信息安全策略报告
信息安全策略报告范文第1篇
【关键词】网络管理 关联分析 数据采集
【中图分类号】TP393.08【文献标识码】A【文章编号】1672-5158(2013)02-0441-01
1、引言
随着企业信息化建设的快速发展,计算机网络的规模和复杂性也迅速增长,越来越多的业务依赖于网络来完成,任何网络或服务中断甚至性能下降都将对业务造成严重影响,网络管理已成为网络建设的关键。
2、网管系统现状及趋势
由于企业地域广、用户多、网络结构复杂等特点,网管人员需要管理不同厂家不同型号的网络设备多达数千台。当网络出现设备故障或安全事件时,各种日志和警告让网管人员应接不暇。传统的网络管理系统,基本上是对网络设备或安全设备进行管理,提供基础的网络拓扑、性能、故障以及配套管理等功能,仅能满足网络管理的基本需求,对于网络出现的瓶颈、系统出现的故障不能及时发现诊断,不能及时对网络应用高峰期带宽占用等进行动态调整,这些已不能满足信息化建设对网络管理的需求。
随着网络技术的发展,网络开始提供数据、语音和视频等多种网络业务应用,这些应用不仅要有稳定可靠的网络设备传输保证质量,同时还要进行深度应用管理。网络管理已逐步丰富发展为包括网络基础管理、流量分析、用户认证管理等全系统、多方位的IT管理架构,将各部分深度融合,使各个模块能够互相协调配合,达到统一面向业务的目的。
3、企业网智能管理方案
针对企业信息化建设中各项业务应用情况和网络安全管理需求,结合网管系统的发展趋势,我们设计了企业网智能管理系统。该系统将从大量的网络设备安全设备和现有网络管理软件中采集数据、流量、用户日志等运营信息和网络攻击等安全事件信息:将各种信息关联、过滤、汇总、存储到数据库中,生成相应的报表、警告信息和处理建议;系统参考网络管理专家库数据,结合本地网络管理经验智能生成安全策略;迅速将安全策略下发到相关设备,动态策略部署。
在网络攻击发生时,智能管理系统可迅速判断攻击源,及时处理攻击事件,将危害降到最小,并为管理员生成事件报告备查。
该系统主要功能实现方案如下:
3.1 事件采集
从企业网众多网络设备、安全设备和现有网络管理系统中采集数据、设备日志和安全信息,对采集的数据进行过滤和聚合,并将数据存储在数据库。(可采用SQL SEVER数据库作为数据支撑平台。通过基于web方式的图形化管理界面,以XML标准格式进行数据传输。)
事件采集难度较大。对于现有管理系统,可通过分析数据库直接读取或开发接口软件读取;对于一些非主流的产品设备兼容难度大,可采用分析设备MIB库数据信息,或由厂家提供数据接口协议的方式采集所需数据。对于数据流,传统采集方式利用SNMP协议采集比较粗糙,不能区分网络层不同类型数据流量的分布状况,也无法对进出的流量进行流量分析。系统采用“流分析”的方法,路由器/交换机对通过的IP数据包进行统计、分析、上传,并由智能管理中心合并处理后存入数据库。采用记录定义源、目的节点间的一系列单方向的数据包来标识一个流,通过分析,可以让管理员了解什么应用正占用带宽,谁、什么时间正大量的使用网络资源。
3.2 告警事件关联分析
当网络中发生安全事件时,相关的网络设备和安全设备都会产生大量的事件告警,这些事件上传到安全事件管理系统,会形成海量告警记录,难以迅速准确的定位真正需处理设备。本系统将各设备的事件信息通过汇总、过滤、统计和关联分析,有效压缩海量网络告警,去除冗余信息,为管理人员提供实用、精简的网络设备信息、用户行为审计报告和流量统计分析报告、网络安全状况报告与审计报告,并提供修复建议,允许用户添加本地化的维护经验。
对于网络中占用带宽较多的多媒体流数据,应用netflow、dataflow等流量信息统计和分析功能,及时了解各种网络应用占用的网络带宽资源情况。帮助网络管理员及时发现网络瓶颈,并提供丰富的网络流量分析报表。
3.3 智能策略定制
系统根据数据关联分析结果,参考网络管理专家库数据,并结合本地化网络管理经验,智能生成安全策略。针对企业网络的实际应用情况,安全策略可包括防火墙安全策略、ACL策略方案、QoS策略以及设备端口智能动态关闭等。
3.4 动态策略部署
根据智能生成的安全策略,使用SNMP协议与网络设备和安全设备紧密联动,快速智能控制设备。实现业务的端到端管理,由流程来指导管理工作。
3.5 分级网络管理
系统可根据不同级别的用户分管不同的设备或某个网络的设备,定制各自设备的安全策略,从而实现一套网络管理软件各级网管人员共享的分级网络管理模式。每级管理系统负责本区域内所有设备的监控和维护,在区域一级进行统计分析和管理,及时发现区域内设备的问题和性能瓶颈,为上级管理系统提供数据和管理支持。
通过分级管理,建立其区域化、层次化的管理体制,分散大规模网络的管理压力,突破单网管站点的资源管理能力和性能压力。
4、结论
网络设备和安全设备的事件发现、策略制订和部署传统上是各自独立,当出现故障后,不能及时判断处理。智能管理系统采用了先进的架构、统一的平台,将各功能模块化,能够根据不同业务流程的要求按需配置,并能随技术的发展新增功能模块。系统与主流厂家网络设备和安全设备联动,实现安全策略的下发和执行情况的迅速反馈。该系统具有以下几个方面的特性:
(1)开放化。智能管理系统采用了开放式的管理平台,易于实现与其他业务管理系统结合。
(2)构件化。功能模块组件化,能够按照不同的业务流程的要求进行按需组合。
(3)智能化。具有全网关键信息收集和分析的功能,并结合不同业务的要求,进行全面的分析和联动处理。
信息安全策略报告范文第2篇
关键词 电子政务 信息安全 信息安全策略 信息安全管理
中图分类号:C931 文献标识码:A
美国的“电子政务战略”对引领全美电子政务健康、快速发展起到了重要而又积极的作用。至今为止,美国的“电子政务战略”仍然作为其电子政务发展的基本纲领,继续驱动着美国电子政务前进的车轮。但作为全球最先进的电子政务国家,其电子政务信息安全问题一直是其电子政务战略的重点。分析研究美国的电子政务信息安全策略,可以对我国的电子政务信息安全发展有很好的借鉴和启示。
1美国电子政务在发展过程中使用过的策略
整体而言,美国电子政务发展过程中使用过的基本策略,依据战略实施类别分类,具体如下:
美国的电子政务战略表明,改造“联邦政府机构体系结构”是实现其总体目标的关键,实施电子政务的实质是促进政府改革、提高政务效率、改善服务质量、完善职能、降低成本。因为在电子政务这个概念中,“电子”只是工具,“政务”才是目标。
按阶段性划分,美国在电子政务战略的具体实施方面,采取由简单到复杂,分阶段实施的策略。可将电子政务划分为四个阶段来实施,第一个阶段为初始阶段,主要提供一般的网上信息、简单的事务处理,所采用技术的复杂程度也比较有限;第二阶段是进一步发展门户网站和更复杂的事务处理,实现初步的业务协作,技术复杂程度也逐步提高;第三阶段重点是实现政府业务的重组,建立集成业务服务系统以及复杂的技术体系;第四阶段是建立具有适应能力的政务处理系统,实现政府与企业、公民的交互式业务交流与服务。
2电子政务系统的主要内容
2.1美国电子政务的基本特点:
第一,政务公开;政府领导人的重要活动及演讲,政府犯罪的最新动态,民众到政府办理注册,登记等事项的有关信息,与政府工作相关的研究、支持机构的有关信息等趋于公开化;
第二,网上服务,有统一窗口,一站式,24小时,自助式等特点;
第三,资源共享,例如纽约市政府将地理信息系统用于市民提供地理环境信息查询,市民只需键入自己的家庭地址,即可在地图上清楚地了解到周围政府部门、医院、学校等与市民生活相关的各种公共服务机构的信息;
第四,办公电子化,机关内部的办公事务主要是依靠电子邮件来传递信息;
第五,提供安全保障。美国政府部门内部办公都建有专门的内网,内网与外网-互联网之间有严密的隔离措施。
2.2美国电子政务管理体制
2.3电子政务战略定位
3美国电子政务信息安全的防范策略
3.1倾力扶持国有信息安全产业的发展
自主的信息产业或信息产品国产化是保证电子政务信息安全的根本。信息安全技术、产品受制于他国是对国家安全利益的极大威胁。美国对国有信息安全产业的发展予以充分的政策和财政支持。当前,美国正在以下3种技术上求得突破:一是从技术上全面地不间断地进行升级,逐步改善信息安全状况、带有普遍性的关键技术。如密码技术、鉴别技术、病毒防御技术、入侵检测技术等;二是突破技术难关,创新新技术,发挥技术的杠杆作用。如网络侦察技术、信息监测技术、风险管理技术、测试评估技术和TEMPEST技术等;三是形成 “杀手锏”的战略性技术系统。如操作系统、密码专用芯片和安全处理器等。还要狠抓技术及系统的综合集成,以确保电子政务信息系统的安全可靠。
3.2进一步健全法律制度,严格执法
法律是保障电子政务信息安全的最有力手段,美国已经在政府信息安全立法方面积累了成功经验,如美国的《情报自由法》和《阳光下的政府法》等。预防和打击计算机犯罪法规、数字签名认证法、电子凭证(票据)法、网上知识产权法等,电子政务信息安全管理走上法制化轨道。
3.3建立严格的安全预警机制
OMB A-130附录3规定每个联邦机构都应当制定和实施信息安全计划,以确保所有联邦机构的信息收集、处理、传输、存储或分发的充分安全。安全计划应当根据联邦机构自身的职能及业务需求制定,遵循由联邦总统管理和预算办公室( O M B ) 、商务部、总务管理局( G S A ) 和人事管理办公室( O P M ) 发行的政府范围内的政策、标准和规程,将其内容细化,设定安全目标。美国政府要求各联邦机构对所制定的安全计划,至少每隔三年要执行一次独立的安全检查或审计。对于涉及高风险的系统和主要应用程序,检查和审计应当缩短周期。对各种应急计划还要经常进行演练和测试,以保证它的有效性和可行性,使各类人员熟悉程序,以及各自所履行的职责。检查通常从不同的侧面,采取不同的手段进行,如过程检查和技术测试等。检查的内容是核实已被分配安全职责履行情况,该机构的安全计划是否是可行的、适当的,以及管理人员的授权处理情况等。按照2002年通过的“联邦信息安全管理法案”规定,要求联邦机构每年对安全计划和信息系统进行检查,写出独立的综合检查员评估报告(IG Report),并报告给OMB,OMB再以年度报告的形式报告给国会,同时要求各联邦机构信息安全计划要经过O M B 的年度审查。
参考文献
[1] 赵鹏高.云南省电子政务信息安全保障体系建设研究[D].云南大学,2012.
[2] 孟薇.电子政务信息安全研究[D].天津大学,2007.
[3] 田敏达.电子政务信息安全策略研究[D].国防科学技术大学,2005.
[4] 张晓原.中外电子政务信息安全管理对比研究[D].西南交通大学,2012.
[5] 范静.G2G电子政务信息共享及信息安全实证研究[D].上海交通大学,2008.
信息安全策略报告范文第3篇
一、主要内容
2003年2月14日,美国公布了《确保网络空间安全的国家战略》报告(以下简称报告)。该报告共76页,是布什政府对《美国国土安全的国家战略》(2002年7月份公布)的补充,并由《保护至关重要的基础设施和关键资产的国家战略》(2003年2月14日公布)作为其补充部分。该报告确定了在网络安全方面的三项总体战略目标和五项具体的优先目标。其中的三项总体战略目标是:阻止针对美国至关重要的基础设施的网络攻击;减少美国对网络攻击的脆弱性;在确实发生网络攻击时,使损害程度最小化、恢复时间最短化。五项优先目标是:(1)建立国家网络安全反应系统;(2)建立一项减少网络安全威胁和脆弱性的国家项目;(3)建立一项网络安全预警和培训的国家项目;(4)确保政府各部门的网络安全;(5)国家安全与国际网络安全合作。
该报告明确规定,国土安全部将成为联邦政府确保网络安全的核心部门,并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织,即公共部门、私营部门和研究机构之间的指挥中枢。国土安全部将制定一项确保美国关键资源和至关重要的基础设施安全的全面的国家计划,以便向私营部门和其他政府机构提供危机管理、预警信息和建议、技术援助、资金支持等5项责任。该报告把关键基础设施定义为"那些维持经济和政府最低限度的运作所需要的物理和网络系统,包括信息和通信系统、能源部门、银行与金融、交通运输、水利系统、应急服务部门、公共安全以及保证联邦、州和地方政府连续运作的领导机构"。该报告强调,确保美国网络安全的关键在于美国公共与私营部门的共同参与,以便有效地完成网络预警、培训、技术改进、脆弱性补救等工作。
二、出台背景
美国自20世纪40年明第一台计算机以来,相继建立了信息高速公路(NII)和全球信息基础设施(GII),并涌现出英特尔芯片公司、微软公司、IBM公司等一大批全球信息产业的领头羊。因此,美国的信息技术及其应用水平遥遥领先,成为信息第一大国。信息技术及其产业不仅成为美国经济发展的支柱和动力,而且也成为美国交通、能源、金融、通讯乃至国防、情报等赖以存在和发展的基础。美国拥有世界上最为强大的军事和经济力量。这两种力量相互强化,相互依赖,同时也日益依赖于关键基础设施和网络信息系统。这种依赖关系成为了脆弱性的根源。因此,在美国政府看来,计算机网络的脆弱性已经给美国国家安全提出了一个紧迫的问题,关键基础设施和信息系统的安全成为美面临的首要威胁之一,"电子珍珠港"事件随时可能爆发,美国必须采取措施保障关键基础设施和信息系统的安全,避免"信息灾难"。
由大量信息系统组成的国家信息基础结构,已成为美国经济的命脉和国家的生命线,也成为容易受到攻击的高价值的战略目标。1988年,美国康奈尔大学计算机系研究生罗伯特o莫里斯制造出震惊世界的"莫里斯蠕虫病毒"事件,造成全球6000多所大学和军事机构的计算机受到感染而瘫痪,而美国遭受的损失最为惨重。美国政府2001年公布的评估报告显示,在2000年,黑客至少获得了美国的155个政府和18家民间机构计算机系统的完全控制权;美国商务部对下属部门的计算机系统进行全面监测后,发现存在5000多个安全漏洞,在被监测的1200多台工作站和主机中,有30%被划归"极度危险"类。针对网络安全方面的这些严重事故或隐患,美国前总统克林顿忧心忡忡地指出,"这个充满希望的时代也充斥着危险。所有受计算机驱动的系统都容易遭到入侵和破坏。重要经济部门或者政府机构的计算机一旦受到合力攻击,就会产生灾难性的后果"。
从20世纪80年代开始,美国政府以政府通告、总统行政命令等形式,不断推出有关信息安全的政策方针和各类规章制度,而且每隔数年就重新进行审定,以适应科技的发展趋势。与此同时,通过设立层层主管机构,逐步形成一整套信息安全防范体系。这一防范体系从关键基础设施和信息系统的脆弱性分析入手,要求各级政府和私营企业建立"预警一检测一反应一恢复"体系并制定出完善的补救计划,同时强调推广安全意识的教育,加强保护基础设施的研发工作,并力图在收集和分析有关国家威胁美基础设施的情报及开展国际合作方面有所建树。
1984年以来美国政府共了近10个涉及关键基础设施和信息安全的国家政策、通告、总统行政命令和国家计划,对如何维护关键基础设施和信息系统的安全提出了具体的要求。例如,克林顿总统于1998年5月签署的第63号总统令 (PDD-63)规定,拥有最关键系统的政府部门被指定为第一批实施信息安全保护计划的要害部门,其中包括中央情报局、商务部、国防部、能源部、司法部、联邦调查局、交通部、财政部、联邦紧急事务处理局、国家安全局等,它们已经在1998年11月完成了其保护其关键信息系统的计划。2000年1月,根据PDD-63的要求,美国政府制定了《信息系统保护国家计划》,将信息安全保护分为十项内容,涉及到脆弱性评估、信息共享、事件响应、人才培养以及隐私保护、法律改革等。该计划要求在2000年12月建立一个具备初步运作能力的关键信息系统防备体系,到2003年5月实现全部运转。该计划力图实现三个主要目标,即准备和预防、侦查和反应及建立牢固的基础设施。
2001年10月,布什政府了《信息时代保护关键基础设施》的行政命令,组建了总统关键基础设施委员会,其成员包括国务卿、国防部长、司法部长、商务部长、行政管理与预算局局长、科学与技术政策办公室主任、国家经济委员会主席、总统国家安全事务助理、总统国土安全助理等官员。根据该命令,委员会主席将成为总统网络安全事务的特别顾问。他有权了解各部/局内属于其管辖范围的所有情况,并召集和主持委员会的各种会议、制定委员会的议事日程,向相关官员提供保护关键基础设施的政策和方案,并向总统国家安全事务助理和国土安全助理汇报。
今年2月14日,布什政府又公布了《确保网络空间安全的国家战略》,明确规定国土安全部将成为联邦政府确保网络安全的核心部门,并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织,即公共部门、私营部门和研究机构之间的指挥中枢。
三、作用与影响
该报告是美国在网络安全方面专门出台的第一份国家战略,既凸现了布什政府对美国网络安全的担心与重视,也显示出其在新世纪确保美国信息霸权和安全的长远战略目标,必将对美国未来的国家安全战略指导思想、网络安全管理机制产生深远的影响。
第一,该报告显示,确保网络安全已经被提升为美国国家安全战略的一个重要组成部分。布什政府认为,信息技术的迅猛发展与计算机网络在美国的普及,已经使美国的国家安全问题不再局限于军事安全、经济安全和政治安全。网络的便捷使美国社会越来越依赖于信息技术,信息技术的发展已使之成为21世纪美国发展的支柱,而网络成为美国发展的神经中枢。以信息化方式运作的金融、商贸、交通、通信、军事等系统,成为美国国家经济与社会的基础。防止敌对组织或个人对美国的信息系统和全国性网络的破坏,已不再只是一个技术层面的概念,而成为与社会、政治、经济、文化等各个方面密切相关的问题,即这些领域的安全直接关系到美国国家安全的重要因素,信息安全已成为美国国家安全的一个重要组成部分,直接影响到美国的国家运转、经济发展和社会稳定。因此,布什政府出台这份《确保网络空间安全的国家战略》报告,显示出其对网络安全的高度重视。
第二,该报告是美国在"9·11"事件之后,为确保网络安全而采取的一系列举措中的一个核心步骤。其实,"9·11"事件发生后,布什政府一直担心会对美国发动网络恐怖袭击,因此,它采取一系列预防和打击网络恐怖活动的措施。布什政府经国会批准将反恐开支增加到600亿美元,为2000年反恐经费的5倍。其中用于打击网络恐怖活动的开支也增加了两倍多;迅速成立了"国土安全办公室"(即目前已经成立的国土安全部的前身),将打击网络恐怖作为其主要职责之一;任命网络反恐怖专家理查德o克拉克为总统网络安全顾问,并出任在"国土安全办公室"统辖下新设立的"电脑信息网络安全委员会"主席,负责制定、协调全美政府机构网络反恐计划和行动;着手建立一个政府网络(GovNet),使它与现行互联网分离,以保障政府通讯信息网络的安全性和保护美国国家信息基础设施;召集有副总统理查德·切尼、司法部长约翰·阿什克罗夫特和美国10大网络供应商高官参加的"网络恐怖袭击对策"会议;在美联邦调查局内新设反网络犯罪局,专门负责打击网络犯罪;指令美军加强网络战准备,防范网络恐怖袭击以及打击网络恐怖活动和支持网络恐怖的国家。美国总统布什还对美国指认的所谓纵容网络恐怖主义的国家发出警告称,"如果任何国家为网络恐怖主义者提供安全的避风港,国际社会将切断它与国际互联网的联系,把它排斥在互联网之外。"《确保网络空间安全的国家战略》报告明确提出,美国在网络安全方面的管理机构将会进一步加以整合,最终使国土安全部成为联邦政府确保网络安全的核心部门。
第三,该报告尤其强调发动社会力量对网络安全进行全民防御。虽然美国历届政府在维护信息系统安全方面采取了众多的措施,但它也意识到,仅仅依靠政府的力量是不够的,必须建立起一个全方位的防御体系,动员一切可以动员的社会力量。因此,美国政府十分重视与私营企业之间建立合作关系,重视发挥学术研究机构的优势,同时也重视培养美国公民的信息安全意识。首先,美国历届政府把建立政府和私营企业间的合作关系作为一个主要内容。政府强调保护美国的关键基础设施仅仅依靠联邦政府是不行的,必须与企业界、各州及地方政府进行积极有效的合作。例如,1998年11月,能源部、天然气研究所和电力研究所共同主办了能源论坛,邀请了100余家电力、天然气和石油企业和政府代表参加;1999年10月1日,由政府和私营企业联合发起建立了金融服务信息共享及分析中心。2001年1月,包括IBM在内的500多家公司加入了FBI成立的一个被称作"InfraGard"的组织,共同打击日趋嚣张的网络犯罪活动。《确保网络空间安全的国家战略》报告也多次指出,"确保美国网络安全的关键在于美国公共与私营部门的共同参与"。
其次,重视发挥大专院校和社会科研机构的力量。目前许多大学都设有与信息技术和信息安全相关的学院、研究中心和专业,例如,卡内基-梅隆大学的软件工程研究所,乔治敦大学的计算机信息安全研究所、美国全国计算机安全协会、国际战略研究中心(CSIS)的技术委员会,卡内基国际和平研究所的信息革命与国际关系研究项目等等。目前,美国还开始利用高等院校的科研实力为其服务,2002年2月,美众院通过《网络安全研究与发展法案》,同意在5年内为大学和研究机构提供8.7亿美元的资助,用来研究保护美国计算机网络不受恐怖主义分子和黑客袭击的技术。政府与这些机构展开合作的最好事例就是,由国防部高级研究计划局出资,在卡内基-梅隆大学软件工程研究所内设立了计算机应急处理小组协调中心(CERT)。该中心提供24小时紧急情况联络点,通过与世界范围内IT界和专家之间的交流,提高人们对计算机安全的认识。
最后,重视人才的培养和公民的安全意识教育。该报告认为,到目前为止,还没有"电子珍珠港"事件能够唤醒公众采取行动保护美国网络的意识。许多美国人没有认识到美经济和国家安全对计算机和信息系统依赖到何种程度。而保卫美国的网络空间则需要所有美国人的行动,包括最普通的大众。《确保网络空间安全的国家战略》提出的具体措施包括:完善"网络公民计划",对美国儿童进行有关网络道德和正确使用互联网和其他通讯方式的教育;借助"关键基础设施安全伙伴"建立美国企业和信息技术精英间的合作关系;保证政府雇员具备保护信息系统安全的意识;在上述行动的基础上,把提高安全意识的活动推广到其他私营部门和普通公众。
参考书目:
信息安全策略报告范文第4篇
公司治理目标是一个演进的过程。公司治理源于解决企业所有权和控制权分离所产生的问题,亦即内部人控制问题,因而其产生之时的主要目标就是保护所有者的最大福利(即所有者权益)。如今,经过公司各相关利益主体(所有者、经营者、债权人、员工、消费者、社区等)的长期权利博弈,利益相关者共同治理的公司治理框架基本形成,公司治理目标为充分关注和维护企业利益相关者利益,以实现企业长期价值最大化。公司治理目标是确立专司公司治理的企业董事会的具体职责的基础。
根据上述公司治理目标,考虑到我国《公司法》的相关规定以及国内外学者的成果,我们将董事会具体职责归纳如下:1.审核和制定公司战略、经营计划、风险政策、年度预算,监督业务和公司业绩,审核企业重大投资项目支出、企业购并和分拆活动;2.任命、监督高层管理人员,审核高层管理人员薪酬;3.监督和管理董事会成员、管理层及股东在关联交易、资产处置等方面的潜在利益冲突;4.通过健全企业内部控制制度、监督会计信息披露过程等措施来保证公司对外财务报告的可靠性、相关性与完整性;5.监督公司治理结构在实践中的有效性,必要时能够进行改进;6.与外部治理机构和公司利益相关者进行联系与沟通,为公司获取成功所需的关键资源(资金、信誉等);7.设立董事和高层管理人员的培训项目等。
董事会为了保证全面有效地履行上述具体职责,需要建立一个自身的业绩评价系统,将其所肩负的公司治理职责转化为可以具体量化的指标体系,以便观察与评价公司治理效果,矫正公司治理行为。关于公司治理实践中董事会的业绩评价问题,国内外学者正处于探索之中。美国学者Melcher(1996)曾经用9个项目来评价最好和最差的董事会,随着公司治理实践的发展,现在看来这一评价方案也缺乏系统性和完整性。国内关于这方面的专题研讨有限,至今尚无全面系统的董事会业绩评价方案公布。我们受加拿大管理会计师(CMA)协会利用平衡计分卡(the Balanced Scorecard)计量董事会受托责任的启发,利用平衡记分卡原理来设立董事会的业绩评价体系。
由卡普兰(Kaplan)和诺顿(Norton)于1992年创立的业绩评价——平衡记分卡,是由围绕组织的战略目标,以及体现或促进实现这些目标的关键因素的指标组成的业绩评价系统,主要由财务、内部经营过程、顾客、组织与成长四大方面的指标体系组成。我们根据上述对公司治理目标和董事会具体职责的理解,以平衡记分卡为基本框架,设计如下董事会的业绩评价体系:
按照平衡计分卡原理,董事会为了保证前述公司治理目标的顺利实现,需要从影响这一目标实现的如下四个相互联系的因素入手:即满足各利益相关者财务方面的价值增值要求;利用其公司治理和企业管理的双重权限来创建制度化的、富有效率的内部营运过程;加强与内部管理层、员工以及外部公司治理机构、投资者、债权人、客户和社区等的联系与沟通;提升企业的成长潜力等。显然,这四个方面也可以看作是董事会为实现公司治理目标而必须首先达到的具体目标。接下来,进一步为这些具体目标寻找详细的计量指标,也可以看作是实现这些具体目标的方法路径。我们初步设想计量各具体目标实现程度的主要指标如下:
(一)财务方面:每股收益(EPS),增加值(EVA),现金净流量,董事、管理层与员工的报酬增长率,贡献(纳税额与社会公益性捐赠)等。
(二)企业内部过程:参与公司发展战略、重大投资决策及经营计划的制定与审批所花费的时间和精力,监评企业内部控制制度与风险政策的会议次数,对CEO及其高级管理团队的经营业绩与合法性的评估状况,制定CEO及高级管理层的薪酬安排与继任计划状况,董事业绩的自我评论与相互评价状况,定期审核与评估重大项目在实施过程中的技术、成本和进度状况,公司治理结构的改进措施等。
(三)与内外部的联系与沟通:为管理层提供的建议数量,与员工直接沟通的次数,了解客户及供应商需求的次数,内部信息覆盖率,外部公司治理机构和投资者、债权人所认可的会计信息质量(包括信息的及时性、可靠性与透明度),通过各种渠道(会议、访谈等)与外部公司治理机构、投资者、债权人和社区进行沟通的及时性与次数,社区责任的履行程度(社区就业人数与环境保护责任履行程度)等。
(四)组织学习与成长:董事会成员的程度与管理水平,CEO及其高级管理团队的满意程度和创新能力,管理层的知识结构、教育程度与培训次数,CEO及其高级管理团队发展计划的实现程度等。
董事会在企业战略计划的制定、实施与评价过程中,发挥着决定性的作用,但位居企业最高管理层次的董事会,毕竟远离了企业的具体经营管理活动,因而需要从各种渠道获得制定与实施战略计划的相关信息(包括利用这些相关信息和管理会计决策方法所提出的战略计划方案),以保证董事会决策的性和有效性。
董事会制定(或审查与评价)企业战略需要企业财务人员和其他相关人员提供大量的财务与非财务、内部与外部信息。外部信息包括消费者需求现状和发展趋势、公司当前产品和服务的市场状况、竞争对手战略、行业信息和发展趋势、对利益关系方(如大股东)反应的分析以及其他相关信息。内部信息则包括战略计划所需的人员、技术、资本、以及投资能力、战略计划各实施方案、产品生命周期内的成本与效益分析、战略方案内在风险的评估等信息。
为了保证董事会战略决策的独立性和有效性,上述信息最好由董事会内部的战略委员会委托财会人员根据其特殊需求提供。我们设想由企业财会部门提供详细的、具体的、经过初步分析和整理的管理会计信息,再由董事会内部具有会计信息分析和投资决策背景的专业人士进行分析提炼,以形成独立于CEO及其高级管理团队的价值判断。
在企业战略实施过程中,董事会还应对战略实施计划进行审查与评估,以确保企业的重要经营活动与战略计划的一致性与协调性。为此,董事会需要企业财会人员提供战略计划(或重要项目)实施过程中的管理会计信息:包括全面预算与预算执行的结果,以及项目实施过程中的风险评估、潜在影响与管理层的应对措施等信息。
董事会的重要职责之一是对CEO及其高级管理团队的经营业绩及合法性进行评估,以确定其薪酬和继任计划,这也是擅长计量受托责任的管理会计发挥重要作用的领域。与前述对董事会这一特定主体的业绩评价体系的忽略相比,对CEO及其高级管理团队的业绩评价在各国均受到重视,并已有较为系统完整的业绩评价体系。我国颁布的企业绩效评价指标与相应操作细则较为全面地评价了企业CEO及其高级管理团队的经营业绩与管理效率。在这里我们只想补充两点:
一是董事会应将对利益相关者的受托责任与治理目标明确无误地传递给CEO及其高级管理团队,以便企业各层次的管理能够围绕总体治理目标来进行。董事会可以将高级管理层是否贯彻落实公司治理政策增设为一个重要的业绩评价指标,以保证公司治理系统的有效运转。
二是明确董事会对CEO及其高级管理团队的业绩评估是一个互动的过程,应与企业高级管理层进行公开讨论,并提出改进其业绩的建议,及时发现和纠正企业潜在的问题。而这一过程是否有效的关键还在于董事会能否及时获得关于CEO的管理过程(战略计划落实、经营决策制定、员工培训等)和管理效果(市场份额、新产品销售比例、盈利质量等)的各项管理会计信息。
相对于企业外部的投资者、债权人,董事会是人;而针对企业内部的管理层和员工而言,董事会是委托人。因此,董事会在促进企业内外部委托双方的沟通与交流中发挥着中心作用,并有责任缓解委托双方之间的信息不对称状况。另外,董事会也有责任与外部公司治理机构进行公司治理信息的沟通。而企业管理会计人员可以利用专业技能提供董事会与各方交流的相关信息,维持公司治理各方的信息交流体系。
就董事会与企业内部的管理者和员工的信息交流而方言,主要依赖于为企业内部经营管理服务、规划与控制企业内部资源配置的管理会计信息,企业自下而上与自上而下相结合的预算编制过程、全面预算信息以及预算执行差异、原因分析与改进措施等信息,就是董事会与企业内部最好的交流形式与交流语言。
至于董事会与外部进行交流与沟通的信息,就企业对外公布的年度报告、中期报告、季度报告、招股说明书以及董事会决议公告等来看,主要是反映企业财务状况、经营成果和现金流量的事后的财务会计信息,反映董事会履行公司治理与战略管理职责的相关信息则十分有限。实际上,长期以来,信息需求各方对这种信息披露现状并不满意,安然事件以后,更有学者称现行财务报告披露了大量的信息垃圾。并且,哈佛大学商务与政府研究主任Iraa.Jackson2002年在北京国家会计学院剖析安然事件时指出,现行财务报告忽略了管理的披露与管理透明度,导致各方缺乏对企业管理政策与措施的了解。事实上,当今外部委托人并不甘心事后“用脚投票”的被动地位,对公司治理和企业管理透明度的关注日益增加。因此,董事会应该逐步对外报送涉及到企业公司治理、重大战略决策、主要经营管理过程(如经营预测、全面预算)等方面的管理会计信息,提高企业公司治理与管理的透明度,加强与外部委托人和外部公司治理机构的沟通。
就发展趋势来看,我们认为董事会为了解除其受托责任,应该向委托人报告其针对公司治理目标的努力行为以及努力结果。因此,前述对董事会治理目标及其具体职责完成情况进行计量的业绩评价信息,应作为董事会与其委托人进行沟通的重要信息,建议上市公司在年报中加入前述董事会平衡计分卡框架内的业绩信息。
以上我们阐述了管理会计在董事会业绩目标的制定与实现过程中所发挥的重要作用,主要是提供必不可少的管理会计信息与方法的支持。因此,会计与实务界应该意识到,在公司治理和企业管理实践中地位日渐突出的企业董事会,迫切需要一个符合其运行机制与独特需求的管理会计信息系统,来帮助其富有成效地履行职责。而当前的会计理论与实践却忽略了董事会的这一需求,管理会计信息系统的服务对象主要还是定位于CEO及其管理团队。因此,为了满足董事会的信息需求,充分发挥会计在当今公司治理和企业管理实践中的作用,应从下述三个方面对管理会计的理论与实践加以改进:
(一)明确管理会计服务对象的不同管理层次,并根据各管理层次的相应职责范围来提供其所需的会计信息。因为不同层次管理者关注和影响的企业活动不同,如总经理感兴趣企业总体经营状况,部门经营关注的是部门业绩,基层管理者关心的是个人工作表现,信息需求各异。当前,尤其应该将董事会这一最高管理层次由于其独特地位(具有公司治理和企业管理的双重职责)而需要关注的公司治理信息、受托责任履行状况、企业竞争表现、销售和盈利的总趋势、本期战略计划以及重要投资项目的实施情况等信息纳入财会部门的视野之中,并主动研究和及时满足董事会的管理会计信息需求。
(二)改进内部管理报告的报告形式与报告内容,提高管理会计信息的有效性。为了使财会人员提供的、针对各层次管理者的管理会计信息产生应有的效果,必须采用管理者能充分理解和有效运用的简明扼要的报告形式,并且报告的内容应突出重要问题以及应采取的针对性措施。财会人员应综合运用书面形式、口头形式及形式的会计报告,向董事会报告具有战略性、全局性、专题性、分析性、趋势性的信息,并注意信息的概括性与简明性,以免董事会陷入繁杂的会计信息之中而难以决断。
(三)完善财会人员的知识结构。企业财会人员不仅应该熟练地掌握财务会计与管理会计信息生成与报送的方法与技术,更应该突破就会计论会计的狭隘思维,广泛学习和深入思考公司治理机制、企业战略和策略管理的思想与方法。比如为了向企业董事会及高层管理人员提供战略决策信息,财会人员必须了解组织环境、竞争对手状况、企业核心竞争力等战略决策要素,以便在会计信息与企业战略决策之间架起一应桥梁。
「
1.李维安。公司治理原则与国际比较。中国财政出版社,2001.
2.上市公司治理准则。中国证券监督委员会、国家经济贸易委员会,2002
3.李维安等。2002.公司治理。中国人民大学出版社。2002
4.席酉民,吴淑坤,公司治理与中国改革,机械出版社,2000
5.[美]理查。M.斯坦恩伯格凯瑟琳。L.布罗密罗著。倪卫红刘瑛译。公司治理和董事会。石油工业出版社,2002
6.[美]吉姆斯。D.威廉森。阎达五等译。现代主计长手册。经济出版社,2000
7.杨惠敏。2000.公司治理、企业管理与信息系统。会计研究。2000,
8.johnson,Jonathan;Daily,Catherine M.1996.boards of directors:A review and Research Agenda.Journal of Management.Vol.22,issue3:409-438
9.Anthony A A tkinson.Steven Salterio.Shaping good conduct.CMA Management.2002.volume75,issue10:18-23
10.Anthony A A tkinson.Steven Salterio.Functionvs.Form CMA Management.2002.volume76,issue6:23-28
信息安全策略报告范文第5篇
摘要:中国寿险公司从2010年在公司年报中加入了公司风险管理信息报告,本文通过对随机挑选的五家中小寿险公司2013年的风险管理状况信息对比分析,从保险公司的风险评估与风险控制角度评析我国中小寿险公司的全面风险管理现状。
关键词:中小寿险公司;风险识别;现状
引言
大型保险集团公司如中国人寿、中国平安等,不仅拥有保险业务,还更多的涉及资产管理、信托公司、银行业务等,其全面风险管理工作会更复杂,所以本文随机挑选五家中小型保险公司,分别是信诚人寿、农银人寿、天安人寿、海康人寿和工银安盛人寿等分析它们所面临的市场风险、保险风险和战略风险。
1.1市场风险
1.1.1市场风险现状
各保险公司对市场风险披露信息相对于其他风险更为具体,分别都披露了利率风险、汇率风险、价格风险,并了敏感性测试和压力情景测试的结果。各家保险公司的压力情景测试结果显示,汇率风险对保险公司的影响很小,主要是各保险公司持有的外币资产相对较少,其外币资产多是由于国外股东投资产生。
通过对各家公司利率压力测试结果的观察可知,利率的变化会对各家保险公司的偿付能力产生较大的影响,主要原因在于利率的波动会对公司持有的固定收益类证券造成影响。利率风险可以通过资产负债缺口和凸性缺口监控观测到,各家保险公司对利率风险较为关注。天安人寿、信诚人寿、海康人寿对资产负债匹配情况进行了披露。由于在目前的法规和市场环境下,没有期限足够长的资产可供投资,以与保险合同责任的期限相匹配。天安保险的资产负债久期缺口达到-41%,由此可见其资产负债匹配是有较大风险的。另外两家保险公司没有资产负债匹配的相关信息披露,可见对于具体市场风险的信息披露尚不够详细,有待进一步完善。
权益价格风险源于权益资产价格的波动,与资产市场的波动密切相关,各公司通过VaR、条件尾部期望和压力测试法,评估公司的权益价格风险水平。保险公司在投资连结保险类产品的独立账户中权益资产类投资较多,但由于独立账户中的价格风险由投保人承担,其风险相对来说非常小。在考察的五家公司中,传统账户的投资股票,基金等权益类资产的有限,权益资产占比一般都小于5%。
1.1.2市场风险应对策略分析
对于市场风险的处理,五家保险公司中信诚人寿、海康人寿、天安人寿披露了较为详细的风险应对策略。设定与内部管理要求相适应的风险可接受水平,建立相应的风险报告制度,定期提供投资监控报告。增加固定收入资产的久期与负债相匹配进而降低资产负债匹配缺口。加大持有至到期债券投资,来控制利率风险。在国家法律法规规定范围内,积极主动配置股指期货、融资融券等新型衍生工具投资,积极管理权益价格风险。
2.2保险风险
2.2.1保险风险现状
五家公司中天安人寿和海康人寿对保险风险进行了详细披露。天安人寿对过去一年公司的退保率、保费继续率死亡偏差率、重疾发生率进行了详细披露,并进行了压力情景测试。天安人寿和海康人寿上一年度退保率较高,将来面临退保风险较大。退保原因是公司产品结构和投资收益率低的市场环境的影响。海康人寿对于主要保险风险进行的压力情景测试显示死亡率、退保率、费用率、疾病发生率增加10%,会对公司的预期利润产生重大的不利影响。工银安盛、农银保险两家公司没有进行详细的保险风险披露,仅仅是在报告中指出上一年度其相应的精算假设好于预期,保险风险处于公司的所能承受的安全范围之内。上述两家保险公司的保险风险信息披露不充分,不能使投资者,董事会及高层管理人员对公司的保险风险形成充分的认识,也不利于该公司的保险风险控制,因此应努力扩大风险信息的披露范围。
2.2.2保险风险应对策略分析
保险风险是各家公司风险管理的主要目标之一,五家公司中除农银人寿外均披露了积极的风险管理策略。为防范退保风险,各公司对关键风险指标进行监测,当退保率超出公司假设或可承受说平时,作出分析报告并对分公司提示预警,督促其展开整改措施。对赔付风险较高的产品,加强核保以降低逆向选择风险,并通过再保险方案,转移一部分公司不能承受的风险。天安人寿在费用风险管理方面引入战略、预算、考核相衔接的闭环式管控,从机构的开设策略、产品销售策略、公司费用政策方面采取风险控制策略。
3.3.1战略风险现状
公司的战略风险主要包括经营模式风险、同业竞争风险和政策风险。五家中小保险公司中海康人寿和工银安盛对战略风险进行了分类识别,认为战略风险是其面临的主要风险之一。没有单独分类识别战略风险的其余三家保险公司,则不认为是其面临的主要风险之一。现阶段宏观经济状况比较困难,保险公司同业竞争越来越激烈,保费收入增速减慢,经营模式风险、同业竞争风险和政策风险对中小保险公司的影响是不可忽略的,因此忽视战略风险对中小保险公司会形成不利影响。
3.3.2战略风险应对策略分析
各公司对战略风险的重视程度不是很高,海康人寿和工银人寿虽然将战略风险单独识别,但并未披露相关的战略风险信息,其战略风险的方法措施也十分简略。因此,说明中小保险公司战略风险管理不到位。各公司需要不断完事法人治理结构,定期召开股东会董事会,研究制定公司发展战略和执行情况,及时发现战略风险。研究本公司战略定位的有效性,控制公司经营风险。提高服务品质,与同业机构形成差异化竞争,控制竞争风险。
