企业信息安全的问题
企业信息安全的问题范文第1篇
【关键词】企业 网络信息 安全 问题 对策
引言:当前网络信息技术具有高效便捷等巨大优势,因此被广泛应用在企业内部当中,企业在网络信息技术的帮助和推动下也正在不断提高自身工作效率和工作质量,然而在网络信息技术为企业发展带来种种好处的同时,其本身存在的安全问题也逐渐成为社会各界关注的中心和焦点,特别是近几年有不少企业因为网络信息安全问题而造成了巨大的经济损失,这也是本文研究的目的所在。
一、现阶段企业网络信息安全存在的问题
1、安全漏洞。目前计算机技术还不能够确保每一种程序都是完美无缺,百分之百安全的,也就是说现阶段任何计算机操作系统或软件内都或多或少的存在安全漏洞,这也是现今计算机技术急需攻克的技术难题之一,由于企业网络信息自身存在安全漏洞,因此会有很多不法分子利用这一漏洞攻击企业网络,窃取企业内部重要的机密文件和数据信息,因此而给企业带来巨大的经济损失。
2、木马病毒。以木马病毒为首的计算机病毒是现阶段企业网络信息安全中现存的较大安全隐患之一,木马病毒通常会被编辑在电子邮件或是软件当中,用户在无意中点击或下载带有木马病毒的邮件与软件便会瞬间将木马病毒移植在计算机当中,而网络黑客正式利用木马病毒来操控用户的计算机,窃取用户的重要数据和隐私资料。
3、黑客攻击。网络黑客无处不在,可能是企业的竞争对手,也有可能是对企业心怀不满的员工,这些人对企业网络进行非法入侵或是恶意攻击,严重阻碍和影响企业利用网络进行正常的工作和商业活动,比如说在企业网络中植入木马病毒,窃取企业重要文件,或是恶意篡改、删除企业重要的数据资料等等,企业内部私密文件的安全性受到严重威胁,势必会影响企业正常生产运营工作。
4、管理失误。当前,维护企业网络信息安全主要是依靠人工维护方式,相关工作人员极有可能因为出现工作失误而给企业网络信息造成巨大的安全隐患,比如说工作人员没能及时发现计算机中的木马病毒,或是工作人员没有定期为计算机进行杀毒和安全扫描等等,这都为黑客和不法分子提供了可乘之机。
二、解决企业网络信息安全的具体对策
1、提高物理安全。企业想要提高内部网络信息的安全性,首先需要提高企业中所有计算机设备的物理安全。所谓的物理安全就是指确保计算机设备以及相关网络设施的实际安全,避免其因为自然灾害或其它人为操作失误而导致故障。另外,现在有很多不法分子利用搭线的方式截获企业网络信息数据,企业可以通过安装信号屏蔽器或是干扰器等装置减少内部电子信号的扩散,从而有效防止这一情况的发生。
2、访问控制手段。访问控制手段能够有效维护企业网络信息的安全,首先企业需要对每一位网络来访者的身份信息进行验证,使用者在访问企业网路之前需要主动提供自身的身份信息,譬如说用户名或是口令,待企业验证核实之后才能进行访问。企业也可以对用户进行权限设定,即企业内部网络只对授权人士开放,未授权人士无法进入企业网络。另外在企业网络信息当中还需要利用防火墙技术来提高其自身安全性,防火墙技术能够有效拦截和过滤可能会对企业网络造成安全隐患的信息和软件,并且对企业网络进行安全检测,从而有效保障企业网络信息安全。
3、采用数据加密。对于企业内部非常重要的信息数据需要采用数据加密的方式来提高其安全性,由于数据加密方法简单、步骤灵活,因此也被广泛运用在维护企业网络信息安全当中,事实证明数据加密法能够有效拦截恶意信息以及木马病毒的植入,同时从源头上切断不法分子想要利用线路窃听攻击企业内部网络的可能。
企业信息安全的问题范文第2篇
互联网和IT技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示,2005年5月至2006年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。
目前,许多企事业单位的业务依赖于信息系统安全运行,信息安全重要性日益凸显。信息已经成为各企事业单位中的重要资源,也是一种重要的"无形财富",分析当前的信息安全问题,有十五个典型的信息安全问题急需解决。
一、网络共享与恶意代码防控
网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。如果对恶意信息交换不加限制,将导致网络的QoS下降,甚至系统瘫痪不可用。
二、信息化建设超速与安全规范不协调
网络安全建设缺乏规范操作,常常采取"亡羊补牢"之策,导致信息安全共享难度递增,也留下安全隐患。
三、信息产品国外引进与安全自主控制
国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。目前,国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中,但是这些软件或多或少存在一些安全漏洞,使得恶意攻击者有机可乘。目前,我们国家的大型网络信息系统许多关键信息产品长期依赖于国外,一旦出现特殊情况,后果就不堪设想。
四、 IT产品单一性和大规模攻击问题
信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生,例如网络蠕虫、计算机病毒、"零日"攻击等安全事件。
五、 IT产品类型繁多和安全管理滞后矛盾
目前,信息系统部署了众多的IT产品,包括操作系统、数据库平台、应用系统。但是不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之间安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。
六、 IT系统复杂性和漏洞管理
多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。据SecurityFocus公司的漏洞统计数据表明,绝大部分操作系统存在安全漏洞。由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。1998年2月份,黑客利用Solar Sunrise漏洞入侵美国国防部网络,受害的计算机数超过500台,而攻击者只是采用了中等复杂工具。当前安全漏洞时刻威胁着网络信息系统的安全。
为了解决来自漏洞的攻击,一般通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。特别是,大型的信息系统,漏洞修补是一件极为困难的事。因为漏洞既要做到修补,又要能够保证在线系统正常运行。
七、网络攻击突发性和防范响应滞后
网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。以漏洞的传播及利用为例,攻击者往往先发现系统中存在的漏洞,然后开发出漏洞攻击工具,最后才是防守者提出漏洞安全对策。
八、口令安全设置和口令易记性难题
在一个网络系统中,每个网络服务或系统都要求不同的认证方式,用户需要记忆多个口令,据估算,用户平均至少需要四个口令,特别是系统管理员,需要记住的口令就更多,例如开机口令、系统进入口令、数据库口令、邮件口令、Telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住,因此,用户选择口令只好用简单的、重复使用的口令,以便于保管,这样一来攻击者只要猜测到某个用户的口令,就极有可能引发系列口令泄露事件。
九、远程移动办公和内网安全
随着网络普及,移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络,安全程度难以得到保证,如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员计算机又存在失窃或被非法使用的可能性。"既要使工作人员能方便地远程访问内部网,又要保证内部网络的安全。"就成了一个许多单位都面临的问题。
十、内外网络隔离安全和数据交换方便性
由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网的用户因为安全意识薄弱,可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全,有的安全专家建议,"内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。"但是,从目前网络应用来说,许多企业或机构都需要从外网采集数据,同时内网的数据也需要到外网上。因此,要想完全隔离开内外网并不太现实,网络安全必须既要解决内外网数据交换需求,又要能防止安全事件出现。
十一、业务快速发展与安全建设滞后
在信息化建设过程中,由于业务急需要开通,做法常常是"业务优先,安全靠边",使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是"亡羊补牢",出了安全事件后才去做。这种情况,在企业中表现得更为突出,市场环境的动态变化,使得业务需要不断地更新,业务变化超过了现有安全保障能力。
十二、网络资源健康应用与管理手段提升
复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在一些企业单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、色情网站,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。但是,传统管理手段难以适应虚拟世界,网络资源管理手段必须改进,要求能做到"可信、可靠、可视、可控"。
十三、信息系统用户安全意识差和安全整体提高困难
目前,普遍存在"重产品、轻服务,重技术、轻管理,重业务、轻安全"的思想,"安全就是安装防火墙,安全就是安装杀毒软件",人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如下:
用户选取弱口令,使得攻击者可以从远程直接控制主机;
用户开放过多网络服务,例如,网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接"ping"内部网主机,允许建立空连接;
用户随意安装有漏洞的软件包;
用户直接利用厂家缺省配置;
用户泄漏网络安全敏感信息,如DNS服务配置信息。
十四、安全岗位设置和安全管理策略实施难题
根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是"一肩挑"。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。
企业信息安全的问题范文第3篇
电力信息的迅猛发展使得电力系统及数据信息网络迎来了前所未有的挑战。本文分析研究了网络系统信息安全存在的问题,全面规划了网络安全系统,提出了合理有效的安全措施、方法,大大提升了电力企业信息网络安全工作的效率。
一、网络系统信息安全存在问题分析
(一)计算机及信息网络安全意识不强
由于计算机信息技术高速发展,计算机信息安全策略和技术也有大的进展。设计院各种计算机应用对信息安全的认识离实际需要差距较大,对新出现的信息安全问题认识不足。
(二)缺乏统一的信息安全管理规范
设计院虽然对计算机安全一直非常重视,但由于各种原因目前还没有一套统一、完善的能够指导整个院计算机及信息网络系统安全运行的管理规范。
(三)缺乏适应电力行业特点的计算机信息安全体系
近几年来计算机在整个电力行业的生产、经营、管理等方面应用越来越广,但在计算机安全策略、安全技术和安全措施上投入较少。为保证网络系统安全、稳定、高效运行,应建立一套结合电力行业计算机应用特点的计算机信息安全体系。
(四)缺乏预防各种外部安全攻击的措施
计算机网络化使过去孤立的个人电脑在联成局域网后,面临巨大的外部安全攻击。局域网较早的计算机系统是NOVELL网.并没有同外界连接。计算机安全只是防止意外破坏或者内部人员的安全控制就可以了,但现在要面对国际互联网上各种安全攻击,如网络病毒和电脑“黑客”等。
二、保证网络系统信息安全的对策
(一)建立信息安全体系结构框架
实现网络系统信息安全.首要的问题是时时跟踪分析国内外相关领域信息安全技术的发展和应用情况,及时掌握国际电力工业信息安全技术应用发展动向。结合我国电力工业的特点和企业计算机及信息网络技术应用的实际,建立网络系统信息安全体系一的总体结构框架和基本结构。完善网络系统信息安全体系标准以指导规范网络系统信息安全体系建设工作。
按信息安全对网络系统安全稳定运行、生产经营和管理及企业发展所造成的危害程度,确定计算机应用系统的安全等级,制定网络系统信息安全控制策略.建立适应电力企业发展的网络系统信息安全体系,利用现代网络及信息安全最新技术,研究故障诊断、处理及系统优化管理措施。在不同条件下提供信息安全防范措施。
(二)建立网络系统信息安全身份认证体系
CA即证书授权。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。为保证网络系统信息一和安全.应建立企业的CA机构对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间,上下级CA机构之间与其他需要CA机构之间的交叉认证的技术研究工作。
(三)建立数据备份中心
数据备份及灾难恢复是信息安全的重要组成部分。理想的备份系统应该是全方位、多层次的。硬件系统备份是用来防止硬件系统故障,使用网络存储备份系统和硬件容错相结合的方式。可用来防止软件故障或人为误操作造成的数据逻辑损坏。这种对系统的多重保护措施不仅能防止物理损坏还能有效地防止逻辑损坏。结合电力行业计算机应用的特点,选择合理的备份设备和备份系统.在企业建立数据备份中心,根据其应用的特点,制定相应的备份策略。
(四)建立网络级计算机病毒防范体系
计算机病毒是一种进行自我复制、广泛传染,对计算机程序及其数据进行严重破坏的病毒,具有隐蔽性与随机性,使用户防不胜防。设计院信息网络系统采取在现有网络防病毒体系基础上.加强对各个可能被计算机病毒侵入的环节进行病毒防火墙的控制,在计算中心建立计算机病毒管理中心,按其信息网络管辖范围,分级进行防范计算机病毒的统一管理。在计算机病毒预防、检测和病毒定义码的分发等环节建立较完善的技术等级和管理制度。
(五)建立网络系统信息安全监测中心
计算机信息系统出现故障或遭受外来攻击造成的损失.绝大多数是由于系统运行管理和维护、系统配置等方面存在缺陷和漏洞,使系统抗干扰能力较差所致。信息安全监测系统可模仿各种黑客的攻击方法不断测试信息网络安全漏洞并可将测出的安全漏洞按照危害程度列表。根据列表完善系统配置,消除漏洞并可实现实时网络违规、入侵识别和响应。它在敏感数据的网络上.实时截获网络数据流,当发现网络违规模式和未授权网络访问时,自动根据制定的安全策略作出相应的反映.如实时报警、事件登录、自动截断数据通讯等。利用网络扫描器在网络层扫描各种设备来发现安全漏洞.消除网络层可能存在的各类隐患。
(六)建立完备信息网络系统监控中心
企业信息安全的问题范文第4篇
【关键词】社会责任;信息披露;食品安全
近几年来,食品安全已经成为社会各界热议的焦点,食品安全直接影响着人民群众的生命健康,关系到我国的社会稳定和经济的发展。人们恐慌之余,也试图寻找导致这些恶性事件的起因,最终企业社会责任缺失被认为是重要的原因。要想强化企业的社会责任,不仅仅是依靠企业自律能够完成的,最有效的办法,就是推进企业的相关信息披露,只有企业的相关信息透明化,才能让其利益相关者信任企业,让企业的行为受到制约,让企业权衡自身利益与社会效益之间的比重时,倾向社会效益的实现。
1.企业社会责任信息披露概述
1.1 企业社会责任含义和社会责任信息披露的内容
社会责任是指个体或组织对于社会公众应当承担的责任,即:个体或组织的经营和管理模式应以促进社会发展为己任,在实现个体或组织本身利益最大化的同时,还应承担实现个体或组织以外共同利益的社会义务。企业作为促进社会经济发展的最为活跃的社会主体,也应该在获取更多经济效益之余,兼顾其他社会群体利益的保护。
我国对企业的社会责任的关注是从近二十几年才开始,上世纪八十年代末期,《有关企业面向政府上报环境基本情况的规定》要求“企业必须定期向政府部门披露企业环境维护与保护情况”。《规定》的颁布开启了我国对企业社会责任信息披露这一课题的研究,此后,社会各界就一边借鉴西方的成功经验,一边探索适合中国国情的企业社会责任信息披露体制。
对企业所披露社会责任的内容,深圳证券交易所的《上市公司社会责任指引》认为企业社会责任信息包括以下方面:国家与社会、自然环境与资源、股东、债权人与供应商、职工、客户与消费者、社区等,这种划分符合我国社会经济发展实际情况,可以按此标准来分析企业履行社会责任情况。
1.2 企业社会责任信息披露的意义
1.2.1 经济全球化的要求
一些发达国家的企业社会责任信息披露体制已经较为完善,为了增强我国企业在国际上的商业地位,促进贸易全球化的进程,必须与世界标准看齐,企业在实现利润最大化的基础上,应多加考虑社会责任的承担,只有把公众的利益放在重要的地位,才能使企业在激烈的竞争中立于不败之地。
1.2.2 获取公众信任的主要途径
企业生产经营活动受到社会各界的支持,获取利益相关者的信任是企业获取支持的第一步。企业只有及时、准确的披露相关社会责任信息,让利益相关者信任企业,推动企业的可持续发展,以此树立企业的社会地位。
1.2.3 构建稳定社会的要求
企业社会责任信息披露的内容多是有关社会资源利用、人力资源保障、自然环境保护、产品与服务安全等的信息,每一环节出现问题都会造成社会的不安定,其中关系食品安全的社会责任信息尤其备受关注。因此,企业必须做到履行社会责任并及时对外披露,消除企业与公众之间的隔阂。
1.3 我国食品安全现状及相关信息披露规范
随着近几年“速生鸡”、“三聚氰胺”、“毒胶囊”等恶性事件的频频发生,食品安全状况堪忧,一些恶性事件不断挑战着我们的底线,涉及的范围越来越大,对每一个社会公众的伤害也是史无前例的。人们不禁反思我国对食品安全的监管和企业自身的社会责任意识,社会信用缺失也是导致食品安全问题的重要因素。
我国社会责任信息披露相关的法律、法规不是很完善,在各类规范性文件中,最有代表性的文件有以下2部:
2008年5月的《上海证券交易所上市公司环境信息披露指引》提到,上市公司可以视自身经营状况决定所披露的社会责任信息的内容。
2009年12月中国社会科学院的《中国企业社会责任报告编制指南》将社会责任信息披露的主体范围扩大到所有企业,首次全面阐述了我国企业所应履行的社会责任。
由于相关法规中涉及食品安全的内容不够具体,也没有强制要求企业进行披露,企业在关于食品安全的社会责任信息披露中仍然避重就轻,没有受到应有的约束,从而引发相应的食品安全问题。
2.有关食品安全信息披露中存在的问题
一系列食品安全问题的发生暴露出中国社会责任会计信息披露中的问题:
2.1 政府层面
2.1.1 企业社会责任相关法律制度不健全
我国企业社会责任相关的具体内容主要分散在《公司法》,《合同法》、《消费者权益保护法》、《产品质量法》等诸多法律法规之中,而从目前的制度规定来看,证监会、证交所、国资委和财政部在企业社会责任信息披露上所作的规定,只要求企业披露相关信息,但对于计量标准、披露形式、披露的具体内容、信息审验等并未进行强制性规定。
2.1.2 政府管理工作多头牵动,对企业社会责任的监控不足
我国长期以来对食品实行多部门联合监管,一方面形成了各监管机构间职能范围交叉重复的现象。另一方面还可能因监管机构间的协调沟通而出现“监管真空”使不法分子有机可乘。而且政府对企业管理以事后处理为重点,缺乏事前预警。
2.1.3 物质基础薄弱,制约了社会责任信息的采集能力
我国食品安全管理缺乏专门的权威的检验机构,关键检测技术和设备落后,检测能力和范围有限。缺乏接受消费者信息反馈和投诉的专职机构和信息反馈机制,不利于管理工作的改进。
2.2 企业层面
企业的社会责任意识淡薄
传统会计目标的局限导致了企业自身的社会责任意识淡薄。企业只追求最大的经济利润,而无视企业应承担的社会责任。
2.2.1 企业披露社会责任信息质量低
企业披露的社会责任信息内容不充分,大多只是披露其已经履行的社会责任,基本都是对社会所作的贡献,而给社会带来的损失却基本未提,涉及食品安全的内容更加无从谈起。
2.2.2 企业社会责任信息披露标准不统一
企业的社会责任信息披露不规范,主要以定性披露为主,缺少数据量化信息致使报告使用者不能充分了解企业在这一领域的缺点与不足。
2.3 社会层面
2.3.1 企业社会责任报告尚无独立第三方审验
目前我国还没有强制要求企业披露社会责任信息,也没有对社会责任报告进行审验。这些未经任何审验的社会责任报告缺乏一定的可信度和公众认可度,而且也使得企业有机会夸大事实情况,影响社会责任信息披露的质量和效果。
2.3.2 消费者对食品安全信息反应缺乏理性,阻碍了企业的信息供给
我国消费者食品安全常识匮乏和安全意识缺失,对负面信息反应缺乏理性,反应过于强烈。在许多重大食品安全问题的披露上,我国政府既要考虑经济政治的影响,也要考虑公众的承受能力,这种两难境地使其态度往往落后于媒体的披露,结果造成公众的恐慌和质疑,公众对权威信息需求的呼声也越来越高。
3.企业食品安全社会责任信息披露对策
3.1 政府层面
健全企业社会责任相关法律制度。政府应因地制宜地充分发挥引导作用,倡导企业积极履责并披露相关社会责任信息,制定社会责任信息披露准则以逐步规范披露方式,并最终通过立法使社会责任信息披露形成统一的法律规范。
3.1.1 加强政府监管
政府是社会责任信息披露监管的主导力量。首先,必须赋予监管者独立而充分的监管权利,构建权威而强有力的监督管理机构。其次,规定监管者明确而严格的法律责任,以便保证监管权力的正确行使和监管义务的及时履行。
3.1.2 加强信息披露的物质基础建设,提高信息采集能力
应推行食品安全信息可追溯制度,对食品生产、流通、消费、服务等过程全程监管,在此基础上实现对经营责任和社会责任的追溯。实施食品可追溯制度,一是要将可追溯作为一项制度确立下来,细化不同食品追溯内容和范围;二是加强追溯技术的开发应用,如二维码标识、计算机视觉技术等。
3.2 企业层面
3.2.1 企业应深化对社会责任信息披露的认识
企业应充分意识到披露社会责任信息的必要性和紧迫性,增强社会责任意识,培养企业和企业会计人员的自愿披露习惯。应将社会责任理念纳入企业的文化体系,尝试在董事会下设置专门的社会责任管理职能部门,在企业内部建立覆盖各经营单位、各职能部门的社会责任管理组织网络。企业应将社会责任作为其生产经营活动的必要组成部分,在生产经营的各个环节履行其社会责任。可以将信息披露工作前移,推动现有的以事后总结为主的社会责任信息披露模式向事中跟进乃至事前规划的模式发展。
3.2.2 企业应进一步提升社会责任信息披露的质量
企业社会责任信息披露的内容应该与利益相关者的要求和期望密切相关,披露的内容也要完整可靠。利益相关者的需求是企业披露社会责任信息的最根本动因。因此,要完善中国企业社会责任信息披露,就要注重企业与各方利益相关者的沟通,使相关信息的披露真实反映其诉求,并以利益相关者的关注为标准区分信息披露中的详略主次,从而使企业社会责任信息披露更具针对性和有效性。
3.2.3 统一企业社会责任信息披露标准
企业社会责任信息披露应该具有规范性的特征,披露范围、披露重点等都应该有明确规范。建立和健全社会责任考核的指标体系,使企业自身纵向可比和不同企业间横向可比得以实现,相关数据和指标还应该具有可验证性,从而使企业能够接受利益相关者的监督。编制独立的社会责任报告,集中反映企业的社会责任的履行情况。如果可以确认和进行数据计量,用定量的数据来反映,而对于一些无法进行会计计量的,但又是至关重要的社会责任项目,可以用文字表述的方法进行披露。
3.3 社会层面
3.3.1 第三方审验介入企业社会责任信息披露管理体制
企业社会责任信息披露需要客观第三方的独立审验作为其可靠性的重要保障。第三方审验工作的重点应放在其真实性、正确性与客观性的验证上,确保社会责任信息的真实可信,从而满足各利益相关者对社会责任信息的需要。为保证审验的质量,从事审验工作的人员不仅要具备财务会计和审计知识与技能,还必须具备社会责任政策法规、社会学和社会福利经济学,生产经营与社会责任关系等诸多方面的知识和技能。例如,北京大学可持续发展与社会责任报告研究中心从事为企业社会责任报告提供相关的验证服务工作。今后应大力推进独立的第三方审验。
3.3.2 加强消费者教育,提高消费者素质
开展消费者关于安全食品常识、安全消费观念、安全消费技术、安全消费习惯等方面的教育,强化对消费者行为的引导,使消费者成为清醒、明白的消费者,提高消费技能,能在市场上做出明智的选择。培养消费者对自己权利和所承担责任、义务的认识,提高消费者的素质,增强自我保护的意识。
参考文献
[1]余梅芳.论食品企业推行社会责任会计的必要性和相关措施[J].中国乡镇企业会计,2012,6:117-119.
企业信息安全的问题范文第5篇
1当前企业信息化建设中的信息安全问题
1.1信息安全管理问题
目前企业的信息安全管理上存在的问题,首先,信息管理人员缺乏或者人员经验不足:计算机信息安全很大程度上取决于管理人才,调查显示,我国七成IT企业信息安全系统保障不足,主要原因是管理人员没有及时更新系统补丁程序、没有及时维护系统。企业信息安全是上不断完善的动态过程,需要不断对现有系统进行安全检查、评估,及时发现新的问题,跟踪最新安全技术,及时调整安全策略,增强企业信息安全性。其次,在企业的信息化建设中信息安全管理系统不完善,信息安全管理系统,如果没有一个很好的保障体系,会使得信息的管理错乱,无秩序,重复管理、漏管等现象发生,使得信息系统出现漏洞,安全性降低。最后,安全以人为本,如果管理不善,人为原因,造成的操作失误,误用或滥用关键、敏感数据或资源等导致信息丢失泄露,外部人员和硬件的商家等对于企业的系统有一定的了解,有权限合法访问,这也会造成信息的安全问题。
1.2信息化建设中的硬件问题
近年来,由于信息化发展较快,企业信息化建设的成本也在不断提高,由于信息化建设投资大、回报慢,一些企业虽然有信息化建设的意愿,但是在实际投入上比较小,这就使得企业信息化建设过程中,企业的硬件设施跟不上时代的不发,导致企业信息化建设止步不前,计算机硬件设施的老化,对企业信息化建设过程中的安全问题存在这一定的隐患,而且,计算机的硬件决定着信息化建设的稳定性。另外在链路传输、网络设备(路由器、交换机、防火墙、通讯线路故障)等以及物量的一些不可抗力造成的地震、水灾、火灾等环境事故使系统毁灰。
1.3信息化建设中的软件问题
(1)国内的软件水平与世界先进水平还存在较大的差距,更容易受到黑客和病毒的攻击。这样就会造成使用这些软件的企业信息化建设中存在信息安全问题。
(2)配置中存在的问题,很多的系统和应用软件在初装后会使用默认的用户名和口令以及开放的端口,而这些都容易造成信息的泄露。
(3)Web服务中的安全问题,www体系的主要特点是开放、共享、交互,这使得信息安全问题增加,安全漏洞多样,如果服务器的保密信息被窃取,信息系统就会受到攻击,获取Web主机信息,使机器暂时不能使用,使机器暂时不能使用,服务器和客户端之间的信息被监听等。
(4)路由器信息的不安全行为,路由器简单的密码或共享密码、安全功能没有设置会导致信息的泄露。
2企业信息化建设中信息安全的对策
信息安全是企业信息化建设中的重要问题,只有保证信息的安全才能使企业在信息化建设中走得更远。企业在信息化建设进行信息安全的建设,主要可以从强化信息安全观念、加强硬件建设安全防护、提升软件建设安全措施三个方面进行。
2.1强化信息安全观念
在企业信息化建设中,一旦企业信息被盗取或丢失,对企业肯定会造成损失甚至是致命的打击。要从企业的基层员工到管理者都要正确认识信息安全的重要性,强化信息安全的观念,提高信息安全意识,从思想上认识提高信息安全的必要性。
2.2加强硬件建设安全防护
加强企业信息化建设过程中的硬件建设安全,首先要保证计算机的安全。企业的信息化建设离不开计算机,要保证计算机的安全就要对计算机进行定期的维护与保养,避免计算机在运行过程中出现突发性故障而导致企业信息的丢失。
另外,企业的信息化建设中,要加强网络硬件的建设。目前,市场上应用比较广泛的企业网络协议就是TCP/IP协议,硬件组成有服务器、通信设备、网络安全设备,主要应用技术是网络交换、网络管理、WEB数据库技术、防火墙等技术,同时还有支持网络运行的支撑系统,整个硬件建设安全、稳定、可靠。
2.3提升软件建设安全措施
要解决企业信息化建设过程中的信息安全问题还需要加强企业信息系统的软件安全防御措施,要采用高性能的安全软件对系统进行防护,使用防护软件要使其发挥其价值所在,不要因小失大。目前,大多数企业的软件防护措施不到位,主要原因就在于软件防护措施不到位,例如企业在公共区域设置无密码的无线路由器,等于是向所有人公开企业的信息,安全无法保证。因此,企业在信息化建设过程中有必要采取高性能的安全防护软件来保证信息的安全。
3小结
