的又一重大舉措。新的《企業會計制度》和《會計准則》與以往分行業的會計制度不同,它實現了會計標准實質上的轉換,所反映的會計要素具有可靠性,它強調企業經營的穩健性和資產的夯實,如規定對企業所擁有或控制的各項資產要求計提減值准備,對不符合資產定義的虛擬財產排除在資產負債表之外,對外提供的財務會計報告信息更加真實。它也在強調規范、便於操作方面前進了一大步,如《企業會計制度》從我國的實際情況出發,增加了交易或事項的描述以及相應的記錄和報告內容,對於實務工作中新出現以及分行業會計制度尚未規范的經濟業務,也作出了明確規定,如對借款費用資本化的條件與金額、融資租賃的確認和計量原則、土地使用權的會計處理等進行了詳盡的規定,解決了以往有些經濟事項無章可循的問題。另外更重要的是,《企業會計制度》和《會計准則》將實質重於形式明確為會計核算的基本原則,是處理具體事項或交易必須運用的原則,尤其在確認收入時,改變了以往的僅憑所有權或現金形式上的交付就確認為收入,而是按商品所有權的主要風險等實質性條件是否轉移來確認,這是保證會計信息質量的重要特徵之一。因此,嚴格執行《企業會計制度》和各項具體《會計准則》,可以有效地保證會計信息的披露質量。
建立和完善上市公司的獨立董事制度
前不久,中國證監會發布了《關於在上市公司建立獨立董事制度的指導意見》,意欲針對目前普遍存在的上市公司改制不徹底,運作不規范,法人治理結構存在缺陷的現狀進行整治。盡管在目前環境下筆者對獨立董事特權行使的有效程度存在少許疑慮,但在上市公司逐步建立獨立董事制度的目標、出發點和方向是無容置疑的。逐步在上市公司中建立和完善獨立董事制度,讓獨立董事有效履行法定的特權諸如上市公司的重大關聯交易應由獨立董事認可、可聘請中介機構出具獨立財務顧問報告、可在股東大會召開前公開向股東徵集投票權、對有關事項可發表獨立審計意見等。能在某種程度上完善公司的法人治理結構,監督和規范企業的投資決策和經營行為,讓廣大投資者更能多一些的享有對公司各項行為的知情權,與此同時,明確獨立董事所擔當的職能責任。從而更進一步使上市公司的信息披露工作在質量上多一份保證。
全面樹立「求實治虛——全面穩健"的企業經營理財理念
在會計核算上注重講求穩健性原則和腳踏實地地在經常性收益上下功夫的企業一般都具有良好的成長性和發展後勁,這類企業也往往是能夠讓投資者放心的長期投資選擇。作為上市公司的經營者,應該從公司的長遠利益出發,從企業「內部"挖掘價值源泉;通過建立合理的公司治理結構,培養有競爭力的員工和技術產品,開辟廣闊的業務領域和營銷渠道,樹立個性化的企業形象與企業文化來提升企業的價值,保持公司的長期盈利性。從主觀上徹底摒棄那種一心想通過華而不實的類似「泡沫重組"方式以取得非經常性收益的短期粉飾利潤行為,徹底走出近年來有些上市公司出現的「第一年績優,第二年績平,第三年績差,第四五年虧損,第六年ST,第七年PT"的宿命怪圈。上市公司必須要樹立由注重股票市場價格轉向最大限度追求企業經營性業績的理念上來,上市公司必須不斷積累經營性利潤,集中精力在轉變經營機制上下功夫,去努力建立適應市場經濟運行的法人治理結構,提高資金的流動性和盈利性,重品質、重實力、重服務,樹品牌形象,逐步提高經營水平和吸收新的經營理念,以長期戰略投資替代以粉飾利潤為目的的短期「帳面投資"。也只有這樣才能避免誤導和欺騙廣大投資者尤其是哪些因會計專業性強而對會計知識理解和掌握有一定難度的中小投資者,使會計信息質量更加趨於客觀真實,使之真正能成為廣大投資者在進行投資選擇時的客觀評判標准。
切實加強上市公司的外部監督審計和審計約束責任
要保證上市公司會計信息的披露質量,不僅要搞好公司內部的整治和規范,同時要加強和完善公司外部的治理結構,目前,公司外部的審計監督主要是靠會計師事務所對上市公司出具審計報告,但是就我國目前的社會現狀看,類似「瓊民源"「銀廣廈"等上市公司的造假事件,從一個側面反映了外部就目前而言對上市公司的監督和治理是否全部有效確實令廣大公眾投資者難以信賴。出現這種情況的原因主要是:會計師事務所及相關中介機構業務的限制和利益的趨使,中介機構自身的責任感不強和對項目責任人的要求不力,一言以蔽之,即在中介機構的規范操作方面存在著巨大的危機,與此同時,外部對中介機構的監督機制不完善,出現問題後處罰的力度不足以在普遍程度上對中介機構形成足夠的制約等等因素。要妥善解決上述問題,保證中介機構對上市公司的監督質量,首先中介機構自身要本著對廣大投資者負責的態度,不斷提高自已的職業道德素質和執業水平;其次作為中介機構的行為主管約束部門 (如財政部門、證管部門、行業協會等)要努力創造條件去能夠真正起到其應有的約束中介機構行為的職能作用;第三,如果一旦中介機構在履行自身職能時出現有違職業道德或失職行為的,作為管理約束部門,決不能姑息遷就,應加大處罰力度,通過外部監督機構的審計監督和加強外部中介監督機構的法律責任約束,以保證上市公司的會計信息披露質量。