公司信息安全控制程序

公司信息安全控制程序（共8篇）

公司信息安全控制程序 篇1

组织体系

组织体系 1 范围 本标准规定了公司内部安全保障体系组织架构的要求，包括人员组成，责任和要求。

本标准适用于公司，各厂应依据本标准制订适用的标准。规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注版本（日期）的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注版本（日期）的引用文件，其最新版本适用于本标准。术语和定义 无。职责 4.1 信息中心负责公司整体信息安全保障体系组织建设。

4.2 各厂负责在授权范围内开展安全组织建设，负责本单位信息安全日常管理、监督。信息安全管理组织架构 在组织架构方面，应依托企业现有的组织体系，赋予各层面的组织和个人以安全职责，使原有的组织架构具有信息安全的管理职能，同时应对企业安全管理的三层组织结构：决策层、管理层和执行层的机构建立、安全目标、岗位设置、安全职责进行确定，组织架构的建立和充分发挥职能是整个系统安全的前提和基础。

决策层管理层业务安全决策安全战略规划安全绩效考核信息安全领导小组信息安全管理部门安全管理系统安全工程安全绩效管理信息安全执行部门实施与运作运行管理安全审计实施执行层

图 1 信息安全管理组织架构层次图 组织架构

企业本部

企业下属各厂

决策层

公司信息化建设主管领导 各厂信息化建设主管领导 管理层

公司信息、办公室、财务、营销、人事、技术等各部门负责人 各厂信息、财务、生产、人事等业务部门负责人 执行层

公司具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职（或兼职）信息安全员 各厂具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职（或兼职）信息安全员

图 2 信息安全管理组织架构细化表信息安全组织架构各层职责说明 6.1 决策机构 信息安全决策机构处于安全组织机构的第一个层次，是企业公司信息安全工作的最高管理机构，按照国家和国家局的方针、政策和要求，对企业公司信息安全进行统一领导和管理。

其主要职责包括：

1)领导和督促全企业公司范围的信息安全工作； 2)制定企业公司信息安全战略、方针和政策，确定企业公司信息安全发展方向和目标； 3)为信息安全提供所需的资源； 4)批准整个组织内信息安全特定角色和职责的分配； 5)建立企业公司的总体安全规划方案； 6)制定企业公司统一的安全策略体系； 7)审批企业公司重大的信息安全活动； 8)重大技术事项或突发紧急问题的协调处理和事后调查仲裁等； 9)审批信息安全项目及安全产品的采购申请； 10)审阅下级的重要工作汇报和意见，并及时反馈批复意见； 11)监督管理层信息安全工作的管理和执行情况，协调管理队伍之间的关系； 12)负责组织企业公司范围的信息安全事件的调查，并听取相关汇报； 13)定期组织会议，了解企业公司信息系统的整体安全现状，讨论提高安全水平的整改措施。

14)启动计划和程序来保持信息安全意识； 15)信息安全领导小组应定期组织信息安全巡检和评审工作。

6.2 管理机构 信息安全管理机构处于安全组织机构的第二个层次，在决策机构的领导下，负责组织制订信息安全保障体系建设规划，以及信息安全的管理、监督、检查、考核等工作。日常的信息安全管理工作主要由信息化工作部门负责。

其主要职责包括：

1)根据决策层总体安全规划制定系统安全建设的详细安全计划并组织实施； 2)根据决策层统一的安全策略制定并落实信息安全管理制度； 3)监督和指导执行层信息安全工作的贯彻和实施； 4)组织技术人员和普通员工的安全技术交流与培训； 5)参与信息系统相关的新工程建设和新业务开展的方案论证，并提出安全方面的相应

建议； 6)在信息系统相关的工程验收时，对信息安全方面的验收测试方案进行审查并参与验收； 7)组织相关安全员定期进行信息安全巡检； 8)负责组织范围内的信息安全事件调查，并听取相关汇报； 9)审阅执行层的重要工作汇报和意见，并及时反馈批复意见； 10)定期组织会议，了解管辖系统的整体安全现状，讨论提高安全水平的整改措施； 6.3 执行机构 信息安全执行机构处于信息安全组织机构的第三个层次，在管理层的领导下，负责保证信息安全技术体系的有效运行及日常维护，通过具体技术手段落实安全策略，消除安全风险，以及发生安全事件后的具体响应和处理。

主要职责包括：

1)学习和执行企业公司制定的各项信息安全管理策略、制度、规范和指南； 2)企业公司信息安全规划、管理制度的落实和执行工作； 3)直接负责管理范围内各业务系统的安全管理和维护工作； 4)参与检查与国家信息安全相关的法律、法规、规章、标准等的符合性，参与企业公司安全方案的规划、设计； 5)具体安全项目的实施与支持； 6)根据管理层安全规划制定系统安全建设的详细安全计划并组织实施； 7)监督和指导管理范围内信息安全工作的贯彻和实施； 8)组织内部的安全技术交流与培训； 9)参与管理范围内工程建设和业务开展的方案论证，并提出相应的安全方面的建议； 10)提出的网络安全整改意见，提交管理层审批； 11)向管理层定期汇报系统当前安全现状以及安全事件的处理情况；安全职责的分配 为明确安全责任，划分（界定）安全管理与具体执行之间的工作职责，公司必须建立安全责任制度。

安全责任分配的基本原则是“谁主管，谁负责”。公司拥有的每项网络与信息资产，必须根据资产归属确定“责任人”。“责任人”对资产安全保护负有完全责任。“责任人”可以是个人或部门，但“责任人”是部门时，应由该部门领导实际负责。

“责任人”可以将具体的执行工作委派给“维护人”，但“责任人”仍然必须承担资产安全的最终责任。因此“责任人”应明确规定“维护人”的工作职责，并定期检查“维护人”是否正确履行了安全职责。“维护人”可以是个人或部门，也可以是外包服务提供商。当“维护人”是部门时，应由该部门领导实际负责。

安全工作人员的职责是指导、监督、管理、考核“责任人”的安全工作，不能替代“责任人”对具体网络与信息资产进行安全保护。

在资产的安全保护工作中，应重点关注以下内容：

a)应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程。

b)“责任人”与“维护人”都应明确接受其负责的安全职责和安全保护流程，并对该职责的详细内容记录在案。

c)所有授权的内容和权限应当被明确规定，并记录在案。职责分散与隔离 职责分隔（Segregation of Duties）是一种减少偶然或故意行为造成安全风险的方法。公司应分散某些任务的管理、执行及职责范围，以减少误用或滥用职责带来风险的概率。例如关键数据修改的审批与制作必须分开。

在无法实现职责充分分散的情况下，应采取其他补偿控制措施并记录在案。例如：活动监控、检查审计跟踪记录以及管理监督等。

为避免串通勾结等欺诈活动，公司应尽量隔离相应职责，并增加执行和监督人员，以降低串通的可能性。安全信息的获取和发布 信息技术的发展日新月异，安全工作愈发复杂和困难。公司必须建立有效可靠的渠道，获取安全信息，不断推进安全工作。例如：

a)从内部挑选经验丰富的安全管理和技术人员，组成内部专家组，制定安全解决方案，参与安全事件处理，解决实际安全问题，提供预防性建议等。为使内部专家组的工作更具成效，应允许他们直接接触公司的管理层。

b)与设备提供商、安全服务商等外部安全专家保持紧密联系，听取他们的安全建议。

c)从一些公开的信息渠道获取安全信息，例如专业出版物、定期公告等。

企业权威的安全信息发布机构为公司信息中心。公司负责收集和整理并向各厂信息部门发布安全信息；各厂负责厂内发布和信息上报。加强与外部组织之间的协作 公司应加强与国家安全机关、行业监管部门、其他运营商和信息服务提供商等外部组织的联系，并建立协作流程，以便在出现安全事件时，尽快获取信息、采取措施。

公司在加入安全组织或与其他组织进行交流时，应对信息交换予以严格限制，以确保公司信息的保密性。安全审计的独立性 安全审计是从管理和技术两个方面检查公司的安全策略和控制措施的执行情况，发现安全隐患的过程。

安全审计的独立性是指审计方与被审计方应保持相对独立，即不能自己审计自己的工作，以确保审计结果的公正可靠。

公司信息安全控制程序 篇2

C公司的信息化建设起步于20世纪80年代初,在建设的初期通过引进、吸收的方式建立了以富士通中型计算机为平台的管理信息系统,而且开发并应用了财务、调度、统计等一系列通用软件系统。进入到90年代,C公司在信息化建设上加大了投入力度,购置了运算速度更快、处理能力更强以及稳定性更好的IBM大型机来作为管理信息系统的服务器,并淘汰掉富士通中型计算机,将一些主要的应用系统如调度、统计、财务等都迁移到大型机上运行。并先后三次派送多名技术人员出国培训,为C公司信息系统的稳定运行提供有力的人才保障。2000年后,随着网络技术的飞速发展和广泛应用,C公司的应用系统也由原来的单机运行,转变为网络分布式架构应用,其工作内容主要体现在三个方面:应用系统建设、网络建设、信息组织建设。

虽然C公司至今未发生过重大的信息安全事件,但是病毒攻击、网络中断、个别应用系统瘫痪等情况却时有发生。信息中心技术人员经常疲于应付各种各样病毒、死机、数据丢失等问题,虽然做了大量工作,但却仍然经常收到用户投诉和抱怨。为了更好地掌握C公司信息安全现状,尽可能地挖掘C公司在信息安全管理过程中的漏洞和薄弱环节,为业务应用提供安全保证,公司聘请了惠普公司安全测试人员,并使用极光远程安全评估系统AURO-RA-600-B对现有系统中所有服务器网段进行扫描(详见附表1所示),测试结果表明:有5台服务器的扫描结果为非常危险,12台服务器的扫描结果为比较危险,13台服务器的扫描结果为比较安全,13台服务器的扫描结果为非常安全,其所占的比例如图1所示。

通过对扫描结果的分析,C公司发现在信息安全方面主要存在着以下技术问题:

1)重要业务数据存储在个人的电脑当中,没有制定良好的备份机制。对于目前的备份作业来看,没有确定一个良好的备份方法,使备份工作流于形式;没有对备份作业进行恢复性测试,存在着很大的安全隐患。

2)没有完全禁用网络设备上不必要的和不使用的网络服务。

3)缺少先进、全面的日志管理工具和安全防御工具;不能通过使用强大的日志分析工具,对网络中的异常情况在最短时间内报警并联动安全防御工具对网络起到有效保护。

4)系统使用了默认的安装方式,并且安装了多余的服务和使用了默认账号,给系统增加了额外安全风险;有的没有对默认安装的服务进行安全性检查;一些系统没有安装重要的系统安全补丁,或者在安装了系统安全补丁后没有按照要求重新启动计算机;一些系统服务在安装完成以后,并未对其完成全部安全配置,存在很高安全风险。

5)系统管理员账号口令过于简单,有的口令与用户名相同、甚至为空,有的口令只是简单的连续3到5位数字,或者用自己的生日做口令等弱口令现象非常普遍。

2 信息安全风险评估

按照ISO17799标准,安全风险评估是安全体系建设必需的前奏,可为安全体系建设确定安全需求,提出安全规划,并为安全技术标准体系和安全管理体系的制定提供完善的建议。

2.1 评估流程

参照ISO27001的风险评估方法,风险评估共分7个阶段:评估规划、信息收集、资产确定和估值、威胁和漏洞分析、影响和可能性分析、风险建模和分析、确定和推荐控制措施。C公司的风险评估部分结果如表1所示。

进一步对这些漏洞产生的风险进行统计分析,结果高风险有875个(占9%),中风险有3762个(占39%),低风险有5104个(占52%)。具体的风险分布比例如图2所示。

从风险评估的结果分布图上看,高风险情况占的比例低于10%,在国内同行业中属于较好状态,但于世界先进水平相比还有很大差距(通常要求控制在4%以下)。

3 信息安全体系构建

C公司的信息安全体系由三个方面组成:安全策略体系、安全管理体系和安全技术体系。

3.1 安全策略体系

安全策略体系包括管理策略、法律法规、规章制度、技术标准、管理标准等,是信息安全策略的最核心问题,是整个信息安全建设的依据。安全策略覆盖了资产管理、人员信息安全管理、物理和环境安全管理、日常运行维护安全管理、信息系统安全访问控制管理五个方面。安全策略的规划工作是信息安全体系建设的基础,它是C公司信息安全体系建设的标准,是整个信息安全建设的蓝图。

3.2 安全管理体系

通过对信息安全管理工作的梳理,C公司制定了9个流程,具体名称见表2所示。

3.3 安全技术体系

信息安全技术主要包含实现信息安全的产品(如防火墙、防病毒软件等)、执行信息安全的工具和服务(如入侵监测、网络行为审计、IT流程服务管理、配置管理等)三个方面。在C公司安全技术体系规划中,设计宗旨可以表述为:依据最新、最先进的国际信息安全标准,采用国际上先进的安全技术。参照国际标准来规范信息安全产品和服务,严格遵守中华人民共和国相关的法律和法规。考虑到安全产品的使用特性以及C航运业务应用的不断发展,安全产品的配置还要适用将来一定时期内的业务需求。

参考文献

[1]Acharya.网络存储的备份策略[M].中译本.北京:电子工业出版社,2001.

[2]张晓阳.信息安全防范策略[M].北京:电子工业出版社,2003.

[3]李证.中央企业信息安全管理指南[M].北京:北京工业大学出版社,2004.

[4]蔡勉.信息系统安全理论与技术[M].北京:北京工业大学出版社,2006.

公司信息安全控制程序 篇3

关键词：内部控制；内部控制信息披露

一、内部控制信息披露的必要性

随着广大投资者愈加成熟与理性，仅仅披露上市公司财务会计信息的报告已经不能满足他们的要求，投资者需要了解上市公司更多的信息，特别是关于公司内部控制的信息。因此，内部控制信息的对外披露具有重大的意义。

首先，内部控制信息的披露有助于提高管理当局的内部控制意识，促使其关注内部控制的有效性。内部控制信息披露表明管理当局在公司内部控制设计和执行中的责任。只有定期披露内部控制信息，才能对管理当局形成压力，使管理当局经常关注内部控制的状况，而不是等到由于内部控制的缺陷导致财务报告出现严重问题时才做出反应。管理当局应对企业的内部控制制度的健全性和有效性负责，如果企业没有健全的内部控制制度或者内部控制制度失效，导致财务报告虚假而对投资者形成误导，或企业的资产受到损失，将会承担民事或刑事责任。因此，内部控制信息披露可以提高企业管理当局内部控制的意识，从而重视企业的内部控制建设。

其次，内部控制信息的披露有助于企业改进内部控制系统，防止和发现舞弊。内部控制信息披露是加强自身管理的一种制度，它是促进公司加强自身管理、解除受托责任、保护资产安全的一种制度安排。披露内部控制信息需要对整个内部控制系统的设计、运行情况中国上市公司内部控制信息披露的现状和影响因素。

二、内部控制信息披露的现状

首先，从我国内控信息批露得总体情况来看，大多数上市公司都对内部控制信息进行了对外披露，但仍有少数公司未进行内控信息的披露，未按《上市公司指引》的要求对外披露内控信息，由此可见我国对上市公司内控信息披露的监管还有待加强。

其次，我国内控信息披露主体已由过去的主要依靠监事会披露向董事会、监事会和会计师事务所共同披露转变，但还有为数不少的公司仍然是主要依靠监事会进行内控信息披露。

第三，我国绝大多数上市公司仅仅披露了内控信息的一部份，缺乏统一的规范的披露内容，这说明上市公司缺乏披露内控信息的强有力的动力。此外，公司有隐瞒对自己不利信息的动机，因为多数公司披露的内控信息中对于内控不足只字未提。

第四，上市公司总体披露程度大幅提高，但还是有部分公司对内控信息的披露流于形式的情况，仅以一句“内控制度基本健全”草草了事。

三、完善我国企业内部控制信息披露的措施

（一）完善我国上市公司内部控制信息披露的相关规定

目前，我国虽然要求上市公司披露其内部控制信息，但是相关法规的要求不一致，缺乏统一、规范的技术性指导，这就不利于上市公司内部控制信息的披露。公司对内部控制信息的理解不同。建议由中国证监会统一制定《上市公司内部控制指引》，使上市公司对内部控制的理解达成一致。2008年颁布的《企业内部控制基本规范》已经开始生效，但仍存在与以前的规范如何衔接的问题。因而，监管部门应该不断完善相关法规，在相关法规中明确可供选择的内部控制标准，或在以后的规范中做出相应的说明。

（二）鼓励并保护上市公司自愿披露内部控制信息

内部控制标准体系建立之后, 企业能否建立并切实执行内部控制制度还需要外部力量的监督。从企业外部加强对上市公司内部控制信息披露的监管主要包括完善注册会计师对内部控制报告的审核鉴证、加强监管部门的监管力度等。管理层的内部控制报告虽然有注册会计师的审核鉴证,但还需要监管部门对上市公司的内部控制报告、注册会计师的审核或鉴证报告定期或不定期地实施监督检查,同时还需要完善相关的法律法规,加大上市公司注册会计师的违规成本,防范内部控制信息披露中的弄虚作假。

（三）规范上市公司信息披露行为

要求所有上市公司董事会在年度报告中披露内部控制的有关信息,同时要求监事会和独立董事或由独立董事组成的审计委员会发表对内部控制的评价意见;证监会应当对内部控制信息披露的具体内容和格式做出详细规定,以规范上市公司的披露行为;应当要求注册会计师对内部控制信息披露加以验证,并出具审核报告;除强制性披露要求以外,应采取措施鼓励管理当局自愿披露有关内部控制信息。

（四）明确界定公司管理层对内部控制的法律责任

目前我国应该深入全面的进行关于管理层法律责任的立法及法律责任的研究,引入问责机制,明确界定管理层对于财务报告内部控制中的责任,以及制定其有关违法行为的处罚措施,加大处罚力度。在明确管理层的法律责任这方面,我国可借鉴《萨班斯—奥克斯利法案》的相关规定,明确公司所有的收支活动都必须经过管理层和董事的合理授权。管理层应负责建立并评价公司的内部控制制度和程序是否包括了详细合理的记录,以准确公允地反映公司的资产交易和处理状况;内部控制是否合理保证公司的管理层对公司的收支活动进行了合理的授权。我国法律还应细化对各种违法违规编制和提供财务报告以及内部控制报告行为的处罚条款,并加大处罚力度。对违法的单位和个人要严格追究当事人个人及其所在企业的民事及行政责任,情节严重的追究其刑事责任。建立一个明确的责任划分衡量及惩罚标准并认真地付诸实践,这对于从根本上遏制管理层舞弊的动机,全面开展对内部控制进行审计,以及进一步明确企业管理层及注册会计师的法律责任具有重要的意义。

参考文献：

[1]李明辉，何海，马夕奎，唐予华.上市公司内部控制信息披露的现状与改进[J]，上海会计,2003.

[2]乔旭东.上市公司年度报告自愿披露行为的实证研究[J].当代经济科学，2003.

[3]王雄元,沈维成.上市公司控制结构与信息披露[J].证券市场导报，2008.

[4]巫升柱.中国上市公司年度报告自愿披露影响因素的实证分析[J].当代财经，2007.

公司信息安全管理制度[定稿] 篇4

信息安全是指通过各种策略保证公司计算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。

1.计算机设备安全管理

1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。

1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。1.4因工作需要借用公司公共笔记本的，实行 “谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。

2.电子资料文件安全管理。2.1文件存储

重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。

2.2文件加密

涉及公司机密或重要的信息文件，所有人员需进行必要加密并妥善保管；若因保管不

善，导致公司信息资料的外泄及其他损失，将由其本人承担一切责任。

2.3文件移动 严禁任何人员以个人介质光盘、U盘、移动硬盘等外接设备将公司的文件资料带离公司。若因出差等原因需要拷贝文件资料到存储设备中，需要向上级请示批准，并以公司存储设备做文件拷贝。

2.4文件转移

若员工离职，在办完移交手续时，所在部门负责人将此员工工作资料拷贝至部门保存（可联系信息技术部进行技术支持），若没有执行此操作流程，离职员工损失的任何资料由该部门自行承担。

3.软件安全管理

3.1软(软件原始盘片)、硬件设备的原始资料（光盘、说明书、保修卡、许可证协议、合同正本等）应交总裁办保管,保管应做到防水、防磁、防火、防盗。

3.2服务器、PC机须安装杀毒软件，定期病毒库更新及病毒查杀；任何人不得安装危害公司计算机及网络的任何软件。

3.3信息技术部对各信息系统软件、数据库软件、常用办公软件等进行备份存储，做好版本控制及相关更新。

3.4员工须严格遵守公司《计算机使用管理规定》中软件管理的相关规范。

4.信息系统的安全管理 各信息系统（MAIL、ERP、CRM、WMS、WEB等）的安全管理要求，参考相应的信息系统管理规定。

5.数据库安全管理

信息技术部须采用循环的完全备份和增量备份等备份策略，完成对各信息系统数据的定期备份，以便在信息系统发生故障时将数据恢复到最佳状态。对备份的数据文件应妥善保管，防止被非法拷贝或毁坏，严禁未经授权将数据库拷贝出系统，转给任何单位或人员。

6.密码安全管理

6.1初始密码须及时更改，新密码须包含无规则的字母、数字、符号组合并至少10位以上，禁止直接使用常用单词、人名、电话号码等安全系数低的字符作为密码。

6.2各用户需对所使用电脑、信息系统等密码进行定期（如3个月）更改，如出现密码泄露或异常时，须立马更改并告知信息技术部。

6.3各服务器、信息系统的超级或管理员级密码由分管系统管理员及信息技术部经理双重管理，信息技术部经理掌握全部设备、全部系统的超级或管理员级密码，分管管理员拥有分管系统的管理员级密码（部分视情况授予超级密码）；正常情况下，此类管理级密码每1个月系统管理员必须更改一次并将新密码报备，在有信息技术部人员变动、密码外露或其它异常情况下，必须第一时间更换并将新密码报备。此类管理级账号与密码原则上不对其它任何人员提供，特殊需求须报上级领导批准方可授予。

7.信息安全禁止行为：

7.1利用公司信息系统平台、网络制作、传播、复制危害公司及员工的有关任何信息；

7.2攻击、入侵他人计算机，未经允许使用他人计算机设备、信息系统等；

7.3未经授权对信息平台ERP、CRM、WMS、网站、企业邮件系统中存储、处理或传输的信息（包括系统文件和应用程序）进行增加、修改、移动、复制和删除等；

7.4未经授权查阅他人邮件，盗用他人名义进行发送任何电子邮件； 7.5故意干扰、破坏公司信息平台ERP、CRM、WMS、网站、企业邮件等系统的安全、稳定畅通运行；从事其他危害公司计算机、网络设备、信息平台的安全活动；

7.6未经公司高管领导批准不得通过网络、移动存储设备等向外传输、发布、泄露有关公司的任何信息；

7.7 其它危害公司信息安全或违反国家相关法律法规、信息安全条例的行为。8.信息安全响应机制

8.1信息技术部负责公司信息安全的整体指导与管理工作，并对数据中心机房软硬件及信息系统、数据库的维护、备份等安全进行日常管理。各分支机构、部门涉及公司（或商业)机密的信息安全由分支或部门本身自行负责管理和控制。

8.2为保障各信息系统安全稳定运行，信息技术部在工作日时间由分管管理员负责维护，节假日根据需要，安排相关人员负责值班支持。使用人如发现问题应及时通知信息技术部，管理员应及时处理并做好系统事件记录。

8.3信息系统的权限管理部门为信息技术部，负责各信息系统的权限管理，并指定专人为系统管理员完成各系统账号、权限的设立、注销及变更。

电力公司信息安全威胁及对策论文 篇5

2公司信息安全存在的威胁

一套完整的管理制度是电力公司中必不可少的。但在有些时候公司忽视了技术安全和公司工作人员的管理，可以说还没从个人意识上让员工重视起来。公司信息安全最大的威胁还是来源于信息安全技术管理的缺陷。主要体现在以下几个方面：

（1）生产管控方面。电力公司当然还是以营利为主要目的，所以尽可能多的生产是电力公司的重点。电能的产生、配送、调度等等过程尤其对电力信息安全要求十分高。然而有时这些主要部分会受到不法分子的攻击。攻击电网调度自动化系统，变电站自动化系统，有时就连电厂的监控系统也不免受到不法分子法攻击。

（2）行政管理系统方面。电力公司也是一个完整的公司，拥有着和其他公司一样的结构。行政管理方面主要管控着公司的财务、人事、物资部门的信息安全。这些部门是公司运营的直接关系者。威胁主要来源于人事在操作运行系统的不正确操作，或者是仔细操作，在获取信息或者传出信息时引进了病毒，导致这个操作系统的不稳定或者死机状态，这样就影响电力系统实际运行，也会对其他管理系统产出不好的影响。

（3）营销系统方面。电力公司生产电到销售电是一个完整的过程。电力公司、电力用户和电力传输设备的供应商是这个完整过程的主要三方。为了是每一方的利益都不受损失，所以必须重视营销系统的安全。营销系统主要包括电力市场运营系统、电力营销系统和招标、投标应用系统三个小方面。每个方面都必须和谐衔接才能保证信息在传递和分享过程中安全。这个威胁主要来源于不法分子对电力系统的物理、系统程序、网络等进行攻击。从而造成电力系统的瘫痪，使电力公司的营销系统受到破坏。

3对策

电力公司信息越来越依赖计算机信息技术，在进行细信息获取和分享的过程中必须重视信息安全。电力公司要切实制定好相关的预防对策，采取有效地信息保护措施，为使不管理系统方面还是工作人员方面，都能在一个安全的环境下正常运转而出谋划策。信息安全人人有责。为了信息安全，在电力企业中应当引入密码技术，不是相关用户它无权知道密码。这是密码技术的第一步，但往往有些密码精英他们可以破解密码。所以这就要提高单利信息系统密码的难度性。有些电力系统只有用户名和密码，同样的道理这也不是十分安全。电力公司就需要采用最先进的动态口令，没有动态口令，是很难进入系统的，这样就更安全一点。电力系统的计算机必须装备高过滤性的防火墙。防火墙对于不良网站、病毒查杀有着相当强大的功能，并且只要有不良现象出现，这时就会立马提醒工作人员，让工作人员第一时间解决问题，以免造成更大的影响。

防火墙软件像其他功能软件一样，一定要及时更新，因为好多骇客在不停研制病毒，一不小心就会把病毒传至你的信息系统，影响计算机正常工作。防火墙有时还不能完全抵制病毒的入侵，这时就需要电力系统安装专门的病毒查杀软件，让病毒无机可乘。病毒又有着独特的隐蔽性、潜伏性等特点，所以电力公司的信息安全系统要时刻注意，可以建立专门的计算机病毒预防和监督控制中心，让专业的计算机人员，或者是专业的病毒预防人员来胜任这份工作。公司对员工也要有较高的要求，不带计算机病毒入职，不在计算机使用过程中生产病毒，遇到不正常情况及时向上级汇报，不可自己单独下决定。

实行对电力系统的病毒分级防范，提高电力系统的安全，维持电力系统的正常高效运转。公司还可以定期开展电力系统安全会议提高员工的.安全意识，保护电力系统信息安全人人有责。可以在会议上让专业计算机人员传授经验。每个人都为公司信息安全作出贡献。每一个员工都是公司的一员，在正常工作时间保证不浏览不良的信息网页，以免招致病毒入侵。在公司与其他公司人员进行信息共享时，一定确保对方不把信息传递给第三方。共享的信息一定要经过公司领导层的审批，不可随意将公司信息传给他人，关于公司信息的外露是要负法律责任的。公司信息系统的用户名、密码不可随意给他人，动态口令更不可给他人。公司安装正版的防火墙，专业人员的负责操作，都会给公司的顺利运行带来促进作用。在对电力信息个系统进行综合分析的过程中，制定行之有效的应对策略。

4结语

信息最大的功能就是共享，信息共享又是一切不安全事件的来源。在电力系统的信息安全维护方面，电力公司的正常运转，从生产、传输到用户应在一个可靠、准确的信息环境，必须合理解决在运营过程中出现的一系列问题，并齐心协力，电力信息系统的安全是电力公司安全运转的前提。

参考文献

[1]庞霞,谢清宇.浅议电力信息安全运行维护与管理[J].科技与企业,(07).

[2]游威荣.电力信息安全的监控与分析[J].北京电力高等专科学校学报(自然科学版),2011(10).

[3]王红霞,王中敏,王红晓,刘东,高峰.浅析电力信息安全管理[J].北京电力高等专科学校学报(自然科学版),2011(12).

公司信息安全控制程序 篇6

第一章 总 则

第一条 为加强和规范国家电网公司（以下简称公司）信息系统安全工作，提高公司信息系统整体安全防护水平，实现信息系统安全的可控、能控、在控，依据国家有关法律、法规、规定及公司有关制度，制定本办法。

第二条 本办法所称信息系统指公司一体化企业级信息系统，主要包括一体化企业级信息集成平台（以下简称“一体化平台”）和八大业务应用。“一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户；“业务应用”包含财务（资金）管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。电力二次系统安全防护遵照国家电力监管委员会5号令《电力二次系统安全防护规定》及其配套文件《电力二次系统安全防护总体方案》执行。

第三条 信息系统安全主要任务是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的电力系统运行事故。

第四条 公司信息系统安全坚持“分区、分级、分域”总体防护策略，执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网，实现“双机双网”，信息内网定位为公司信息化“SG186”工程业务应用承载网络和内部办公网络，信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。电力二次系统实行“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略。

第五条 在规划和建设信息系统时，信息系统安全防护措施应按照“三同步”原则，与信息系统建设同步规划、同步建设、同步投入运行。

第六条 本办法适用于公司总部，各区域电网、省（自治区、直辖市）电力公司和公司直属单位（以下简称各单位）的信息系统安全管理工作。

第二章 信息系统安全管理职责

第七条 公司信息系统安全管理实行统一领导、分级管理。各单位主要负责人是本单位信息系统安全第一责任人，各单位信息化领导小组负责本单位信息系统安全重大事项决策和协调工作。

第八条 信息系统安全纳入公司安全管理体系，实行专业管理、归口监督。公司信息化工作部是信息系统安全的管理部门，负责管理信息大区（信息内网和信息外网）的安全保障，国家电力调度通信中心负责电力二次系统特别是生产控制大区系统的安全保障，安全监察部负责公司信息系统安全监督工作。第九条 公司信息化工作部主要职责：

（一）落实国家有关信息系统安全法规、方针、政策、标准和规范，联系国家有关部门落实信息系统安全管理相关工作；

（二）组织制定公司信息系统安全管理规章制度和标准规范；

（三）指导、协调和检查各单位信息系统安全工作，组织落实公司信息系统等级保护制度，统筹开展公司信息系统风险评估和安全检查工作；

（四）负责信息系统二级以下事故的调查和处理（公司信息系统安全事件描述见《国家电网公司信息系统事故调查与统计规定》）；协助信息系统一级、二级事故的调查和处理；

（五）在公司应急体系框架内，负责公司信息系统应急管理相关工作；

（六）开展涉密计算机网络和系统立项、设计和建设，做好信息系统安全与保密检查；

（七）负责规范公司信息系统安全产品的测评和选型工作。第十条 公司安全监察部主要职责：

（一）负责公司信息系统安全全过程监督检查；

（二）负责信息系统一级、二级事故的调查和处理；

（三）负责监督公司信息系统应急管理工作落实；

（四）负责归口统计信息系统安全事故。第十一条 国家电力调度通信中心主要职责：

（一）负责制定电力二次系统管理制度，负责制定公司电力二次系统安全防护方案及应急处理预案；

（二）负责审核下级电力二次系统安全防护实施方案和应急处理预案，负责电力二次系统信息系统安全事故的调查和处理；

（三）配合完成国家有关部门对公司电力二次系统开展的信息系统安全检查、等级保护制度落实等各项工作。

第十二条 业务应用部门主要职责：

（一）配合开展业务应用系统安全等级定级工作；

（二）配合开展业务应用系统安全测评、安全检查和风险评估等工作；

（三）负责或配合开展业务应用使用人员的有关信息系统安全和保密培训工作；

（四）协助开展业务应用人员办公计算机安全管理。第十三条 各单位主要职责：

（一）负责贯彻落实国家有关信息系统安全法规、方针、政策、标准和规范，贯彻落实公司信息系统安全相关规章制度和技术标准，建立健全本单位信息系统安全标准制度和规范体系；

（二）负责落实本单位范围内信息系统安全工作责任制；

（三）在公司信息职能管理部门指导下，落实本单位信息系统等级保护制度、信息系统风险评估和安全检查等工作；

（四）按公司信息系统应急体系要求建立本单位信息系统应急体系，组织本单位信息系统安全突发事件的应急处理；

（五）负责明确本单位信息系统安全运行维护部门或机构，落实信息系统安全运行维护日常工作，具体落实信息系统安全等级保护和安全策略；

（六）组织本单位信息系统安全的宣传和培训。

第三章 管理措施

第十四条 不断建立健全信息系统安全管理制度体系，通过操作规程实现安全管理和操作人员的标准化作业；定期对信息系统安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度及时进行修订。

第十五条 明确安全管理机构，设立系统管理员、网络管理员、安全管理员等岗位，并明确各岗位职责。应加强信息系统安全管理人员之间、信息职能部门和业务部门之间的合作与沟通，定期或不定期召开协调会议，共同协作处理信息系统安全问题。

第十六条 严格遵守“涉密不上网、上网不涉密”纪律，严禁将涉密计算机与互联网和其他公共信息网络连接，严禁在非涉密计算机和互联网上存储、处理国家秘密。严禁在信息外网计算机上存储和处理涉及企业秘密的信息。严禁涉密移动存储介质在涉密计算机和非涉密计算机及互联网上交叉使用。

第十七条 严格信息系统安全工作人员录用过程，审查其身份、背景、专业资格，关键岗位应签署保密协议；及时终止离岗员工的所有访问权限；严格外部人员访问程序，对允许访问人员实行专人全程陪同或监督，并登记备案。第十八条 严格按照国家有关部门要求，开展公司网络与信息系统定级、审批、备案工作。针对确定的网络与信息系统安全等级，要根据等级保护有关要求，落实必要的管理和技术措施，严格执行等级保护制度。

第十九条 新建信息系统涉及安全防护措施建设，应明确安全需求，确定安全等级，结合公司安全防护总体策略，进行安全防护方案设计；根据国家有关规定和坚持鼓励使用国产化产品原则，开展安全产品采购，必要时开展产品预先选型测试；加强软件开发管理，确保开发环境与实际运行环境安全隔离；委托有资质的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；对测试不符合要求的，在整改后要重新测试。系统试运行前，要开展相关安全培训。

第二十条 加强信息系统运行维护全过程管理：

（一）严格执行信息机房管理有关规范，确保机房运行环境符合要求，严格机房出入管理。要编制信息系统资产清单，建立资产管理制度，根据资产重要程度对资产进行标识。

（二）对信息系统软硬件设备选型、采购、使用等实行规范化管理，建立相应操作规程，对终端计算机、工作站、便携机、系统和网络等设备实行标准化作业。强化存储介质存放、使用、维护和销毁等各项措施。

（三）按照最小服务配置和最小授权原则，对安全策略、安全配置、日志和操作等方面做出具体规定，明确各个角色的权限、责任和风险；详细记录日常操作、运行维护记录、参数设置和修改等内容，严禁任何未经授权的操作；定期开展运行日志和审计数据分析工作，及时发现异常行为。及时根据需要进行软件升级更新，并在更新前做好备份；定期进行漏洞扫描，及时发现安全漏洞并进行修补；及时安装补丁程序，在安装补丁前做好测试和备份工作。

（四）及时升级防病毒软件，加强全员防病毒、木马的意识，不打开、阅读来历不明的邮件；要指定专人对网络和主机进行恶意代码检测并做好记录，定期开展分析；加强防恶意代码软件授权使用、恶意代码库升级等管理。

（五）严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序，建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准，进行必要的安全隔离，配置严格的访问控制策略，开展必要的安全评估。

（六）建立和执行密码使用管理制度，使用符合国家密码管理规定的密码技术和产品。

（七）对信息网络与系统运行状况等进行监测和报警；定期对监测和报警记录进行分析，根据需要采取必要的应对措施；应建立安全管理中心，对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。

（八）严格按照有关信息系统事故调查规定，及时报告信息系统事故情况，认真开展信息系统事故原因分析，坚持“四不放过”原则，有效落实整改，确保类似事故不再发生。严格执行有关公司网络与信息系统安全运行情况通报制度，做好定期、节假日和特殊时期的网络与信息系统安全运行情况报送工作。第二十一条 严格执行公司有关信息系统安全风险评估管理规定，切实将信息系统安全风险评估工作常态化和制度化，及时落实整改，及时消除信息系统安全隐患。根据国家和公司要求，定期开展信息系统安全检查工作，做好特殊时期安全检查和安全保障工作。

第二十二条 不断完善应急预案，加强培训和演练，确保人力、设备等应急保障资源可用。

第二十三条 建立备份与恢复管理相关安全管理制度，严格控制数据备份和恢复过程，妥善保存备份记录，定期执行恢复程序。要切实根据需要开展业务应用容灾系统建设。

第二十四条 切实加强网络信任体系建设规划工作，不断完善公司安全认证系统相关技术标准和功能规范。强化信任体系应用工作，做好信息系统统一身份认证，以及重要信息的加密和签名工作。第二十五条 切实加强员工信息系统安全培训，提高全员信息系统安全意识；强化信息系统安全人员专业技能培训，做到培训工作有计划、有总结，培训效果有评价。要对关键岗位人员进行全面、严格的安全审查和技能考核，对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰。对违反国家法律、法规和公司有关规定，造成一定不良影响和后果的，要追究其责任。

第四章 技术措施

第二十六条 根据国家和公司有关规定，对机房建筑设置符合要求的避雷装置、灭火和火灾自动报警系统；采取防雨水措施，防止雨水、水蒸气结露和地下积水；设置温、湿度自动调节设施，控制机房温、湿度在设备运行所允许范围之内，保证双路供电,电源线和通信电缆应隔离，避免互相干扰；采用接地方式防止外界电磁干扰和设备寄生耦合干扰。

第二十七条 加强网络安全技术工作：

（一）网络核心交换机、路由器等网络设备要冗余配置，合理分配网络带宽；建立业务终端与业务服务器之间的访问控制；根据需要划分不同子网；对重要网段采取网络层地址与数据链路层地址绑定措施。

（二）采用防火墙或入侵防护设备（IPS）对内网边界实施访问审查和控制；对进出网络信息内容实施过滤，对应用层常用协议命令进行控制，网关应限制网络最大流量数及网络连接数。严格拨号访问控制措施。

（三）加强内部用户私自访问外部网络行为的检测工作，要能够及时发现，准确定位，有效阻断；对重要网段，应采用入侵检测系统进行监控，对入侵事件及时提供报警。

第二十八条 加强系统安全技术工作：

（一）对操作系统和数据库系统用户进行身份标识和鉴别，具有登录失败处理，限制非法登录次数，设置连接超时功能；用户访问不得采用空账号和空口令，口令要足够强健，长度不得少于8位。

（二）严格限制匿名用户的访问权限；实现操作系统和数据库系统特权用户访问权限分离，对访问权限一致的用户进行分组，访问控制力度应达到主体为用户级，客体为文件、数据库表级。

（三）控制单个用户的多重并发会话和最大并发连接数，限制单个用户对系统资源、磁盘空间的最大或最小使用限度，当系统服务水平降低到预先规定的最小值时，应能检测并报警。

第二十九条 严格网络、系统安全审计工作，安全审计系统应定期生成审计报表，自动进行备份，审计记录应受到保护，避免删除、修改或破坏。第三十条 重要和敏感信息实行加密传输和存储；对重要信息实行自动、定期备份；对门户网站页面，要具有防篡改机制和措施。第三十一条 严格用户帐号及口令管理，使用强健复杂口令，定期更换口令，杜绝使用空口令；定期开展用户终端计算机数据备份工作，及时安装系统补丁程序，及时更新杀病毒程序，加强移动存储介质管理。

第五章 附则

上市公司内部控制信息披露研究 篇7

关键词：内部控制,信息披露,改进建议

内部控制信息披露指企业管理当局依据一定的标准向外界披露本单位内部控制完整性、合理性和有效性评价的信息以及注册会计师对内部控制报告审核的信息。

2001年安然、世通等一系列会计丑闻的发生, 使得对内部控制信息的披露要求急速升温并达到巅峰。2002年《萨班斯-奥克斯利法案》签署生效, 结束了美国内部控制信息自愿披露的历史, 进入了强制披露的时代。我国对内部控制信息披露的关注起步较晚, 但是发展迅速。上交所和深交所2006年出台了《上市公司内部控制指引》。2008年6月28日, 我国财政部、国资委等五个部委共同制定了《企业内部控制基本规范》 (简称《基本规范》) , 要求企业对内部控制的有效性进行自我评价, 披露年度自我评价报告, 并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。这标志着我国上市公司完成了内部控制由片面披露到全面披露、由满足监管需要到满足外部信息使用者决策需要、从自愿披露到强制披露的全面蜕变, 实现了与国际接轨。但是, 不得不承认, 上交所和深交所发布的《上市公司内部控制指引》以及《企业内部控制基本规范》还比较笼统, 仅仅是一个原则性指引。对每个企业究竟要披露哪些内容、披露的详尽程度以及会计师事务所对企业内控评价的标准仍然没有具体的规范。因此, 在我国企业内部控制信息披露方面还有许多问题值得去思索和探讨。

一、内部控制信息披露的经济动因

(一) 降低权益资本成本, 提升企业价值。

随着企业经营规模的不断扩大, 需要越来越多的资本金投入。通过披露内部控制信息, 使投资者更全面、具体地了解企业经营状况和发展潜力, 从而增强投资者投资的信心。因此, 内部控制质量高的企业更倾向于披露内部控制信息。

(二) 解决信息不对称问题, 提高资本市场效率。

信息不对称来源于内部交易及内部信息不透明。管理者和其他内部人员出于自身利益考虑会通过各种途径, 以牺牲外部投资者的利益来谋取他们的信息优势利益, 由此导致了逆向选择和道德风险。内部控制信息的充分、及时披露可以有效地控制逆向选择和道德风险问题。外部投资者借助披露的信息可以了解企业治理情况、管理层的诚信和道德价值观、管理层对特定岗位的胜任能力。

(三) 提高财务报告信息质量和增强投资者信心。

良好的内部控制可以产生可靠的财务信息, 对于可能导致报表错误或报表重述的错误或遗漏, 内部控制可以起到事前预防和事后及时检测、纠正的作用。因此, 企业应披露与投资者决策相关的内部控制信息, 增加财务报告的信息含量。

二、上市公司内部控制信息披露现状

(一) 企业内部控制系统不健全。

企业内部控制系统不健全主要表现为:内部控制环境不佳, 缺少风险评估程序, 没有制定相应的信息与沟通制度, 内部监督形同虚设。出现这个问题不能够完全归责于企业, 因为我国一直以来都没有一个完善、详细、可执行的内部控制框架, 使得很多企业即使是想要建立完善的内部控制, 也无章可循, 只能是根据企业的实际情况, 再按照现有的法律、法规进行局部完善。当然, 仅仅从企业对内部控制披露的不完善来判定企业内部控制不健全, 有些片面, 但是, 如果一个企业有着良好的内部控制, 是会积极、全面、详细地对外披露的。

(二) 内部控制信息披露依据不统一。

上市公司提到的内部控制所依据的法律、法规和部门规章包括:上交所内部控制指引、深交所内部控制指引、《中华人民共和国商业银行法》、《商业银行内部控制指引》、《中华人民共和国公司法》。而这些法律、法规和规章对内部控制披露的要求不一, 形式各异, 详略不同, 由此披露也参差不齐。有些上市公司可能为了降低披露成本, 也可能为了掩饰公司内部控制缺陷, 往往选择那些对内控披露要求较低、内容少、标准不明确的作为依据, 以实现各自的目的。

(三) 内部控制信息披露态度不积极。

目前, 我国企业管理者内部控制意识还比较薄弱, 认识不够深入, 其中相当一部分对内部控制不够重视, 导致有的企业没有建立健全的内部控制制度;也有部分管理者误认为自己管理下的企业内部控制已经十分完善, 以为内部控制就是内部成本控制、内部资产安全性控制等, 或者以为内部控制就是一堆堆的手册、文件和制度等。此外, 也有的企业由于管理者对内部控制实施监管不力, 使得企业内部有章不循、执法不严, 内部控制制度流于形式, 没有切切实实得到执行。

(四) 注册会计师对内部控制鉴证的评价标准不明确。

上交所指引要求上市公司需要聘请会计师事务所对内部控制的自我评价进行鉴证并发表意见, 但是, 没有明确事务所进行鉴证的评价标准。目前, 会计师事务所出具内部控制自我评价报告的鉴证报告时依据的是不同的标准要求。

三、内部控制信息披露改进对策

(一) 监管者层面

1、进一步完善企业内部控制基本规范。

《企业内部控制基本规范》第一次明确了我国企业内部控制的建立规范和披露要求。但是, 无法否认的是, 这一规范更多的是参考萨班斯法案而制定, 比较笼统, 原则性比较强, 执行性不强。目前, 我国企业对内部控制的认识还是十分片面的, 这就需要国家出台更加具体、明确的规范, 让企业有章可循。

2、明确内部控制信息披露要求。

虽然上交所和深交所对上市公司内部控制自我评价报告的内容做了规定, 但是从内容上看是相当简略和概括的, 对每一项内容应该披露的详略程度和范围没有作出规定。对于上市公司来说还是存在较大的随意性和可选择性。因此, 相关部门应该根据企业的实际情况出台更加具体和详细的披露规定, 对披露的内容和形式作出细化的规定, 减少企业的选择空间, 尽可能地实现披露标准化、详细化和明确化。促进企业内部控制信息披露的完善和健全, 同时也有利于监管部门的管理。

3、加强监管力度。

目前, 我国应该深入全面地进行关于管理层法律责任的立法及法律责任的研究, 引入问责机制, 明确界定管理层对财务报告内部控制中的责任, 也可借鉴《萨班斯-奥克斯利法案》的相关规定, 建立一个明确的责任划分衡量及惩罚标准。为了使证券市场健康发展, 加强对各上市公司的监督与管理, 需要不断地完善企业内部控制信息披露的相关立法和监督制度, 保证内部控制信息披露的真实性与完整性, 使企业的各项活动在政府和社会公众的监督之下, 促进企业改进内部控制系统。

(二) 执行者层面

1、增加管理者对内部控制信息披露的认识。

一直以来, 有些公司对于内部控制信息披露都是怀有抵触心理的。一方面他们认为这会增加他们的披露成本, 更重要的是很多公司内部控制不健全, 害怕对外进行披露后失去投资者, 造成信贷和融资方面的麻烦。其实, 上市公司应该意识到通过内部控制报告披露内部控制信息是促进企业加强自身管理的重要举措。首先, 内部控制信息披露报告给公司管理机构提供一个陈述其有关企业内部控制的关键信息的机会;其次, 通过内部控制信息的披露来改善经营管理, 提高企业的经营效率。内部控制报告能够使企业定期检查;最后, 上市公司之间可以通过内部控制信息披露来实现彼此之间的交流和沟通, 学习彼此的成功经验, 吸取彼此失败的教训, 用最短的时间来完善企业内部控制建设。

2、健全上市公司治理结构。

目前, 我国公司治理存在的缺陷妨碍了内部控制的有效运行。因此, 健全上市公司的治理结构成为其内部控制建立、健全并有效运行的制度基础。具体说来, 上市公司首先应理顺产权关系, 保持上市公司的独立性, 避免内部人控制;其次, 应强化监事会的监督作用;最后, 应加强专门委员会和独立董事的作用。

3、切实进行自查、评价。

一个企业要发展, 内因是决定因素。我们总是把目光放在竞争对手身上, 考虑着如何打败对方, 其实真正的敌人不是别人, 正是自己, 只有自身的强大才是真正的强大。建立内部控制制度只是万里长征的第一步, 重要的是随着各方面的变化不断地完善企业内部控制。任何一个企业内部控制系统的完善是无止境的, 它的完善需要通过不断地发现问题解决问题来实现, 但这个过程真正地实施起来并非易事。强制披露的最终目的就是要促进企业的不断完善。所以, 企业一定要按照规范以及指引的规定, 认真进行自我检查, 自我评价, 找出存在重大风险的领域, 提出行之有效的解决措施, 并付诸行动, 最后对外进行真实披露, 以此来促进自身内部控制的完善。

参考文献

[1]李育红.公司治理结构与内部控制有效性——基于中国沪市上市公司的实证研究[J].财经科学, 2011.2.

[2]宋京津.经济后果观下的内部控制信息披露问题——基于三大上市银行2001年-2008年年报的思考[J].审计与经济研究, 2011.3.

[3]李享.美国内部控制实证研究:回顾与启示[J].审计研究, 2009.1.

[4]杨有红, 汪薇.2006年沪市公司内部控制信息披露研究[J].审计研究, 2008.2.

公司信息安全控制程序 篇8

【关键词】 上市公司；内部控制；信息披露；问题

一、引言

随着改革开放的持续深入和经济的高速发展，我国证券市场已经走过了近20年的发展历程，其规模不断扩大，对经济的影响持续增强。一方面，由于有效的内部控制可以保护公司财产物资的安全、完整，保证公司的会计资料的可靠性和正确性，保证公司的经济活动的合法性与效益性；而上市公司的内部控制不仅关系到上市公司自身的发展，而且关系到广大投资者的利益，关系到资本市场的健康发展；另一方面，近年来，我国证券市场出现了如银广厦、中航油和科隆等财务舞弊案，很大程度上是因为公司的内部控制意识淡薄、内部控制不健全造成的，因此，投资者和政府部门对上市公司内部控制的状况关注程度与日俱增，对上市公司公开披露内部控制信息的要求也越来越高。我国上市公司内部控制信息披露经历了从无到有的过程，但与会计信息的披露相比，仍处于初步阶段，在实践过程出现了很多问题。笔者选取了29个深圳证券交易所挂牌的公司和15个上海证券交易所挂牌的公司，对这44个公司所公布的2005年、2006年、2007年年度报告中关于内部控制的相关内容进行分析和比较。

二、我国上市公司内部控制信息披露的现状

（一）我国有关上市公司内部控制信息披露的规定

证监会2003年3月发布的《公开发行证券的公司信息披露内容与格式准则第1号——招股说明书》第122条规定：首次公开发行股票并上市的公司应披露公司管理层对内部控制制度完整性、合理性及有效性的自我评价意见，注册会计师指出以上“三性”存在重大缺陷的，应披露并说明改进措施。证监会2005年12月修订的《公开发行证券的公司信息披露内容与格式准则第2号——年度报告的内容和格式》规定：年度报告中，监事会应对公司决策程序是否合法，是否建立完善的内部控制制度，公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为发表独立意见。上海证券交易所于2006年6月5日发布了《上海证券交易所上市公司内部控制指引》，其中第四章从强制披露的角度出发，对上市公司的内部控制提出了信息披露的要求。该指引要求公司在内部控制出现重大风险时应以临时报告的形式进行披露，同时还要求公司在年度报告中披露该年度内公司内部控制的执行情况。深圳证券交易所也于2006年9月28日发布了《深圳证券交易所上市公司内部控制指引》，规定公司董事会应依据公司内部审计报告，对公司内部控制情况进行审议评估，形成内部控制自我评价报告。公司监事会和独立董事应对此报告发表意见，并与公司年度报告同时对外披露。

（二）公司年报中关于内部控制信息披露的内容

1．深圳证券交易所挂牌的公司：

本文选取了中信国安信息产业股份有限公司、烟台张裕葡萄酿酒股份有限公司等29家在深圳证券交易所挂牌上市的公司，对各个公司公开发布的2007年年度报告中关于内部控制部分内容进行了整理分析，具体情况见表1、表2。

2．上海证券交易所挂牌的公司：

本文选取了丹化化工科技股份有限公司、哈尔滨哈投投资股份有限公司等15家在上海证券交易所挂牌上市的公司，对各个公司公开发布的2007年年度报告中关于内部控制部分内容进行了整理分析，具体情况见表3。

（三）我国上市公司内部控制信息披露存在的问题

通过对29个深圳证券交易所挂牌的公司和15个上海证券交易所挂牌的公司公布的2005年、2006年、2007年年度报告中关于内部控制的相关内容进行分析和比较，笔者发现我国上市公司在内部控制信息披露方面主要存在以下几个方面的问题：

1. 标准与要求不统一。在我国，上市公司在内部控制信息披露的标准与要求不统一主要体现以下两个方面：（1）不同层次要求与标准不统一，即我国证监会与上交所、深交所的标准与要求不统一。证监会在《公开发行证券的公司信息披露内容与格式准则第2号——年度报告的内容和格式》中规定：年度报告中，监事会应对公司决策程序是否合法，是否建立完善的内部控制制度发表意见。上海证券交易所的《上海证券交易所上市公司内部控制指引》要求，公司在内部控制出现重大风险时应以临时报告的形式进行披露，同时还要求公司在年度报告中披露该年度内公司内部控制的执行情况。深圳证券交易所的《深圳证券交易所上市公司内部控制指引》规定，公司董事会应依据公司内部审计报告，对公司内部控制情况进行审议评估，形成内部控制自我评价报告，公司监事会和独立董事应对此报告发表意见，并与公司年度报告同时对外披露。（2）同层次的标准与要求不统一，即上交所与深交所的标准与要求不统一。从表1和表3可以看出，在上交所和深交所挂牌的公司公布的内部控制的信息方面存在着巨大的差异，主要就是要求和标准不统一造成的。

2. 形式化严重。在我国，上市公司在内部控制信息披露方面存在着非常严重的形式化问题，所披露的内容都是泛泛而谈，没有实质内容和建设性的内容，对相关信息的使用者的利用价值很低。主要体现在以下几个方面，具体见表4：

3．缺乏主动与自愿性。在我国，上市公司在内部控制信息披露方面缺乏主动与自愿性主要体现在以下两个方面：（1）在没有强制要求披露内部控制信息之前，基本没有公司会主动披露，如笔者所分析的44个公司中的情况见表5；（2）在强制要求披露内部控制信息之后，各个公司只是披露一些无关痛痒的内容，对一些核心的内容很少披露，都秉着“能不披露的，一定不披露；一定要披露的，尽量少披露”的原则。

4．缺乏评价标准。要使披露的内部控制信息具有可比性，必须对内部控制的有效性作出统一的量度，这样才能对其予以正确的评价。目前我国尚未对内部控制提出统一的标准，只是对企业的内部控制内部会计控制制定了统一的标准，而对内部管理控制却没有制定出相应的统一标准。

三、我国上市公司内部控制信息披露改善的建议

（一）统一标准与要求

应加快相关立法，完善我国上市公司内部控制信息披露的规章制度。证监会应当对内部控制信息披露的范围、内容和形式作出详细规定，统一相应的披露标准与要求，以规范上市公司的披露行为，加强上市公司的可操作性，以便于信息使用者的使用，也可以保证同一个证券交易所不同的公司、不同的证券交易所的公司之间的内部控制具有可比性。

（二）明确内部控制信息披露的相关责任主体

由于董事和经理是企业内部控制的设计者和执行者，对本企业的内部控制最为熟悉，也是企业内最有能力对其进行评估的人，因此可由董事会和管理当局承担内部控制信息披露的责任，对企业内部控制的建设和健全情况和自我评估报告进行披露，同时将评估结果报告给投资者、证监会等相关信息需求者。监事会在内部控制信息披露方面的责任的性质与董事会有所不同，他们发表意见仅仅是对董事会和经理是否建立内部控制制度、内部控制系统健全情况以及董事会所披露的内部控制信息的正确性与完整性进行的一种监督。

（三）提高内部控制信息披露的自愿性

从上面的分析可以看出，在强制性进行内部控制信息披露时，各个公司会采取各种办法逃避信息披露，即“上有政策，下有对策”，从而无法做到完全保证内部控制信息披露的有用性。所以，在强制性进行内部控制信息披露性的同时，要鼓励企业对内部控制信息进行披露，提高其披露的自愿性。

（四）出台内部控制评价规范

应该尽快建立一套完善的、符合实际并具有可操作性的内部控制评价指标体系。因为这样可以起到三个方面的作用：1.对管理者来说，其可以根据相关的评价指标体系及其自身的状况，制定出符合自身特点的内部控制评价体系，定期开展对内部控制的自我评价，这不但可以及时发现内部控制中存在的不足并进行相应的改进，而且可以保证内部控制的信息披露具有针对性和有用性。2.对于监督者（包括监事会、审计机构、政府管理部门）来说，完善的评价体系可以为其对企业的内部控制的监督与评价提供依据，保证其作出有效的、客观的评价。3.对于投资者和其他利益相关者来说，完善的评价体系，可以为他们根据相关企业的内部控制信息披露，了解该企业的运行状况，对企业的获利能力进行相应的预测与判断，以维护自己的利益。

（五）强化监督和惩罚力度

加强对内部控制信息披露的监管，强化注册会计师对内部控制信息披露的审核。对恶意披露误导投资者的上市公司，监管部门不但要处罚该公司，而且还要对相关责任人进行处罚。

四、结束语

随着我国证券市场规模的扩大，为了使其健康的发展，必须加强对各上市公司的监督与管理，不断地完善企业内部控制信息披露的相关立法和监督制度，保证其在内部控制信息披露方面的真实性与完整性，使企业的各项活动置于政府和社会公众的监督之下，促进企业改进内部控制系统，提高会计信息质量，防止和发现舞弊。同时，要提高管理当局的内部控制意识，促使其关注内部控制的有效性；满足投资者和其他利益相关者的信息需求，维护他们的合法利益；有效地维护我国证券市场的稳定与发展，促进我国经济又好又快的发展。

【主要参考文献】

[1] 苗连琦. 我国上市公司内部控制信息披露问题研究[J].安徽工业大学学报（社科版），2008，（1）.

[2] 惠全红. 我国上市公司内部控制信息披露的思考[J]. 会计之友（下旬刊），2008，（7）.

[3] 孙再凌. 完善我国上市公司内部控制信息披露制度的思考[J]. 内蒙古财经学院学报，2006，（6）.