7月30日，由上海國家會計學院主辦，金蝶軟件（中國）有限公司、中興新雲服務有限公司、用友網絡科技股份有限公司、北京元年科技股份有限公司、浪潮通用軟件有限公司聯合主辦的“會計科技Acctech應對不确定性挑戰”高峰論壇暨2022年影響中國會計人員的十大信息技術評選結果發布會在上海國家會計學院國際會議中心順利舉行。

本次論壇邀請了五位嘉賓基于多項信息技術在一個或多個會計應用場景及其發展趨勢進行綜合分享，通過新實踐、新成果、新思考幫助會計人員理解信息技術對會計工作、會計職業等方面的各種影響，把握信息化時代會計變革的方向。

五位嘉賓中，本次評選專家，彙付天下有限公司執行董事兼CFO金源解讀了十大信息技術背景下信息安全技術對會計工作的影響。本文為根據演講内容的整理。

近年來，國内外數據隐私洩露事件頻發，涉及面廣、影響力大，企業因此陷入數據保護合規與社會輿情壓力的雙重危機。據統計僅近一年裡全球十大數據安全事件就共有近8億人受到影響。會計信息系統建設中，信息安全問題也日益凸顯。占據中國高端ERP軟件市場的兩家國際知名企業2020年爆出通用漏洞評分（CVSS）達10分、9.8分的高危漏洞400餘個。這些漏洞使攻擊者可讀取和修改财務記錄、更改銀行信息、查閱個人身份信息（PII），甚至是删除或修改活動痕迹、日志和其他文件。

信息安全是财務數字體系建設、數字化轉型的基礎和保障。從曆屆影響會計人的十大信息技術評選的結果來看，2002年十大信息技術首屆評選，有四項信息安全相關技術上榜。2017-2021年榜單中，僅有身份認證和數據安全技術直接關乎信息安全問題。盡管安全信息技術在财務方面應用得非常迅速，但也能夠明顯感覺到财務人員對信息安全問題的關注和重視還不夠。

會計信息化建設中可能面臨的安全問題，比較常見的有以下幾種情況：首先是選擇本地化部署還是雲端部署的問題。财務雲已經連續多年占據了十大信息技術評選的第一名。但仍有許多人擔憂上雲後的信息安全問題。實際上，本地化部署也未必安全。服務器部署在本地，某種程度上數據安全确實更可控。但是機器故障、民用電力設施的不穩定性導緻的風險較難控制，也存在内部運維人員洩露的隐患。雲端部署比較依賴雲服務供應商。由專業服務商提供一站式硬件、存儲等服務，服務商自備雲端的備份和災難恢複功能。但如果服務商選擇不當，其自身安全問題容易導緻内部重要信息丢失。其次，企業在使用RPA時也會發生各類問題，例如運行偏差導緻輸入系統異常、黑客通過攻擊機器人賬戶獲得訪問敏感數據權限、黑客利用機器人的漏洞遠程訪問企業網絡等。另外，财務人員運用最為普遍的電子會計檔案，儲存了大量的财務、業務數據，在使用過程中也要充分關注安全性的問題。

會計信息化進程中最常見的五大安全風險包括：硬件系統風險、軟件系統風險、數據存儲風險、網絡環境風險以及人員執行風險。硬件和軟件的風險，會計信息化建設，各項信息系統都是基于軟件系統進行運行的，軟件系統需要穩定運行，且通過持續建設匹配管理需要。硬件系統是底座，軟件在其之上運行，數據依靠硬件進行存儲。大部分企業硬件和軟件都是從外部采購的，依賴于第三方供應商，從信息安全的角度來講存在供應鍊的風險。數據存儲風險是大部分财務人員特别關注的問題，主要風險在于管理層對信息安全不重視未及時進行有效溝通、未分散核心系統ROOT權限以及未設置關鍵數據操作多層級驗證等。網絡環境風險及人員執行風險方面，根據身份盜竊資源中心（ITRC）發布的《2021數據洩露報告》顯示，去年共記錄了全球1862起數據洩露事件，其中網絡攻擊占比87%，人員差錯占比10%。

如何應對會計信息化進程中的安全風險？會計信息化安全管理中的核心要素，一是技術，二是管理。具體從以下三方面去控制：第一預防性控制，建立完善各類制度架構控制信息安全。第二檢查性控制，定期進行信息安全專項檢查。第三糾正性控制，發現問題以後能夠及時采取措施進行糾正，減少風險事件的發生。

完善會計信息安全機制方面，建立規範與制度，日常信息安全檢查與異常報告需要明确環境與資源線上化管理、項目上線後資料歸檔、現有财務系統詳細信息、财務系統數據備份策略、漏洞掃描與異常告警對接人、用戶權限管理以及系統管理員明細等重點内容。搭建企業網絡安全與數據安全架構方面，需要注重架構的高可用性、網絡隔離（測試系統與生産系統隔離）以及安全感知與防護（應用域、數據域、運維域等）三方面。數據分級分類管理方面，2021年發布的《中華人民共和國數據安全法》《網絡安全标準實踐指南—網絡數據分類分級指引》給出了數據分類分級保護的指導标準。對于個人數據、公共數據、法人數據不同分級的數據都有分類分級審定和保護。

“權限管理、隐私管理、數據審計、體系共建”是目前企業常用的數據安全管理措施。權限管理要遵循數據權限最小化原則，對用戶登錄控制、用戶訪問權限控制，做到實時監控數據訪問行為和靈活的告警機制。隐私管理（數據加密/脫敏）要對隐私數據進行加密、脫敏、變形，由此提高數據管理人員的工作效率，同時規避數據洩露風險，對客戶信息資産安全、敏感信息提供完善的保護。數據審計要審核數據共享、下載、複制等需求，監視和保護靜止的數據、移動的數據以及使用中的數據，達到隐私數據利用的事前、事中、事後完整保護，實現數據的合規使用。體系共建要将數據安全流程與公司OA系統打通，讓所有部門參與到數據安全體系的建設中。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!