信息资产的安全属性范例

信息资产的安全属性范文1

[关键词] 基础地理；系统；安全；风险评估

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082

[中图分类号] TP315 [文献标识码] A [文章编号] 1673 - 0194（2015）21- 0155- 03

1 引 言

风险是以一定的发生概率的潜在危机形式存在的可能性，而不是已经存在的客观结果或既定事实。风险管理是通过对风险的识别、衡量和控制，以最小的成本将风险导致的各种损失结果减少到最小的管理方法。随着信息化向纵深发展，基础地理信息系统被广泛应用，但信息安全方面的威胁也大大增加，具体到市县级基础地理信息系统中存在各类风险，这些风险有着自身的特点，对系统的影响也随着不同阶段而不同。其中信息安全风险是指系统本身的脆弱性在来自环境的威胁下而产生的风险，这些风险会对信息系统核心的性、完整性和可用性造成破坏。对测绘行业信息安全风险的评估是进行有效风险管理的基础，是对风险计划和风险控制过程的有力支撑，而如何识别和度量风险成为一个难题，目前测绘地理信息行业没有一个行业性安全评估类或者安全管理类规范标准，通用安全评估规范在很多方面对于测绘地理信息系统复杂性和行业特点缺乏适用性，往往较难落地，为此提出市县级国土资源基础地理信息系统安全风险评估规范研究。

2 国内外信息安全风险评估的研究现状

信息安全风险评估经历了很长一段的发展时期。风险评估的重点也由最初简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到技术与管理相结合的科学方法。由于信息安全问题的突出重要性，以及发生安全问题的后果严重性，目前评估工作已经得到重视和开展。国内外很多学者都在积极投身于信息安全的研究，期望找到保护信息安全的盔甲。美国在信息安全风险管理领域的研究与应用独占鳌头，控管健全，己经形成了较为完整的风险分析、评估、监督、检查问责的工作机制。DOD作为风险评估的领路者，1970年就已对当时的大型机、远程终端作了第一次比较大规模的风险评估； 1999年，美国总审计局在总结实践的基础上，出版了相关文档，指导美国组织进行风险评估；2001年美国国家标准和技术协会（NIST）推出SP800系列的特别报告中也涉及到风险评估的内容；欧洲各国对信息安全风险一直采取“趋利避害”的安全策略，于2001-2003年完成了安全关键系统的风险分析平台项目CORAS，被誉为欧洲经典。我国信息安全评估起步较晚，2003年7月，国信办信息安全风险评估课题组启动了信息安全风险评估相关标准的编制工作；8月，信息安全评估课题组对我国信息安全工作的现状进行了调研，完成了相关的评估报告，总结了风险评估是信息安全的基础性工作；2004年3月国家《信息安全风险评估指南》与《信息安全风险管理指南》的征求意见稿；2005年2月至9月，开始了国家基础信息网络和重要信息系统的信息安全风险评估试点工作；2007年7月我国颁布了《信息安全技术信息安全风险评估规范》（GB/T 20984一2007）并于2007年11月1日实施； 20984-2007《信息安全风险评估规范》和《信息安全风险管理规范》之后又一技术性研究课题，将充实信息安全风险评估和风险管理具体实施工作。

3 市县级基础地理信息系统安全风险评估规范研究方法和手段

3.1 市县级基础地理信息系统安全风险评估规范研究方法

市县级基础地理信息系统安全风险评估规范研究通过综合分析评估后的资产信息、威胁信息、脆弱性信息，最终生成风险信息。资产的评估主要从保密性、完整性、可用性三方面的安全进行影响分析，从资产的相对价值中体现了威胁的严重程度；威胁评估是对资产所受威胁发生可能性的评估；脆弱性的评估是对资产脆弱程度的评估；具体如下：

（1）资产评估。资产评估的主要工作就是对市、县、乡三级基础地理信息系统风险评估范围内的资产进行识别，确定所有的评估对象，然后根据评估的资产在业务和应用流程中的作用对资产进行分析，识别出其关键资产并进行重要程度赋值。根据资产评估报告的结果，可以清晰的分析出市、县、乡三级基础地理信息系统中各主要业务的重要性，以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度，从而得出信息系统的安全等级。同时，可以明确各业务系统的关键资产，确定安全评估和保护的重点对象。

在此基础上，建立针对市、县、乡三级基础地理信息系统中的资产配置库，对资产的名称、类型、属性以及相互关系、安全级别、责任主体等信息进行描述。

（2）威胁评估。威胁是指可能对资产或组织造成损害事故的潜在原因。威胁识别的任务主要是识别可能的威胁主体（威胁源）、威胁途径和威胁方式，威胁主体是指可能会对信息资产造成威胁的主体对象，威胁方式是指威胁主体利用脆弱性的威胁形式，威胁主体会采用威胁方法利用资产存在的脆弱性对资产进行破坏。

在此基础上，充分调研，分析现有记录、安全事件、日志及各类告警信息，整理本行业信息系统在物理、网络、主机、应用和数据及管理方面面临的安全威胁，形成风险点列表。

（3）脆弱性评估。脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面，这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。

通过研究，将建立本行业的涉及主要终端、服务器、网络设备、安全设备、数据库及应用等主要系统的基线库，从而为脆弱性检测在“安全配置”方面提供指标支撑。

（4）综合风险评估及计算方法。风险是指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。在风险评估模型中，主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性，风险的属性是风险发生的后果。

综合风险计算方法：根据风险计算公式R= f（A，V，T）=f（Ia，L（Va，T）），即：风险值=资产价值×威胁可能性×弱点严重性，下表是综合风险分析的举例：

注：R表示风险；A表示资产；V表示脆弱性；T表示威胁；Ia表示资产发生安全事件后对组织业务的影响（也称为资产的重要程度）；Va表示某一资产本身的脆弱性，L表示威胁利用资产的脆弱性造成安全事件发生的可能性。

风险的级别划分为5级（见表1），等级越高，风险越高。

各信息系统风险值计算及总体风险计算则按照风险的不同级别和各级别风险的个数进行加权计算，具体的加权计算方法如下。

风险级别权重分配：

极高风险 30%

高风险 25%

中风险 20%

低风险 15%

很低风险 10%

各级别风险个数对应关系（即各级别风险相对于很低风险的个数换算）：

极高风险 16

高风险 8

中风险 4

低风险 2

很低风险 1

风险计算公式R’=K（av，p，n）=av×p×n，其中，av代表各级别风险求平均后总和，p代表相应的风险级别权重，n代表相应的风险个数权重。

总体风险值=R’（极高）+ R’（高） + R’（中） + R’（低） + R’（很低）

3.2 市县级基础地理信息系统安全风险评估规范研究的手段

（1）专家分析。对于已有的安全管理制度和策略，由经验丰富的安全专家进行管理方面的风险分析，结合江苏省基础地理信息系统安全建设现状，指出当前安全规划和安全管理制度存在的不足，并给出安全建议。

（2）工具检测。采用成熟的扫描或检测工具，对于网络中的服务器、数据库系统、网络设备等进行扫描评估；为了充分了解各业务系统当前的网络安全现状及其安全威胁，因此需要利用基于各种评估侧面的评估工具对评估对象进行扫描评估，对象包括各类主机系统、网络设备等，扫描评估的结果将作为整个评估内容的一个重要参考依据。

（3）基线评估。采用基线风险评估，根据本行业的实际情况，对信息系统进行安全基线检查，拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距，得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。

（4）人工评估。工具扫描因为其固定的模板，适用的范围，特定的运行环境，以及它的缺乏智能性等诸多因素，因而有着很大的局限性；而人工评估与工具扫描相结合，可以完成许多工具所无法完成的事情，从而得出全面的、客观的评估结果。人工检测评估主要是依靠具有丰富经验的安全专家在各服务项目中通过针对不同的评估对象采用顾问访谈，业务流程了解等方式，对评估对象进行全面的评估。

（5）渗透测试。在整个风险评估的过程中，结合外部渗透测试的方式发现系统中可能面临的安全威胁和已经存在的系统脆弱性。

信息资产的安全属性范文2

随着电子政务应用的不断深入，信息安全问题日益凸显，为了高效安全的进行电子政务，迫切需要搞好信息安全保障工作。

1.1基础设施的可用性：运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2数据机密性：对于内部网络，保密数据的泄密将直接带来机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3网络域的可控性:电子政务的网络应该处于严格的控制之下，只有经过认证的设备可以访问网络，并且能明确地限定其访问范围，这对于电子政务的网络安全十分重要。

1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失，硬件故障、自然灾害以及未知病毒的感染都有可能导致重要数据的丢失。因此，在电子政务安全体系中必须包括数据的容灾与备份，并且最好是异地备份。

2电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲，必须建立在一个强大的技术支撑平台之上，同时具有完备的安全管理机制，并针对物理安全，数据存储安全，数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面，核心是要解决好权限控制问题。为了解决授权访问的问题，通常是将基于公钥证书（PKC）的PKI（PublicKeyInfrastructure）与基于属性证书（AC）的PMI（PrivilegeManagementInfrastructure)结合起来进行安全性设计，然而由于一个终端用户可以有许多权限，许多用户也可能有相同的权限集，这些权限都必须写入属性证书的属性中，这样就增加了属性证书的复杂性和存储空间，从而也增加了属性证书的颁发和验证的复杂度。。

2.1终端用户：向验证服务器发送请求和证书，并与服务器双向验证。

2.2验证服务器：由身份认证模块和授权验证模块组成提供身份认证和访问控制，是安全模型的关键部分。

2.3应用服务器：与资源数据库连接，根据验证通过的用户请求，对资源数据库的数据进行处理，并把处理结果通过验证服务器返回给用户以响应用户请求。

。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理，安全技术实际上只是实现管理的一种手段，再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实；安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

3电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析，构建电子政务系统的风险因素集。

3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义，结合系统面临的风险、系统特定安全保护要求和成本开销等因素，采取相应的安全保护措施以保障信息和信息系统的安全。

3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子，其他文献，例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法，另外，一些组织还提出了自己的风险评估工具，例如OCTAVE、CRAMM等。

电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南，从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中，资产的评估主要是对资产进行相对估价，其估价准则依赖于对其影响的分析，主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估，主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估，主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动，主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息，最终生成风险信息。

在确定风险评估方法后，还应确定接受风险的准则，识别可接受的风险级别。

4结语

电子政务与传统政务相比有显著区别，包括:办公手段不同，信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同，实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同，直接与公众沟通是实施电子政务的目的之一，也是与传统政务的重要区别。在电子政务的信息安全管理中，要抓住其特点，从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案，这样才能达到全方位实施信息安全管理的目的。

参考文献：

[1]范红，冯国登，吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.

[2]李波杰，张绪国，张世永.一种多层取证的电子商务安全审计系统微型电脑应用.2007年05期.

信息资产的安全属性范文3

一、企业固定资产管理的现状

目前企业的固定资产管理业务是从形成资产的源头开始到资产退出企业为止的全过程管理，经过规划、设计、计划、投资、采购、建设、转资、现场使用、日常维护、更新改造、减值管理、调剂使用、对外处置、报废、清理变现等多个环节的管理。分为前期管理、中期（运营期间）管理和后期管理。

（一）固定资产的前期管理企业固定资产的前期管理包含规划、设计、计划、投资、采购、建设等环节，一般由具体使用单位根据本单位实际需求进行规划、设计并进行详细论证，将论证结果上报上级部门投资管理部门，上级部门对使用单位上报的计划进行审查，对于可执行项目，进行投资立项，最后进入采购、建设环节。

（二）固定资产的中期（运营期间）管理从设备采购完成试运行达到可使用状态后进行转资，从而进入了固定资产的运营管理，也就是资产的使用环节，一般由现场使用单位进行设备的实物管理和日常维护工作，由财务部门完成资产的价值管理工作，由上级设备管理部门完成闲置资产的调剂使用工作。固定资产中期管理除正常设备管理外，还大致涉及固定资产清查、固定资产调剂管理、固定资产租赁管理、固定资产减值管理、固定资产后续支出管理、资产评估管理。

（三）固定资产的后期管理固定资产后期管理主要包括固定资产报废和处置。

二、企业固定资产管理存在的问题及难点

（一）企业固定资产管理中存在的问题第一，资本化与费用化判断标准不一致，造成资产“量价”的不准确；第二，在项目改造中，往往轻视存量资产的再利用；第三，资产运营过程中重新购、轻维护；第四，对资产管理重视程度不够；第五，固定资产点多面广，不利于管理；第六，项目搭车的问题。

（二）企业固定资产管理中存在的难点1．资产管理不全面，资产的实物管理、专业管理、价值管理脱节实物管理、专业管理、价值管理是资产管理的三个方面，既有相关性，又有性。实物管理主要在基层单位，负责固定资产的使用、维护及保管；专业管理主要是生产、设备、安全等专业职能部门，按照本企业业务管理规范、标准及有关制度进行资产专业化管理和审核、鉴定工作；价值管理主要是财务部门进行资产价值量核算以及投资收益评估。由于资产管理全过程中各部门工作衔接不够，造成“铁路各管一段”的现象。2．忽视资产的收益属性和费用属性收益属性，从会计准则定义看，固定资产将来一定是给我们带来收益的，收益属性对于我们的日常经营非常重要。固定资产的费用属性是非常强的一个属性，固定资产在整个的生命周期里面，对整个的费用支出有过一些统计，一个大型的固定资产的费用支出是它原始支出的300%以上。油田企业是高投入行业，它的费用支出不会占到如此高的比例，但它的费用属性，后续的大修、作业、保养等等一系列的费用支出，也是资产管理过程中不可忽视的。3．投资中的不良资产投资环节中的不良资产在企业不良资产中所占的比例最大，油田企业高风险的投资特点是产生不良资产的根本原因。投资决定资产，在投资阶段，资产管理部门没有介入，按投资计划实施后，形成的资产才交与资产部门管理，资产部门对于不良资产的形成没有控制力，只能被动接受，无法从资产生命周期的初始环节参与管理。

三、构建企业资产全生命周期管理体系

（一）资产全生命周期管理理论的内涵资产全生命周期管理是由全周期成本管理发展而来，资产全生命周期管理本质上是系统工程理论在资产管理上的应用。是从前期规划、设备选型、设计、采购、安装、调试管理开始，到交付运行后的设备运行状态监控、维护保养、移动、退役直至报废整个生命周期的管理，是一套涉及财务、管理、工程、运转的集成管理系统。同时，建立集成化的管理信息系统，其核心意义就是在资产安全稳定运行的基础上，寻求资产寿命周期内的总体费用最优化。

（二）树立全生命周期管理理念，加强资产管理组织建设按照分专业、分层级管理模式，坚持统一领导、归口管理、分级负责、责任到人；坚持价值管理与实物管理、盘活资产存量与优化资产结构相结合，将资产管理责任分解落实到各个主管部门和各级使用单位，有机衔接各级岗位的管理职能，加强部门之间的配合互动，形成全过程闭环管理和长效机制。

（三）建立资产指标考核体系，强化资产的质量管理以追求资产价值最大化为目标，实现资产的保值、增值。加强存量资产的管理，促进资产价值的有效增长，提高资产的运营效率，盘活闲置资产，优化资源配置，减少资产占用，实现由资产总量最大到资产质量最优的转变。对于增量资产，实现对资产的源头管理，加强投资过程控制，加大投资可行性研究和技术论证分析，减少不良资产的形成，提高资产回报和运营效益。

（四）优化资产全寿命周期管理流程合理划分资产全生命周期不同阶段的管理职能，涵盖了资产管理和设备管理双重概念，包括了资产和设备管理的全过程，即从设计、选型、采购、运行、维护、更新到退役等设备管理过程，从新增、分摊、折旧、核算到报废等资产管理过程。这种既包括设备运维管理，又渗透着其全过程的价值变动过程管理，综合考虑了生产设备的可靠性和经济性。对设备可靠性的管理，由生产技术部门负责，在生产管理系统中进行管理；对资产经济性的管理，也由技术部门负责。在ERP中进行管理的模式，能够极大地提高企业的协调功能和经营效率。

信息资产的安全属性范文4

关键词：固定资产；全生命周期管理；建议

固定资产是企业的劳动手段，也是企业赖以生产经营的主要资产。作为国家能源保障重要组成部分的炼化企业，其固定资产管理具有投资金额大、资金高度密集、资产生命周期不统一、强调资产安全环保运行等特点。应用固定资产全生命周期的管理模式能有效确保固定资产的安全完整和有效使用，防止企业资产流失，从而不断提高企业的生产经营能力和经济效益。

一、固定资产全生命周期管理理念概述

（一）固定资产全生命周期管理理念

传统的固定资产管理从在建工程转为固定资产开始，使用部门很少关心固定资产保养、维护要花多少钱；实物管理部门只管资产存在与否，对资产运行状态不甚关心；财务部门只管做好转资，按时计算、计提固定资产折旧（折耗）等。这种管理的缺点是各管一段，没有资产整体概念，发挥不了资产的整体效益。传统的固定资产管理无法从整体、长远和过程上管理好资产，无法使资产价值最大化。

资产全生命周期管理（Life Cycle Assets Management，简称“LCAM”）是系统工程理论在资产管理上的应用，以资产作为研究对象，从系统的整体目标出发，统筹考虑资产的规划、设计、采购、建设、运行、检修、技改、报废的全过程，在满足安全、效能的前提下追求资产全生命周期成本最优，实现系统优化的科学方法。固定资产全生命周期管理理念是固定资产管理需要与资产全生命周期管理理论相结合而产生的固定资产管理系统论、方，固定资产全生命周期价值管理与实物管理贯穿资产的整个生命周期，两者缺一不可。

（二）固定资产全生命周期的阶段划分及内容

固定资产的全生命周期是一个全面的、动态的闭环管理过程，把它分阶段主要是为了更精细地刻画资产生命周期的全貌，也便于建立相关流程和制度。按照固定资产全生命周期各个时期呈现的特点，其阶段划分为固定资产导入期、固定资产购建开发期、固定资产运行维护期、固定资产退出期四个阶段。

二、固定资产的基本属性

为深入探讨固定资产全生命周期管理问题，首先对固定资产的四种基本属性进行简单介绍。

一是实物属性。其特点是实实在在地存在，看得见摸得着。

二是价值属性。一提到价值属性，我们常常想到的是资产的历史成本，如购建时多少钱、折旧是多少、账面净值是多少等。。

三是效用属性。根据会计准则对固定资产的定义，固定资产是为企业生产商品、提供劳务、出租或经营管理而持有。因此，追求其收益或为经营管理提供支持是购建及持有固定资产的核心目的。

四是费用属性。一项固定资产在整个生命周期里往往需要配件消耗、维护保养、甚至更新改造等，它会带来一系列费用性的支出。有的固定资产产生的费用开支相对低一些，有的费用支出却很大。

三、固定资产管理中存在的问题

。

（一）重视固定资产实物和价值属性管理，轻效用和费用属性管理

通常，固定资产管理在实践中更侧重于实物和价值管理，尤其侧重于历史成本管理，如定期进行资产清查盘点以确保账实相符，通过系统管理及设立一系列台账对固定资产进行价值管理等。虽然这些工作能有效保障资产存量的清楚、核算规范，但这只是固定资产全生命周期基础管理的一部分，并不是对固定资产进行管理的目标所在。既然持有或控制一项固定资产目的是获取其效用，费用支出高低又与收益密切相关，那就更应该加强对固定资产效用属性、费用属性的管理。

（二）重静态和阶段管理，轻动态和全生命周期管理

一项固定资产从立项、购建到报废处置是一个动态的闭环管理，这一过程可能会延续若干年，现代化的管理应包括跟踪固定资产全生命周期内的各个阶段，根据不同阶段具体情况做出决策。。这种管理模式显然难以满足现代化动态管理的需求。

（三）重新资产的构建，轻不良资产的有序退出

每一项固定资产都有一个购建期、投运期、报废清理期，对于整个存量资产来说也是如此，既然有新资产的不断购建，就应该有陈旧报废资产的有序退出。尤其是炼化企业，庞大的组织架构和网络布局不可能没有因客观环境变化导致的低效资产。这就需要有组织地对该部分资产进行清理并有序退出，减轻资产包袱，提升资产质量。

（四）重阶段性管理，轻全过程管理

传统的固定资产管理习惯按阶段进行管理，一般购建阶段由发展计划部门负责，使用中根据资产功效分别交付物流等部门负责，处置清理则由实物资产管理部门负责。这样在发挥对资产专业化管理优势的同时却弱化了对资产全生命周期的过程管理，很难有一个部门对固定资产生命周期的全过程有全面的了解。此外，目前行业内应用的ERP系统管理模块也是把一项资产根据生命期阶段或功效的不同分别分配给不同管理或使用部门，没有一个模块能够清晰地反映出固定资产全生命周期的全貌，这也弱化了对资产全生命周期的管理。

（五）重资产购建的前期论证，轻后期评价

通常购建一项固定资产，无论是市场预测、建设规划、投资收益等都进行计划、审查及报批，但一旦资产形成交付使用部门后，对于资产前阶段的相关情况就很少问津了，这也是阶段性管理模式的弊端所在。

四、加强和完善固定资产全生命周期管理的建议

加强和完善固定资产全生命周期管理的核心是提高固定资产在生命期内创造的效用。所以，加强全生命周期管理应以两条主线为切入点：一是以固定资产从购建到清理的生命周期为主线；二是以生命周期内固定资产的四种属性为抓手，以达到提升管理水平、充分发挥固定资产效用的目的。。

（一）加强组织领导，组建强有力的固定资产综合管理部门

企业要成立资产全生命周期管理组织机构，强调其管理范围的全面性，而不是依靠财务或某一阶段性的资产管理部门。同时，强调综合管理职能，围绕导入期、购建开发期、运行维护期、退出期等四个阶段的资产管理，负责评估本企业的资产状态；制定管理策略，设计工作流程，建立评估考核和保障机制；策划实施方案，合理配置资源，跟踪任务指标执行情况，制定纠正偏离目标的措施。专业化综合管理的实施反过来也能为阶段性资产使用部门提供支持，为管理层提供决策依据。

（二）围绕四种属性加强固定资产管理

目前，对固定资产价值属性和实物属性的管理相对较完善，无论是购建、报废还是清查盘点制度都比较成熟全面，能够有效保证账实相符及核算准确，但对效用和费用管理缺乏足够的认识和重视。。实现这一目的的前提是对固定资产进行定期分析评价，包括分析投资回报、市场前景，研判其盈利趋势等。费用属性为效用属并对其产生影响，对一项固定资产进行维修保养是为了提高资产使用效率，获取持续稳定效用，但这种费用开支不能简单地停留在功能修复及部件的维护保养，更应该注重提升资产新功效，进而提高产品质量和产能。

（三）构建闭环管理的总体工作流程

企业要科学构建和协调各个阶段的工作流程，建立标准的工作规则和常态机制。对现行的规划、前期、设计、招标采购、工程建设、运行维护、检修、技改、资产报废、财务、绩效等方面的制度、标准进行梳理、评估、检查和修订。。

（四）建立固定资产全生命周期管理分析报告制度

首先，设定资产管理目标；其次，按资产类别建立管理指标体系，尽量使用量化指标，无法量化的使用定性指标并确立指标达标标准，明确指标要达到的水平；最后，定期组织固定资产生命周期管理分析会，形成固定资产生命周期管理分析报告。通过对比资产管理目标及指标标准，明确资产管理水平所处的位置、存在的差距和不足，确定提高和改进资产管理的方向和路径，不断提高资产全过程管理的水平，提高资产投入产出的效率和效果。

（五）建立健全全生命周期成本财务管控及设备监造工作体系。

企业的工作人员应该依据设备运行和检修标准化成本定额体系，补充完善全资产、全生命成本预算和核算制度，健全精细化的资产全生命周期成本财务管控体系。工作人员要按照资产全生命周期管理要求，强化主要设备的驻厂监造，扩大监造范围，开展标准化监造工作，完善资产质量管理，建立健全全生命周期成本财务管控及设备监造工作体系。

（六）实现固定资产信息化管理

目前，我们使用的系统没有一个专门的管理模块与所有相关的模块衔接，在资产管理中，不能针对某项固定资产生命周期的特定阶段进行管理。如果要对固定资产进行分析评价，则需要从多个模块中取数，进行汇总分析，这样工作量较大而且容易出错误。笔者认为，应开发一个固定资产综合管理模块，根据需求对其进行客制化的升级，使该模块可以穿透不同年度的数据，且可以从不同模块中取数，实现单项固定资产横向、纵向的数据归集分析。

（七）形成合理的资产退出机制

目前，固定资产管理较侧重于资产购建，却忽视了固定资产合理退出在存量资产全生命周期管理中的作用。合理的资产退出可以达到两个目的：一是通过低效资产的有序退出优化资产结构，提高在营主业资产的创效能力，提高企业创效能力；二是选择恰当的退出方式可以为企业带来收益。习惯上我们对退出资产的处理往往是简单地变卖，其实有些退出资产以恰当的方式或在恰当的时机处置有可能带来可观的收益，如拍卖出售一般比商务谈判或唯一买家效果要好；有时拆卸出售比整体出售效果要好。纳入变卖阶段的固定资产就是商品，找准时机可以卖出好价格，提高收益水平。

（八）时刻不放松固定资产安全管理

固定资产安全管理贯穿于固定资产购建、运营、处置全生命周期并与四种属息相关。在这里需要强调的是，安全管理不得当，加强固定资产全生命周期管理就无从谈起。因此，无论是管理部门还是使用部门，均应警钟长鸣，绷紧安全管理这根弦，认真落实各项安全措施，确保固定资产在生命周期中管理安全、运行安全、处置安全。

综上所述，炼化企业固定资产的管理是一个系统的、长期性的艰巨工程，随着科技的发展，管理模式也必须不断地改善。只有这样，才能适应新形势、新问题的需要。同时，也只有在日常工作中不断探讨，不断发现问题并及时解决问题，才能减少工作失误，使资产资源发挥最大效益。

参考文献：

[1]刘卫民.石化企业固定资产全生命周期管理应用探讨[J].现代商业，2013（10）.

[2]陈新胜.油田资产全生命周期管理模式探讨[J].生理油田党校学报，2013（07）.

[3]戴戈，武钢尧.固定资产全生命周期管理之探索实践[J].通信企业管理，2012（11）.

信息资产的安全属性范文5

关键词：会计核算；信息质量；方法；数据

引言：在进行财务管理工作之前，企业要找到最合理的、最适合企业的会计核算方法，这样才能确保会计信息的有效性和准确性。所以企业的决策者要结合企业实际情况，结合企业会计信息的需求，找到一套适用于企业的会计核算方法，以满足企业发展的需要。

一、合理选择会计核算方法

1、选择会计核算方法的标准

1.1可确定性：会计信息要在能够为企业产生经济利益，并且达成可确定性时才能被企业采用来为决策者提供参考的指标和判断依据。

1.2可靠性：会计信息必须真实可靠，因为会计信息是为使用者提供财务判断的依据，必须具有可应用性。只有准确可靠的信息才能为企业提供正确的信息，才能体现出自身的价值，展现其应有的作用。

1.3可以被计量：会计信息需要经过量化才能发挥其作用。在会计处理时，会计计量需要显著的优化会计作业和处理程序，才能使会计信息能够被进一步量化。

2、确定数据定性详细标准

（1）数据身份：每当出现新的经济业务之时，都应当对发生的经济业务的经济价值进行较为全面的分析，包括此种业务对会计要素可能产生的种种影响等，保证会计信息的合理归入。如果不能够识别或者不能够正确的识别，则会直接的影响到会计信息的质量。（2）时间阶段：权责发生是会计核算的前提，在权责发生制中，这是标准。对于当期已经发生的实际收入或者费用，必须纳入当前的会计记录中去。对于不属于当期的收入和费用，则不能纳入。这一过程需要相当的谨慎，若发生误差，极易对会计信息质量造成较大影响。

二、计量过程中确定会计核算方法

1、确定合理的计量属性

（1）历史成本被选择确定为计量属性：历史成本作为计量属性的一种，受到历史成本原则的影响，使用这种计量属性，企业的资产价值可以得到客观的反应，对于减值的会计成本，可以予以很好的调整。

（2）现行成本被选择确定为计量属性：现行成本作为一种计量属性，有助于避免因为价格的变动使得收益被虚计，能够真实的将企业的财务状况予以反应，能够客观准确地评价企业的经营情况。但是这一计量属性也存在自身的缺陷性，比如在具体的作业过程中，因为重置成本确定的难度较大，要想与本来持有的资本在一致性方面做好，困难度就很高。另外，这种计量方法也很难消弭因为货币本身购买力的调整产生的资本保值性问题。

（3）可变现净值被选择确定为计量属性：以可变现净值作为计量属性是非常可靠且稳健的，这样不仅够如实的反应预期变现能力，还能保证和维持会计信息的可靠性。但以可变现净值作为计量属性并不适用于所有资产，如对无形资产进行管理就难以运用这种方法。

总而言之，不同的计量属性有不同的优点和缺点，适用于不同的情况。在确定计量属性时要结合企业的财务管理情况，结合企业自身特点和发展状况来选择使用与企业相适应的计量属性。

2、选择合理的计量标准

计量标准分为两种类型：固定货币单位和名义货币单位，在选择的时候各有优缺点。固定货币单位的计量标准，能够提高会计信息的可比性和一致性，从长久看更为有利。但是这种计量标准本身的核算过程较为复杂，对会计人员有较高的要求。若计量标准选为名义货币单位，可以简化会计核算工作，一般情况下也能够保证会计信息的可靠性。但是当面临通货膨胀的时候，名义货币的贬值，会使得会计核算过程中会计信息的真实性受到一定程度的影响。

三、在记录过程中选择合理的会计核算方法

1、科学记录方法的选择

如今计算机技术迅猛发展，不断应用于各个领域，会计行业也应与计算机技术相结合。会计处理的智能化电子化可以大大减轻财务工作人员的劳动强度，提高对会计信息的搜集能力、整理能力和应用能力，从而提高会计管理的效益。会计行业与网络信息技术相结合可以提高信息量，提高财务管理人员的工作效率，使会计行业更加规范，同时降低工作成本。但将网络技术应用于会计领域也有弊端，如越来越多的财务报告会出现网络上的纰漏，会计信息的安全性下降等。

四、会计核算方法在报告过程之中的应用

1、决定会计信息的列报方式

财务报表中最为重要的就是会计报表。但传统报表受到表格本身的格式，不能反映项目的信息。但有些信息又是了解企业真实资产质量的必要信息，所以必须改善会计报表的形式。企业可以将应收账款账龄有关的信息以会计报表附注的方式显示出来，还有一些在资产负债表中只列示其账面价值的项目，可以另附资产减值准备明细表，列示出该资产所提取的减值准备，这样就可以反映资产的账面价值，得到最完善的会计信息。

2、决定披露的充分程度

会计信息的质量一定程度上会受到会计核算中确认与计量过程的影响。在会计处理过程中，未来会发生的交易事项按规定是不予确认的，所以财务报告会少反映一些交易事项。举一个例子，某企业在为其他单位的借款提供担保的时候，最终若单位无法到期清偿借款，那么企业必然会产生或有负债，或是或有损失。而企业诉讼也存在不确定因素，若败诉会产生或有负债或是或有损失，若是胜诉则或有资产或是或有收益增加。所以企业在披露财务报告的同时还应当提供财务情况说明书，并在其中将本公司的生产经营情况、利润的实现以及分配状况、税金的缴纳、各项物资财产的增减变动以及资金的变动情况都一一列出。除此之外还要列出在资产负责表日到财务报告正式报出期间单位发生的，对财务方面产生重大影响的事项，和其他应当加以说明的其他事项等。使财务报告使用者能够了解到这些事项的性质、对财务状况的影响和存在的不确定因素，增强财务报告的全面性和有效性。

五、总结

综上所述，会计信息在任意一家企业中都扮演这重要角色，它帮助企业选择科学实用的会计核算方法，协助企业决策者进行合理分析，做出有利的决定。信息核算是所有会计顺利开展工作的基础保证，因此我们要认真钻研，挖掘深层次的信息，才能使信息核算发挥最大的价值，才能更好的协助企业的管理和决策，使企业获得更大的经济效益和社会效益。

参考文献

[1]申山宏.信息化环境下会计核算方法的规范化[J].扬州大学税务学院学报，2003

[2]陈信元，等.我国会计信息环境的初步分析[J].会计研究，2008

信息资产的安全属性范文6

关键词： BOSS系统；风险评估；广电

中图分类号：F49 文献标识码：A 文章编号：1671－7597（2012）0210099－01

1 项目背景

随着公司整体融资上市，陕西广电确立了“管理架构集团化、产业发展多元化、经营运作市场化”的“三化”战略构想，并在全国率先完成网络整合，实现有线电视业务和数据多业务等全业务运营，公司从传统的有线电视运营商向综合信息服务供应商转型。2010年，伴随三网融合的逐步推进，陕西广电将加大全业务运营的步伐，有线电视数字化、数据业务、高清、互动业务等蓬勃发展。为适应企业业务的转型和业务的飞速发展，陕西广电于08年开始建设自己的运营支撑平台BOSS系统，这是陕西广电业务运营上台阶、管理上品质的一次里程碑式的重要举措，将全面优化陕西广电的业务运营，全面提升企业运营效率，因此，BOSS系统建设的成败、是否安全稳定的运行对于陕西广电至关重要。

根据信息安全与信息系统“同步规划、同步建设、同步运营”的三同步原则，陕西广电决定同步着手构建BOSS系统的信息安全体系。从风险控制以及安全经济效益的角度，“以安全保发展、在发展中求安全”，避免来自信息安全方面的风险，实现BOSS系统安全可管理、可运营，增强企业可持续发展的能力，最大限度实现间接的安全经济效益的提升。

那么，BOSS系统的信息安全如何建设、如何运营管理，依据是什么？信息安全风险评估是企业信息安全建设中关键的第一步，它将明确告诉我们BOSS系统有哪些信息资产，信息资产存在的漏洞、所面临的威胁以及主要的信息安全风险点在哪里，从而为企业的信息安全规划和建设提供最直接的决策依据，使得企业的信息安全建设能够有目标、有重点、有计划、有步骤进行。

2 项目实施

2.1 项目实施范围

本项目属于企业信息化中信息安全领域，陕西广电网络BOSS系统风险评估项目的重点是对BOSS系统的核心区域进行信息安全风险评估，同时，鉴于地市分公司之间在信息安全方面具有较强的共性，因此以抽样的方式，抽取了3个节点进行风险评估。

项目主要内容包括：

1）信息资产的清理和重要性赋值

2）安全技术漏洞和威胁的调研评估

3）安全管理漏洞和威胁的调研评估

4）全面分析BOSS系统存在的信息安全风险

5）提出BOSS系统信息安全管理体系改进建议

6）提出合理的安全技术解决方案建议

7）提出若干重要的信息安全管理制度和规范

2.2 项目实施内容

2.2.1 系统业务调研。业务调研的目的是使评估活动业务密切结合，安全建议能够与企业的业务发展战略相一致，通过调查BOSS系统上运行的所有业务和应用，了解主要业务流程，清楚的掌握支持业务运行的网络系统基本结构和安全现状，收集评估所需的资产属性信息。调研范围包括：评估的业务或应用、信息资产、人员、环境、活动、IP地址信息。

2.2.2 资产识别与估价。在BOSS系统的评估范围内，按照网络安全拓扑结构图的业务系统为主线，列出所有网络上的物理资产、软件资产和数据资产，并为每项资产赋予价值。首先根据调查结果对资产属性进行权值定义，然后对进行影响分析。。

2.2.3 威胁评估。BOSS系统威胁评估过程中，首先要对组织需要保护的每一项关键资产进行威胁识别。用于威胁评估的信息能够从信息安全管理的有关人员，以及相关的商业过程中获得。

接着要做的是对每种威胁的严重性和发生的可能性进行分析，最终为其赋予相对等级值。评估确定威胁发生的可能性是这一阶段的重要工作。其中，威胁发生的可能性受下列因素影响：资产的吸引力、资产转化成报酬的容易程度、威胁的技术力量、脆弱性被利用的难易程度。

2.2.4 脆弱性评估。针对BOSS系统需要保护的信息资产，找出威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估。脆弱性评估主要从技术、管理和策略三个方面进行。其中在技术方面主要是通过远程和本地两种方式进行系统扫描、对网络设备和主机等进行适当的人工抽查、对关键服务主机进行远程渗透测试；管理脆弱性评估方面主要是按照ISO27001的安全管理要求对现有的安全管理制度及其执行情况进行检查；策略脆弱性评估方面主要是从整体网络安全的角度对现有的网络安全策略进行全局性的评估。脆弱性评估所采用的方法主要为：问卷调查、顾问访谈、工具扫描、人工检查、文档审查、渗透测试等。

2.2.5 已有安全措施的确认。BOSS系统安全措施可以分为预防性安全措施和保护性安全措施两种，预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生对资产造成的影响。已有安全措施的确认是对已采取的安全措施的有效性进行确认，防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代。

2.2.6 现状与风险的分析管理。首先是对各种数据的汇总和分析，从物理、网络、系统、应用、管理等方面全面分析，得出系统的整体安全现状，输出安全现状和风险报告。根据评估结果进一步完成相关的安全建设方案，明确保护哪些资产，防止哪些威胁，如何才能保证系统达到某一安全级别；所提出的安全方案需要多少技术和费用的消耗等。

3 项目推广情况及前景

3.1 贯彻“同步规划、同步建设、同步运行”原则