3 郭瑞 財務數據風險-0425_20240427173240.pdf

《3 郭瑞 財務數據風險-0425_20240427173240.pdf》由會員分享，可在線閱讀，更多相關《3 郭瑞 財務數據風險-0425_20240427173240.pdf（30頁珍藏版）》請在三個皮匠報告上搜索。

1、主講：郭瑞時間：2024.4目錄目錄1 1數據安全風險2 2財務數據特點3 3風險防范應對4 4相關背景概述0101相關背景概述Text here信息層面：安全體系存在的風險主要主要“受害受害”行業行業 金融 信息、互聯網 制造業 醫療衛生重點重點“關注關注”對象對象 財務信息 個人身份信息 醫療記錄 商業機密實際案例：九院信息中心法律文件：構建數據安全保護體系以人民安全為宗旨以經濟安全為基礎構建國家安全體系2015年7月1日起實施規范數據處理活動促進數據開發利用保障數據使用安全2021年9月1日起實施維護網絡空間主權關鍵信息重點保護重要數據境內儲存2017年6月1日起實施維護個人隱私權利促進

2、信息產業建設推動數字化經濟發展2021年11月1日起實施Text here體制建設：加強安全體系和能力建設推進數據制度落地提高數據治理水平釋放數據要素價值2023年10月25日成立開展網絡安全認證協助指導應用推廣支撐智慧監管建設2023年12月25日成立推動數據開發開放和流通使用提高網絡、數據安全保障能力維護國家安全和社會穩定2024年3月5日召開上海市城市數字化轉型工作領導小組辦公室內容板塊落地方向具體內容構建1+1+N數字城市基本框架科學制定城市數字化轉型方案開展好數字化轉型調研依靠市場力量參與數字化轉型建立健全數字“規則”體系探索“數據”深度開發利用強化工作頂層設計電子信息、汽車高端裝備

3、、先進材料生命健康、時尚消費品推動經濟數字化轉型精準觸達“基本民生”創新發展“品質民生”著力跨越“數字鴻溝”深化“便捷就醫”示范場景推廣線上線下融合教學推動民生保障貼心達推動生活數字化轉型全面深化“一網通辦”改革強化城市運行“一網統管”應用加快社會治理數字化重塑深化業務流程革命再造全面深化公共數據治理持續完善“一網通辦”推動治理數字化轉型數字經濟支柱功能更加顯現-實現數字經濟核心產業增加值超5000億元數字生活更趨優質普惠-打造11個老百姓最關心、最直接、最受用的標桿應用數字治理精細化水平提升-實現“一網通辦”網辦比例不低于70%數字化基礎設施能級不斷增強-實現5G全面商用，高端綠色IDC機架

4、梳理超20W工作目標以重點示范區域為標桿建設整體性轉型示范以重大示范工程為引領持續推進數字化新基建建設五大新城數字化遵循“一區一特”的工作導向推動：數字長三角“建設不斷提升信息基礎設施能級著力推進重點示范區域和示范工程建設推動數字產業化推動產業數字化地方部署：上海市城市數字化轉型工作安排0202數據安全風險數據安全概述1數據是指以某種形式記錄的信息，在計算機科學和技術領域，數據通常指的是存儲在計算機系統中的信息。什么是數據數據安全是指保護數字數據免受未經授權的訪問、泄露、篡改、破壞或丟失的過程。涉及確保數據的保密性、完整性、可用性、可追溯性和可審計性。什么是數據安全快遞物流信息、網購交易信息、

5、網約車行車軌跡、瀏覽的網頁、下載的應用、存儲的文件.生活中的數據23數據安全的內涵數據安全的特征保密性保密性確保信息僅對授權個人或確保信息僅對授權個人或系統可用或可見系統可用或可見可用性可用性完整性完整性可追溯性可追溯性確保數據在采集、儲存、使確保數據在采集、儲存、使用和處理過程中未被未授權用和處理過程中未被未授權篡改篡改確保數據在需要時可被授權確保數據在需要時可被授權用戶訪問和使用用戶訪問和使用保證數據可以被檢查和審計，保證數據可以被檢查和審計，以驗證是否遵循相應安全策以驗證是否遵循相應安全策略和控制措施略和控制措施可審計性可審計性確保所有對數據的操作可以確保所有對數據的操作可以追溯到特定個

6、體追溯到特定個體數據安全風險防范制度程序技術措施教育培訓風險監測制定和執行數據安全制度和程序，確保所有使用者都了解并遵守部署防火墻、入侵檢測系統、惡意軟件防護等安全防護工具定期對使用者進行數據安全培訓，提升安全意識和應急處理能力建立風險監測和響應機制，及時發現異常行為和安全事件，迅速采取措施0303財務角度數據安全財務角度數據安全關鍵詞：“數據安全”關注點：網絡安全 數據泄露 網絡病毒 防火墻關鍵詞：“財務數據安全”關注點：金融數據 財務信息化 經濟損失相關案例（一）1 某公司財務人員黃某報案稱，其電腦被他人植入木馬，非法控制其微信并指令出納轉賬，造成損失298.2萬元。經查明，該團伙的主要作

7、案對象為企業財務人員，其制作木馬程序并偽裝成國家相關政策文件，通過企業郵箱群發傳播，待企業人員打開程序致使電腦中毒后，再控制企業工作電腦并登錄聊天工具，偽裝身份伺機實施詐騙行為以及二次傳播木馬程序。相關案例（二）2 某公司人員徐某因對公司不滿而提出辭職。離職時，他將部分文件拷貝至個人U盤、刪除辦公電腦內包括會計賬簿、財務會計報告等文件，未與公司進行工作交接即離開，導致公司財務系統無法工作，造成該公司直接損失人民幣2萬余元。法院審理認為，徐某出于泄憤等個人目的，以其他方法破壞生產經營，其行為已構成破壞生產經營罪。遂以破壞生產經營罪判處徐某有期徒刑一年。2相關案例（三）3 某醫院召開醫療領域學術會

8、議期間，工作人員因缺乏必要的安全意識及專業知識，造成電子郵件賬戶遭到釣魚攻擊，導致學術會議議程、相關科研成果、參會專家個人資料，包括姓名、職務、單位、酬金等敏感信息遭泄露。事后，部分科研成果被公布于網絡，并被大量引用；同時專家個人信息及酬金等敏感信息在網絡上被大肆評論，引發網絡輿情，對參會專家造成了極大困擾。2相關案例（四）4 某科技有限公司負責人稱，公司發現國外網店的收款賬戶、店鋪密碼等信息均被更改，損失預計超200萬元。經查，系該公司離職人員譚某偶然發現其公司內部郵箱賬號及密碼均未被修改，并發現了公司國外網店的IP地址。遂進入網店篡改了商品價格，刪除部分商品，還修改了后臺登錄密碼，將公司收

9、款賬戶更改為另一賬戶。目前，譚某因涉嫌非法控制計算機信息系統罪被警方依法刑事拘留。2財務數據特征企業可以通過多種途徑收集和整理財務數據，內部：總賬，應收賬款，應付賬款，預算，采購等；外部：銀行對賬單、電子支付記錄、人力資源系統、稅務、審計報告等；其他：互聯網、數據庫來源廣泛財務數據收集和管理集中在少數幾個核心系統，如大部分單位實行集中資金管理、統一采購平臺集中度高日常運營中產生大量財務信息（如醫院：治療費用、手術費用、設備耗材采購、患者信息等）產出量大財務數據可能來自不同部門、不同系統（如人事、采購、銀行、稅務），口徑格式不一致、需要經過轉換折算、合并分析等環節編制再加工環節復雜0102030

10、4財務數據特征財務數據中包含大量敏感信息，需要得到妥善保護（個人身份信息、交易信息、客戶數據、個人賬戶信息、供應商報價、薪資信息、財務預算等）保密性強財務數據按照一定規則和標準進行分類、匯總、編制和報告，具有統一的會計科目體系和計算方法（如財務報表、總帳表、預算、成本核算系統等）結構性強財務數據遵循一定的模式、趨勢或周期性變化，具有較強的規律（如年報、季報、月報等）規律性強財務信息化系統、電子支付和結算、數字化票據和報銷系統信息化程度高05060708財務數據管理不善或安全漏洞可能導致嚴重的直接經濟損失（如會計舞弊、不當稅務申報、資產管理錯誤等）泄露易導致嚴重的經濟損失090404風險防范應對

11、財務數據風險防范財務數據生成財務數據使用財務數據傳送財務數據儲存01040302財務數據風險防范環節風險序號風險點風險描述等級評估防范舉措財務數據生成cwsjsc-01缺乏真實性財務數據被虛報或刻意隱瞞重要信息重大1.校驗核對：實施雙重核對制度，進行交叉驗證和使用校驗工具，確保財務數據的完整性、準確性。2.統一規則：統一生成財務數據各系統的兼容性、數據接口和交換方式。構建多維財務模型，形成統一的智能規則引擎庫。3.建立標準：建立財務數據規范化標準。保證財務數據的可靠性和精度；各部門統一財務數據標準和差異，減少數據整合過程中產生歧義和不一致。4.內控審計：建立健全內部控制機制，包括審計和監控機制

12、，確保財務數據的真實性。cwsjsc-02缺乏完整性數據依賴單一來源或來自多個部門，可能會導致信息采集不全面或不完整重要cwsjsc-03準確性不足手工錄入財務數據或從其他系統導入時，可能由于操作失誤、對數據理解有誤或系統問題導致輸入數據不準確重要風險點缺乏真實性缺乏完整性準確性不足財務數據風險防范環節風險序號風險點風險描述等級評估防范舉措財務數據使用cwsjsy-01未授權訪問財務數據被未授權訪問，導致財務數據安全性受損重大1.數據分級：財務數據根據其價值、內容敏感等級進行劃分。2.訪問控制：實施嚴格的訪問控制策略，僅允許授權人員訪問敏感財務數據。3.權限管理：使用身份驗證和授權機制來限制使

13、用者權限。根據最小權限原則，結合會計人員其職級職務為其分配具體操作權限，確保會計人員只能在自身權限內查閱相關財務數據，且沒有單一人員能夠完全控制財務數據。cwsjsy-02數據損壞由于硬件故障或系統問題，導致財務數據不可用或損壞重要數據備份：定期備份數據并儲存在安全位置，確保數據丟失時能迅速恢復。cwsjsy-03密碼泄露財務系統未設置密碼、設置過于簡單或將密碼寫于明顯位置重要制定規則：設定復雜的密碼規則并定期更換密碼。風險點未經授權訪問財務數據損壞密碼泄露財務數據風險防范環節風險序號風險點風險描述等級評估防范舉措財務數據使用cwsjsy-04網絡攻擊財務數據受到黑客攻擊、病毒木馬等網絡安全危

14、險一般1.定期更新：及時更新操作系統、數據庫和財務軟件，以修復已知的安全漏洞，并確保系統安全性。2.數據保護：采取適當的物理和網絡安全措施，如設置訪問收口、數據不落地、在線閉環等措施，確保財務數據安全3.安全培訓：提供信息安全培訓，強調數據安全意識，提高使用人員對網絡威脅的認知和防范能力。cwsjsy-05合規風險財務數據的使用不符合相關法律法規和標準一般1.簽訂協議：簽訂相關協議，明確對財務數據的保密義務，并依照相關法律法規使用財務數據，不私自拷貝、使用、傳播財務數據。2.內控審計：建立相關內控和審計制度，定期檢測潛在風險，確保財務數據使用合法合規。風險點網絡攻擊合規風險財務數據風險防范環節

15、風險序號風險點風險描述等級評估防范舉措財務數據儲存cwsjcc-01數據竊取儲存的財務數據可能被泄露或篡改重大1.數據加密：對存儲在數據庫中的財務敏感數據進行加密，確保數據在存儲過程中都得到保護，防止竊取。2.全面留痕：設置網頁水印，發生風險時可及時查看后臺，追蹤操作記錄和操作日志，實施追責。cwsjcc-02數據丟失硬件設備發生故障，導致系統暫時或永久性不可用；軟件設備存在編程錯誤、不兼容或其他問題，導致系統運行不穩定、系統崩潰，以致數據丟失重要1.自動備份：定期自動備份財務數據。制定并測試恢復計劃，以應對數據丟失的情況；對財務數據實現分級管理，針對具有較高敏感度的關鍵財務數據，會計人員要及

16、時上傳備份。2.維護優化：對財務系統及相關系統進行定期的維護和升級，確保長期穩定運行。cwsjcc-03檔案保管在記錄、歸檔、轉換或管理過程中，因人為或技術因素導致電子憑證與紙質憑證不一致一般加強管理，定期核對：確保檔案管理模式兼容紙質檔案與數據化檔案，定期核對憑證一致性。風險點財務數據竊取財務數據丟失檔案保管財務數據風險防范環節風險序號風險點風險描述等級評估防范舉措財務數據傳輸cwsjcs-01數據攔截財務數據傳輸過程中可能被攔截，導致數據被竊取或隱私信息泄露重大1.數據匿名化：對敏感數據進行匿名化和脫敏處理，以減少數據泄露的風險。2.建立安全監測系統，及時發現異常訪問行為，追蹤數據流向。c

17、wsjcs-02數據篡改財務數據在傳輸過程中可能被篡改內容，導致數據泄露或損壞重要1.數字簽名：使用數字簽名技術，防止財務數據在傳輸過程中被篡改。2.審計跟蹤：實施審計跟蹤機制，記錄財務數據的傳輸和修改歷史，及時追蹤溯源。cwsjcs-03移動設備惡意軟件可能感染usb等傳輸設備，在接入日常辦公電腦時，造成信息泄露或受損一般加強防護：采用安裝終端安全管理系統，通過禁用所有外設接口，或設置只寫、只讀功能等，降低病毒入侵可能性。風險點數據攔截數據篡改移動設備A-人機共智T-精益信任R-統籌風險O-持續運營網絡流量分析監測安全管理制度安全域劃分網絡入侵檢測網絡惡意代碼防范主機惡意代碼防范主機入侵檢測

18、和響應Web應用防護終端惡意代碼防范結構化安全自適應安全智慧化安全物理隔離網閘介質安全生物特征上網行為管理傳輸加密和完整性保護網絡訪問控制物理訪問控制應用身份認證終端身份認證系統身份認證數字證書系統安全加固運維審計設備/鏈路備份流量審計安全管理機構安全管理人員應用訪問行為分析流量日志關聯分析數據訪問行為分析外部威脅情報數據脫敏虛擬化軟件安全終端防泄密終端行為管控應用統一認證和管控文件和數據加密數據訪問控制災備中心統一脆弱性管理終端監控審計終端數據/系統備份應用日志備份網絡空間測繪安全建設管理本地化算法訓練和建模策略流程優化機器流程自動化現代化身份訪問管理訪問流轉溯源統一身份認證管理全局零信任訪問控制統一事件管理安全開發運營攻防對抗演練威脅誘捕威脅狩獵攻擊反制文件分析檢測云工作負載統一保護安全編排自動化與響應輔助決策合規監測與自動化調優統一風險管理統一威脅建?？尚庞嬎闳种R管理運營灰度訪問控制策略數據庫審計統一審計管理安全訪問服務邊緣統一配置管理惡意郵件防范失陷事件關聯局部聯動處置容器安全代碼安全敏感數據定位培訓和人員能力管理3 個階段4 個能力域79 個能力項當前安全能力安全建設目標運行狀態監測根據目標及現狀，明確差距逐步建設智慧化安全管理展望謝 謝