信息資產的安全屬性范例6篇

前言：中文期刊網精心挑選了信息資產的安全屬性范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

信息資產的安全屬性范文1

[關鍵詞] 基礎地理；信息系統；安全；風險評估

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082

[中圖分類號] TP315 [文獻標識碼] A [文章編號] 1673 - 0194（2015）21- 0155- 03

1 引 言

風險是以一定的發生概率的潛在危機形式存在的可能性，而不是已經存在的客觀結果或既定事實。風險管理是通過對風險的識別、衡量和控制，以最小的成本將風險導致的各種損失結果減少到最小的管理方法。隨著信息化向縱深發展，基礎地理信息系統被廣泛應用，但信息安全方面的威脅也大大增加，具體到市縣級基礎地理信息系統中存在各類風險，這些風險有著自身的特點，對系統的影響也隨著不同階段而不同。其中信息安全風險是指系統本身的脆弱性在來自環境的威脅下而產生的風險，這些風險會對信息系統核心資產的安全性、完整性和可用性造成破壞。對測繪行業信息安全風險的評估是進行有效風險管理的基礎，是對風險計劃和風險控制過程的有力支撐，而如何識別和度量風險成為一個難題，目前測繪地理信息行業沒有一個行業性安全評估類或者安全管理類規范標準，通用安全評估規范在很多方面對于測繪地理信息系統復雜性和行業特點缺乏適用性，往往較難落地，為此提出市縣級國土資源基礎地理信息系統安全風險評估規范研究。

2 國內外信息安全風險評估的研究現狀

信息安全風險評估經歷了很長一段的發展時期。風險評估的重點也由最初簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作，逐漸過渡到技術與管理相結合的科學方法。由于信息安全問題的突出重要性，以及發生安全問題的后果嚴重性，目前評估工作已經得到重視和開展。國內外很多學者都在積極投身于信息安全的研究，期望找到保護信息安全的盔甲。美國在信息安全風險管理領域的研究與應用獨占鰲頭，政府控管體制健全，己經形成了較為完整的風險分析、評估、監督、檢查問責的工作機制。DOD作為風險評估的領路者，1970年就已對當時的大型機、遠程終端作了第一次比較大規模的風險評估； 1999年，美國總審計局在總結實踐的基礎上，出版了相關文檔，指導美國組織進行風險評估；2001年美國國家標準和技術協會（NIST）推出SP800系列的特別報告中也涉及到風險評估的內容；歐洲各國對信息安全風險一直采取“趨利避害”的安全策略，于2001-2003年完成了安全關鍵系統的風險分析平臺項目CORAS，被譽為歐洲經典。我國信息安全評估起步較晚，2003年7月，國信辦信息安全風險評估課題組啟動了信息安全風險評估相關標準的編制工作；8月，信息安全評估課題組對我國信息安全工作的現狀進行了調研，完成了相關的評估報告，總結了風險評估是信息安全的基礎性工作；2004年3月國家《信息安全風險評估指南》與《信息安全風險管理指南》的征求意見稿；2005年2月至9月，開始了國家基礎信息網絡和重要信息系統的信息安全風險評估試點工作；2007年7月我國頒布了《信息安全技術信息安全風險評估規范》（GB/T 20984一2007）并于2007年11月1日實施；2008年4月22日，在國家信息中心召開了《信息系統風險評估實施指南》預制標準第二次研討會，此次會議主要就標準工作組制定的《實施指南》目錄框架進行了詳細研究與討論，《信息系統風險評估實施指南》作為GB/T 20984-2007《信息安全風險評估規范》和《信息安全風險管理規范》之后又一技術性研究課題，將充實信息安全風險評估和風險管理具體實施工作。

3 市縣級基礎地理信息系統安全風險評估規范研究方法和手段

3.1 市縣級基礎地理信息系統安全風險評估規范研究方法

市縣級基礎地理信息系統安全風險評估規范研究通過綜合分析評估后的資產信息、威脅信息、脆弱性信息，最終生成風險信息。資產的評估主要從保密性、完整性、可用性三方面的安全屬性進行影響分析，從資產的相對價值中體現了威脅的嚴重程度；威脅評估是對資產所受威脅發生可能性的評估；脆弱性的評估是對資產脆弱程度的評估；具體如下：

（1）資產評估。資產評估的主要工作就是對市、縣、鄉三級基礎地理信息系統風險評估范圍內的資產進行識別，確定所有的評估對象，然后根據評估的資產在業務和應用流程中的作用對資產進行分析，識別出其關鍵資產并進行重要程度賦值。根據資產評估報告的結果，可以清晰的分析出市、縣、鄉三級基礎地理信息系統中各主要業務的重要性，以及各業務中各種類別的物理資產、軟件資產和數據資產的重要程度，從而得出信息系統的安全等級。同時，可以明確各業務系統的關鍵資產，確定安全評估和保護的重點對象。

在此基礎上，建立針對市、縣、鄉三級基礎地理信息系統中的資產配置庫，對資產的名稱、類型、屬性以及相互關系、安全級別、責任主體等信息進行描述。

（2）威脅評估。威脅是指可能對資產或組織造成損害事故的潛在原因。威脅識別的任務主要是識別可能的威脅主體（威脅源）、威脅途徑和威脅方式，威脅主體是指可能會對信息資產造成威脅的主體對象，威脅方式是指威脅主體利用脆弱性的威脅形式，威脅主體會采用威脅方法利用資產存在的脆弱性對資產進行破壞。

在此基礎上，充分調研，分析現有記錄、安全事件、日志及各類告警信息，整理本行業信息系統在物理、網絡、主機、應用和數據及管理方面面臨的安全威脅，形成風險點列表。

（3）脆弱性評估。脆弱性是指資產或資產組中能被威脅所利用的弱點，它包括物理環境、組織機構、業務流程、人員、管理、硬件、軟件及通訊設施等各個方面，這些都可能被各種安全威脅利用來侵害一個組織機構內的有關資產及這些資產所支持的業務系統。

通過研究，將建立本行業的涉及主要終端、服務器、網絡設備、安全設備、數據庫及應用等主要系統的基線庫，從而為脆弱性檢測在“安全配置”方面提供指標支撐。

（4）綜合風險評估及計算方法。風險是指特定的威脅利用資產的一種或一組脆弱性，導致資產的丟失或損害的潛在可能性，即特定威脅事件發生的可能性與后果的結合。在風險評估模型中，主要包含信息資產、脆弱性、威脅和風險四個要素。每個要素有各自的屬性，信息資產的屬性是資產價值，脆弱性的屬性是脆弱性被威脅利用后對資產帶來的影響的嚴重程度，威脅的屬性是威脅發生的可能性，風險的屬性是風險發生的后果。

綜合風險計算方法：根據風險計算公式R= f（A，V，T）=f（Ia，L（Va，T）），即：風險值=資產價值×威脅可能性×弱點嚴重性，下表是綜合風險分析的舉例：

注：R表示風險；A表示資產；V表示脆弱性；T表示威脅；Ia表示資產發生安全事件后對組織業務的影響（也稱為資產的重要程度）；Va表示某一資產本身的脆弱性，L表示威脅利用資產的脆弱性造成安全事件發生的可能性。

風險的級別劃分為5級（見表1），等級越高，風險越高。

各信息系統風險值計算及總體風險計算則按照風險的不同級別和各級別風險的個數進行加權計算，具體的加權計算方法如下。

風險級別權重分配：

極高風險 30%

高風險 25%

中風險 20%

低風險 15%

很低風險 10%

各級別風險個數對應關系（即各級別風險相對于很低風險的個數換算）：

極高風險 16

高風險 8

中風險 4

低風險 2

很低風險 1

風險計算公式R’=K（av，p，n）=av×p×n，其中，av代表各級別風險求平均后總和，p代表相應的風險級別權重，n代表相應的風險個數權重。

總體風險值=R’（極高）+ R’（高） + R’（中） + R’（低） + R’（很低）

3.2 市縣級基礎地理信息系統安全風險評估規范研究的手段

（1）專家分析。對于已有的安全管理制度和策略，由經驗豐富的安全專家進行管理方面的風險分析，結合江蘇省基礎地理信息系統安全建設現狀，指出當前安全規劃和安全管理制度存在的不足，并給出安全建議。

（2）工具檢測。采用成熟的掃描或檢測工具，對于網絡中的服務器、數據庫系統、網絡設備等進行掃描評估；為了充分了解各業務系統當前的網絡安全現狀及其安全威脅，因此需要利用基于各種評估側面的評估工具對評估對象進行掃描評估，對象包括各類主機系統、網絡設備等，掃描評估的結果將作為整個評估內容的一個重要參考依據。

（3）基線評估。采用基線風險評估，根據本行業的實際情況，對信息系統進行安全基線檢查，拿現有的安全措施與安全基線規定的措施進行比較，找出其中的差距，得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。所謂的安全基線，是在諸多標準規范中規定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環境下的所有系統，可以滿足基本的安全需求，能使系統達到一定的安全防護水平。

（4）人工評估。工具掃描因為其固定的模板，適用的范圍，特定的運行環境，以及它的缺乏智能性等諸多因素，因而有著很大的局限性；而人工評估與工具掃描相結合，可以完成許多工具所無法完成的事情，從而得出全面的、客觀的評估結果。人工檢測評估主要是依靠具有豐富經驗的安全專家在各服務項目中通過針對不同的評估對象采用顧問訪談，業務流程了解等方式，對評估對象進行全面的評估。

（5）滲透測試。在整個風險評估的過程中，結合外部滲透測試的方式發現系統中可能面臨的安全威脅和已經存在的系統脆弱性。

信息資產的安全屬性范文2

隨著電子政務應用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務，迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行，另一方面要保護運行在內部網上的敏感數據與信息的安全，因此應充分保證以下幾點：

1.1基礎設施的可用性：運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵，網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。

1.2數據機密性：對于內部網絡，保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。

1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下，只有經過認證的設備可以訪問網絡，并且能明確地限定其訪問范圍，這對于電子政務的網絡安全十分重要。

1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失，硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此，在電子政務安全體系中必須包括數據的容災與備份，并且最好是異地備份。

2電子政務信息安全體系模型設計

完整的電子政務安全保障體系從技術層面上來講，必須建立在一個強大的技術支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數據存儲安全，數據傳輸安全和應用安全制定完善的安全策略

在技術支撐平臺方面，核心是要解決好權限控制問題。為了解決授權訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結合起來進行安全性設計，然而由于一個終端用戶可以有許多權限，許多用戶也可能有相同的權限集，這些權限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復雜性和存儲空間，從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題，作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成，在該模型中：

2.1終端用戶：向驗證服務器發送請求和證書，并與服務器雙向驗證。

2.2驗證服務器：由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制，是安全模型的關鍵部分。

2.3應用服務器：與資源數據庫連接，根據驗證通過的用戶請求，對資源數據庫的數據進行處理，并把處理結果通過驗證服務器返回給用戶以響應用戶請求。

2.4LDAP目錄服務器：該模型中采用兩個LDAP目錄服務器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理，安全技術實際上只是實現管理的一種手段，再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實；安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。

轉貼于中國論文下載中心www

3電子政務信息安全管理體系中的風險評估

電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析，構建電子政務系統的風險因素集。

3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、?？乇Ｗo級五個安全等級。對電子政務的五個安全等級定義，結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素，采取相應的安全保護措施以保障信息和信息系統的安全。

3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產的評估主要是對資產進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應確定接受風險的準則，識別可接受的風險級別。

4結語

電子政務與傳統政務相比有顯著區別，包括:辦公手段不同，信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同，實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務的目的之一，也是與傳統政務的重要區別。在電子政務的信息安全管理中，要抓住其特點，從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.

[2]李波杰，張緒國，張世永.一種多層取證的電子商務安全審計系統微型電腦應用.2007年05期.

信息資產的安全屬性范文3

一、企業固定資產管理的現狀

目前企業的固定資產管理業務是從形成資產的源頭開始到資產退出企業為止的全過程管理，經過規劃、設計、計劃、投資、采購、建設、轉資、現場使用、日常維護、更新改造、減值管理、調劑使用、對外處置、報廢、清理變現等多個環節的管理。分為前期管理、中期（運營期間）管理和后期管理。

（一）固定資產的前期管理企業固定資產的前期管理包含規劃、設計、計劃、投資、采購、建設等環節，一般由具體使用單位根據本單位實際需求進行規劃、設計并進行詳細論證，將論證結果上報上級部門投資管理部門，上級部門對使用單位上報的計劃進行審查，對于可執行項目，進行投資立項，最后進入采購、建設環節。

（二）固定資產的中期（運營期間）管理從設備采購完成試運行達到可使用狀態后進行轉資，從而進入了固定資產的運營管理，也就是資產的使用環節，一般由現場使用單位進行設備的實物管理和日常維護工作，由財務部門完成資產的價值管理工作，由上級設備管理部門完成閑置資產的調劑使用工作。固定資產中期管理除正常設備管理外，還大致涉及固定資產清查、固定資產調劑管理、固定資產租賃管理、固定資產減值管理、固定資產后續支出管理、資產評估管理。

（三）固定資產的后期管理固定資產后期管理主要包括固定資產報廢和處置。

二、企業固定資產管理存在的問題及難點

（一）企業固定資產管理中存在的問題第一，資本化與費用化判斷標準不一致，造成資產“量價”的不準確；第二，在項目改造中，往往輕視存量資產的再利用；第三，資產運營過程中重新購、輕維護；第四，對資產管理重視程度不夠；第五，固定資產點多面廣，不利于管理；第六，項目搭車的問題。

（二）企業固定資產管理中存在的難點1．資產管理不全面，資產的實物管理、專業管理、價值管理脫節實物管理、專業管理、價值管理是資產管理的三個方面，既有相關性，又有獨立性。實物管理主要在基層單位，負責固定資產的使用、維護及保管；專業管理主要是生產、設備、安全等專業職能部門，按照本企業業務管理規范、標準及有關制度進行資產專業化管理和審核、鑒定工作；價值管理主要是財務部門進行資產價值量核算以及投資收益評估。由于資產管理全過程中各部門工作銜接不夠，造成“鐵路警察各管一段”的現象。2．忽視資產的收益屬性和費用屬性收益屬性，從會計準則定義看，固定資產將來一定是給我們帶來收益的，收益屬性對于我們的日常經營非常重要。固定資產的費用屬性是非常強的一個屬性，固定資產在整個的生命周期里面，對整個的費用支出有過一些統計，一個大型的固定資產的費用支出是它原始支出的300%以上。油田企業是高投入行業，它的費用支出不會占到如此高的比例，但它的費用屬性，后續的大修、作業、保養等等一系列的費用支出，也是資產管理過程中不可忽視的。3．投資中的不良資產投資環節中的不良資產在企業不良資產中所占的比例最大，油田企業高風險的投資特點是產生不良資產的根本原因。投資決定資產，在投資階段，資產管理部門沒有介入，按投資計劃實施后，形成的資產才交與資產部門管理，資產部門對于不良資產的形成沒有控制力，只能被動接受，無法從資產生命周期的初始環節參與管理。

三、構建企業資產全生命周期管理體系

（一）資產全生命周期管理理論的內涵資產全生命周期管理是由全周期成本管理發展而來，資產全生命周期管理本質上是系統工程理論在資產管理上的應用。是從前期規劃、設備選型、設計、采購、安裝、調試管理開始，到交付運行后的設備運行狀態監控、維護保養、移動、退役直至報廢整個生命周期的管理，是一套涉及財務、管理、工程、運轉的集成管理系統。同時，建立集成化的管理信息系統，其核心意義就是在資產安全穩定運行的基礎上，尋求資產壽命周期內的總體費用最優化。

（二）樹立全生命周期管理理念，加強資產管理組織建設按照分專業、分層級管理模式，堅持統一領導、歸口管理、分級負責、責任到人；堅持價值管理與實物管理、盤活資產存量與優化資產結構相結合，將資產管理責任分解落實到各個主管部門和各級使用單位，有機銜接各級崗位的管理職能，加強部門之間的配合互動，形成全過程閉環管理和長效機制。

（三）建立資產指標考核體系，強化資產的質量管理以追求資產價值最大化為目標，實現資產的保值、增值。加強存量資產的管理，促進資產價值的有效增長，提高資產的運營效率，盤活閑置資產，優化資源配置，減少資產占用，實現由資產總量最大到資產質量最優的轉變。對于增量資產，實現對資產的源頭管理，加強投資過程控制，加大投資可行性研究和技術論證分析，減少不良資產的形成，提高資產回報和運營效益。

（四）優化資產全壽命周期管理流程合理劃分資產全生命周期不同階段的管理職能，涵蓋了資產管理和設備管理雙重概念，包括了資產和設備管理的全過程，即從設計、選型、采購、運行、維護、更新到退役等設備管理過程，從新增、分攤、折舊、核算到報廢等資產管理過程。這種既包括設備運維管理，又滲透著其全過程的價值變動過程管理，綜合考慮了生產設備的可靠性和經濟性。對設備可靠性的管理，由生產技術部門負責，在生產管理系統中進行管理；對資產經濟性的管理，也由技術部門負責。在ERP中進行管理的模式，能夠極大地提高企業的協調功能和經營效率。

信息資產的安全屬性范文4

關鍵詞：固定資產；全生命周期管理；建議

固定資產是企業的勞動手段，也是企業賴以生產經營的主要資產。作為國家能源保障重要組成部分的煉化企業，其固定資產管理具有投資金額大、資金高度密集、資產生命周期不統一、強調資產安全環保運行等特點。應用固定資產全生命周期的管理模式能有效確保固定資產的安全完整和有效使用，防止企業資產流失，從而不斷提高企業的生產經營能力和經濟效益。

一、固定資產全生命周期管理理念概述

（一）固定資產全生命周期管理理念

傳統的固定資產管理從在建工程轉為固定資產開始，使用部門很少關心固定資產保養、維護要花多少錢；實物管理部門只管資產存在與否，對資產運行狀態不甚關心；財務部門只管做好轉資，按時計算、計提固定資產折舊（折耗）等。這種管理的缺點是各管一段，沒有資產整體概念，發揮不了資產的整體效益。傳統的固定資產管理無法從整體、長遠和過程上管理好資產，無法使資產價值最大化。

資產全生命周期管理（Life Cycle Assets Management，簡稱“LCAM”）是系統工程理論在資產管理上的應用，以資產作為研究對象，從系統的整體目標出發，統籌考慮資產的規劃、設計、采購、建設、運行、檢修、技改、報廢的全過程，在滿足安全、效能的前提下追求資產全生命周期成本最優，實現系統優化的科學方法。固定資產全生命周期管理理念是固定資產管理需要與資產全生命周期管理理論相結合而產生的固定資產管理系統論、方法論，固定資產全生命周期價值管理與實物管理貫穿資產的整個生命周期，兩者缺一不可。

（二）固定資產全生命周期的階段劃分及內容

固定資產的全生命周期是一個全面的、動態的閉環管理過程，把它分階段主要是為了更精細地刻畫資產生命周期的全貌，也便于建立相關流程和制度。按照固定資產全生命周期各個時期呈現的特點，其階段劃分為固定資產導入期、固定資產購建開發期、固定資產運行維護期、固定資產退出期四個階段。

二、固定資產的基本屬性

為深入探討固定資產全生命周期管理問題，首先對固定資產的四種基本屬性進行簡單介紹。

一是實物屬性。其特點是實實在在地存在，看得見摸得著。

二是價值屬性。一提到價值屬性，我們常常想到的是資產的歷史成本，如購建時多少錢、折舊是多少、賬面凈值是多少等。但上述的理解并不全面，主要是因為歷史成本是過去的付出，屬于沉沒成本，我們無法再對其進行改變，因此從全生命周期管理的角度來說，價值屬性更應關注它的重置成本、機會成本等。

三是效用屬性。根據會計準則對固定資產的定義，固定資產是為企業生產商品、提供勞務、出租或經營管理而持有。因此，追求其收益或為經營管理提供支持是購建及持有固定資產的核心目的。

四是費用屬性。一項固定資產在整個生命周期里往往需要配件消耗、維護保養、甚至更新改造等，它會帶來一系列費用性的支出。有的固定資產產生的費用開支相對低一些，有的費用支出卻很大。

三、固定資產管理中存在的問題

由于受傳統管理理念的束縛及認識的不足，目前煉化企業在固定資產管理過程中還存在以下問題。

（一）重視固定資產實物和價值屬性管理，輕效用和費用屬性管理

通常，固定資產管理在實踐中更側重于實物和價值管理，尤其側重于歷史成本管理，如定期進行資產清查盤點以確保賬實相符，通過系統管理及設立一系列臺賬對固定資產進行價值管理等。雖然這些工作能有效保障資產存量的清楚、核算規范，但這只是固定資產全生命周期基礎管理的一部分，并不是對固定資產進行管理的目標所在。既然持有或控制一項固定資產目的是獲取其效用，費用支出高低又與收益密切相關，那就更應該加強對固定資產效用屬性、費用屬性的管理。

（二）重靜態和階段管理，輕動態和全生命周期管理

一項固定資產從立項、購建到報廢處置是一個動態的閉環管理，這一過程可能會延續若干年，現代化的管理應包括跟蹤固定資產全生命周期內的各個階段，根據不同階段具體情況做出決策。但實踐中，固定資產管理往往是關注某一時點、某一階段的存量資產，反復進行的工作也只是固定資產的卡片、臺賬、清查盤點等。這種管理模式顯然難以滿足現代化動態管理的需求。

（三）重新資產的構建，輕不良資產的有序退出

每一項固定資產都有一個購建期、投運期、報廢清理期，對于整個存量資產來說也是如此，既然有新資產的不斷購建，就應該有陳舊報廢資產的有序退出。尤其是煉化企業，龐大的組織架構和網絡布局不可能沒有因客觀環境變化導致的低效資產。這就需要有組織地對該部分資產進行清理并有序退出，減輕資產包袱，提升資產質量。

（四）重階段性管理，輕全過程管理

傳統的固定資產管理習慣按階段進行管理，一般購建階段由發展計劃部門負責，使用中根據資產功效分別交付物流等部門負責，處置清理則由實物資產管理部門負責。這樣在發揮對資產專業化管理優勢的同時卻弱化了對資產全生命周期的過程管理，很難有一個部門對固定資產生命周期的全過程有全面的了解。此外，目前行業內應用的ERP系統管理模塊也是把一項資產根據生命期階段或功效的不同分別分配給不同管理或使用部門，沒有一個模塊能夠清晰地反映出固定資產全生命周期的全貌，這也弱化了對資產全生命周期的管理。

（五）重資產購建的前期論證，輕后期評價

通常購建一項固定資產，無論是市場預測、建設規劃、投資收益等都進行計劃、審查及報批，但一旦資產形成交付使用部門后，對于資產前階段的相關情況就很少問津了，這也是階段性管理模式的弊端所在。

四、加強和完善固定資產全生命周期管理的建議

加強和完善固定資產全生命周期管理的核心是提高固定資產在生命期內創造的效用。所以，加強全生命周期管理應以兩條主線為切入點：一是以固定資產從購建到清理的生命周期為主線；二是以生命周期內固定資產的四種屬性為抓手，以達到提升管理水平、充分發揮固定資產效用的目的。為達到以上目的，筆者認為應做好以下工作。

（一）加強組織領導，組建強有力的固定資產綜合管理部門

企業要成立資產全生命周期管理組織機構，強調其管理范圍的全面性，而不是依靠財務或某一階段性的資產管理部門。同時，強調綜合管理職能，圍繞導入期、購建開發期、運行維護期、退出期等四個階段的資產管理，負責評估本企業的資產狀態；制定管理策略，設計工作流程，建立評估考核和保障機制；策劃實施方案，合理配置資源，跟蹤任務指標執行情況，制定糾正偏離目標的措施。專業化綜合管理的實施反過來也能為階段性資產使用部門提供支持，為管理層提供決策依據。

（二）圍繞四種屬性加強固定資產管理

目前，對固定資產價值屬性和實物屬性的管理相對較完善，無論是購建、報廢還是清查盤點制度都比較成熟全面，能夠有效保證賬實相符及核算準確，但對效用和費用管理缺乏足夠的認識和重視。對固定資產的管理不能僅僅停留在使用上，應該關注如何充分發揮其功效，獲取最大效用。實現這一目的的前提是對固定資產進行定期分析評價，包括分析投資回報、市場前景，研判其盈利趨勢等。費用屬性為效用屬并對其產生影響，對一項固定資產進行維修保養是為了提高資產使用效率，獲取持續穩定效用，但這種費用開支不能簡單地停留在功能修復及部件的維護保養，更應該注重提升資產新功效，進而提高產品質量和產能。

（三）構建閉環管理的總體工作流程

企業要科學構建和協調各個階段的工作流程，建立標準的工作規則和常態機制。對現行的規劃、前期、設計、招標采購、工程建設、運行維護、檢修、技改、資產報廢、財務、績效等方面的制度、標準進行梳理、評估、檢查和修訂。資產狀態評估在工作流程中處于重要的位置，在優化各個階段內部自我評價的同時，要強化其他相關階段的信息反饋與評估，實現閉環管理。

（四）建立固定資產全生命周期管理分析報告制度

首先，設定資產管理目標；其次，按資產類別建立管理指標體系，盡量使用量化指標，無法量化的使用定性指標并確立指標達標標準，明確指標要達到的水平；最后，定期組織固定資產生命周期管理分析會，形成固定資產生命周期管理分析報告。通過對比資產管理目標及指標標準，明確資產管理水平所處的位置、存在的差距和不足，確定提高和改進資產管理的方向和路徑，不斷提高資產全過程管理的水平，提高資產投入產出的效率和效果。

（五）建立健全全生命周期成本財務管控及設備監造工作體系。

企業的工作人員應該依據設備運行和檢修標準化成本定額體系，補充完善全資產、全生命成本預算和核算制度，健全精細化的資產全生命周期成本財務管控體系。工作人員要按照資產全生命周期管理要求，強化主要設備的駐廠監造，擴大監造范圍，開展標準化監造工作，完善資產質量管理，建立健全全生命周期成本財務管控及設備監造工作體系。

（六）實現固定資產信息化管理

目前，我們使用的系統沒有一個專門的管理模塊與所有相關的模塊銜接，在資產管理中，不能針對某項固定資產生命周期的特定階段進行管理。如果要對固定資產進行分析評價，則需要從多個模塊中取數，進行匯總分析，這樣工作量較大而且容易出錯誤。筆者認為，應開發一個固定資產綜合管理模塊，根據需求對其進行客制化的升級，使該模塊可以穿透不同年度的數據，且可以從不同模塊中取數，實現單項固定資產橫向、縱向的數據歸集分析。

（七）形成合理的資產退出機制

目前，固定資產管理較側重于資產購建，卻忽視了固定資產合理退出在存量資產全生命周期管理中的作用。合理的資產退出可以達到兩個目的：一是通過低效資產的有序退出優化資產結構，提高在營主業資產的創效能力，提高企業創效能力；二是選擇恰當的退出方式可以為企業帶來收益。習慣上我們對退出資產的處理往往是簡單地變賣，其實有些退出資產以恰當的方式或在恰當的時機處置有可能帶來可觀的收益，如拍賣出售一般比商務談判或唯一買家效果要好；有時拆卸出售比整體出售效果要好。納入變賣階段的固定資產就是商品，找準時機可以賣出好價格，提高收益水平。

（八）時刻不放松固定資產安全管理

固定資產安全管理貫穿于固定資產購建、運營、處置全生命周期并與四種屬息相關。在這里需要強調的是，安全管理不得當，加強固定資產全生命周期管理就無從談起。因此，無論是管理部門還是使用部門，均應警鐘長鳴，繃緊安全管理這根弦，認真落實各項安全措施，確保固定資產在生命周期中管理安全、運行安全、處置安全。

綜上所述，煉化企業固定資產的管理是一個系統的、長期性的艱巨工程，隨著科技的發展，管理模式也必須不斷地改善。只有這樣，才能適應新形勢、新問題的需要。同時，也只有在日常工作中不斷探討，不斷發現問題并及時解決問題，才能減少工作失誤，使資產資源發揮最大效益。

參考文獻：

[1]劉衛民.石化企業固定資產全生命周期管理應用探討[J].現代商業，2013（10）.

[2]陳新勝.油田資產全生命周期管理模式探討[J].生理油田黨校學報，2013（07）.

[3]戴戈，武鋼堯.固定資產全生命周期管理之探索實踐[J].通信企業管理，2012（11）.

信息資產的安全屬性范文5

關鍵詞：會計核算；信息質量；方法；數據

引言：在進行財務管理工作之前，企業要找到最合理的、最適合企業的會計核算方法，這樣才能確保會計信息的有效性和準確性。所以企業的決策者要結合企業實際情況，結合企業會計信息的需求，找到一套適用于企業的會計核算方法，以滿足企業發展的需要。

一、合理選擇會計核算方法

1、選擇會計核算方法的標準

1.1可確定性：會計信息要在能夠為企業產生經濟利益，并且達成可確定性時才能被企業采用來為決策者提供參考的指標和判斷依據。

1.2可靠性：會計信息必須真實可靠，因為會計信息是為使用者提供財務判斷的依據，必須具有可應用性。只有準確可靠的信息才能為企業提供正確的信息，才能體現出自身的價值，展現其應有的作用。

1.3可以被計量：會計信息需要經過量化才能發揮其作用。在會計處理時，會計計量需要顯著的優化會計作業和處理程序，才能使會計信息能夠被進一步量化。

2、確定數據定性詳細標準

（1）數據身份：每當出現新的經濟業務之時，都應當對發生的經濟業務的經濟價值進行較為全面的分析，包括此種業務對會計要素可能產生的種種影響等，保證會計信息的合理歸入。如果不能夠識別或者不能夠正確的識別，則會直接的影響到會計信息的質量。（2）時間階段：權責發生是會計核算的前提，在權責發生制中，這是標準。對于當期已經發生的實際收入或者費用，必須納入當前的會計記錄中去。對于不屬于當期的收入和費用，則不能納入。這一過程需要相當的謹慎，若發生誤差，極易對會計信息質量造成較大影響。

二、計量過程中確定會計核算方法

1、確定合理的計量屬性

（1）歷史成本被選擇確定為計量屬性：歷史成本作為計量屬性的一種，受到歷史成本原則的影響，使用這種計量屬性，企業的資產價值可以得到客觀的反應，對于減值的會計成本，可以予以很好的調整。

（2）現行成本被選擇確定為計量屬性：現行成本作為一種計量屬性，有助于避免因為價格的變動使得收益被虛計，能夠真實的將企業的財務狀況予以反應，能夠客觀準確地評價企業的經營情況。但是這一計量屬性也存在自身的缺陷性，比如在具體的作業過程中，因為重置成本確定的難度較大，要想與本來持有的資本在一致性方面做好，困難度就很高。另外，這種計量方法也很難消弭因為貨幣本身購買力的調整產生的資本保值性問題。

（3）可變現凈值被選擇確定為計量屬性：以可變現凈值作為計量屬性是非?？煽壳曳€健的，這樣不僅夠如實的反應預期變現能力，還能保證和維持會計信息的可靠性。但以可變現凈值作為計量屬性并不適用于所有資產，如對無形資產進行管理就難以運用這種方法。

總而言之，不同的計量屬性有不同的優點和缺點，適用于不同的情況。在確定計量屬性時要結合企業的財務管理情況，結合企業自身特點和發展狀況來選擇使用與企業相適應的計量屬性。

2、選擇合理的計量標準

計量標準分為兩種類型：固定貨幣單位和名義貨幣單位，在選擇的時候各有優缺點。固定貨幣單位的計量標準，能夠提高會計信息的可比性和一致性，從長久看更為有利。但是這種計量標準本身的核算過程較為復雜，對會計人員有較高的要求。若計量標準選為名義貨幣單位，可以簡化會計核算工作，一般情況下也能夠保證會計信息的可靠性。但是當面臨通貨膨脹的時候，名義貨幣的貶值，會使得會計核算過程中會計信息的真實性受到一定程度的影響。

三、在記錄過程中選擇合理的會計核算方法

1、科學記錄方法的選擇

如今計算機技術迅猛發展，不斷應用于各個領域，會計行業也應與計算機技術相結合。會計處理的智能化電子化可以大大減輕財務工作人員的勞動強度，提高對會計信息的搜集能力、整理能力和應用能力，從而提高會計管理的效益。會計行業與網絡信息技術相結合可以提高信息量，提高財務管理人員的工作效率，使會計行業更加規范，同時降低工作成本。但將網絡技術應用于會計領域也有弊端，如越來越多的財務報告會出現網絡上的紕漏，會計信息的安全性下降等。

四、會計核算方法在報告過程之中的應用

1、決定會計信息的列報方式

財務報表中最為重要的就是會計報表。但傳統報表受到表格本身的格式限制，不能反映項目的信息。但有些信息又是了解企業真實資產質量的必要信息，所以必須改善會計報表的形式。企業可以將應收賬款賬齡有關的信息以會計報表附注的方式顯示出來，還有一些在資產負債表中只列示其賬面價值的項目，可以另附資產減值準備明細表，列示出該資產所提取的減值準備，這樣就可以反映資產的賬面價值，得到最完善的會計信息。

2、決定披露的充分程度

會計信息的質量一定程度上會受到會計核算中確認與計量過程的影響。在會計處理過程中，未來會發生的交易事項按規定是不予確認的，所以財務報告會少反映一些交易事項。舉一個例子，某企業在為其他單位的借款提供擔保的時候，最終若單位無法到期清償借款，那么企業必然會產生或有負債，或是或有損失。而企業訴訟也存在不確定因素，若敗訴會產生或有負債或是或有損失，若是勝訴則或有資產或是或有收益增加。所以企業在披露財務報告的同時還應當提供財務情況說明書，并在其中將本公司的生產經營情況、利潤的實現以及分配狀況、稅金的繳納、各項物資財產的增減變動以及資金的變動情況都一一列出。除此之外還要列出在資產負責表日到財務報告正式報出期間單位發生的，對財務方面產生重大影響的事項，和其他應當加以說明的其他事項等。使財務報告使用者能夠了解到這些事項的性質、對財務狀況的影響和存在的不確定因素，增強財務報告的全面性和有效性。

五、總結

綜上所述，會計信息在任意一家企業中都扮演這重要角色，它幫助企業選擇科學實用的會計核算方法，協助企業決策者進行合理分析，做出有利的決定。信息核算是所有會計順利開展工作的基礎保證，因此我們要認真鉆研，挖掘深層次的信息，才能使信息核算發揮最大的價值，才能更好的協助企業的管理和決策，使企業獲得更大的經濟效益和社會效益。

參考文獻

[1]申山宏.信息化環境下會計核算方法的規范化[J].揚州大學稅務學院學報，2003

[2]陳信元，等.我國會計信息環境的初步分析[J].會計研究，2008

信息資產的安全屬性范文6

關鍵詞： BOSS系統；風險評估；廣電

中圖分類號：F49 文獻標識碼：A 文章編號：1671－7597（2012）0210099－01

1 項目背景

隨著公司整體融資上市，陜西廣電確立了“管理架構集團化、產業發展多元化、經營運作市場化”的“三化”戰略構想，并在全國率先完成網絡整合，實現有線電視業務和數據多業務等全業務運營，公司從傳統的有線電視運營商向綜合信息服務供應商轉型。2010年，伴隨三網融合的逐步推進，陜西廣電將加大全業務運營的步伐，有線電視數字化、數據業務、高清、互動業務等蓬勃發展。為適應企業業務的轉型和業務的飛速發展，陜西廣電于08年開始建設自己的運營支撐平臺BOSS系統，這是陜西廣電業務運營上臺階、管理上品質的一次里程碑式的重要舉措，將全面優化陜西廣電的業務運營，全面提升企業運營效率，因此，BOSS系統建設的成敗、是否安全穩定的運行對于陜西廣電至關重要。

根據信息安全與信息系統“同步規劃、同步建設、同步運營”的三同步原則，陜西廣電決定同步著手構建BOSS系統的信息安全體系。從風險控制以及安全經濟效益的角度，“以安全保發展、在發展中求安全”，避免來自信息安全方面的風險，實現BOSS系統安全可管理、可運營，增強企業可持續發展的能力，最大限度實現間接的安全經濟效益的提升。

那么，BOSS系統的信息安全如何建設、如何運營管理，依據是什么？信息安全風險評估是企業信息安全建設中關鍵的第一步，它將明確告訴我們BOSS系統有哪些信息資產，信息資產存在的漏洞、所面臨的威脅以及主要的信息安全風險點在哪里，從而為企業的信息安全規劃和建設提供最直接的決策依據，使得企業的信息安全建設能夠有目標、有重點、有計劃、有步驟進行。

2 項目實施

2.1 項目實施范圍

本項目屬于企業信息化中信息安全領域，陜西廣電網絡BOSS系統風險評估項目的重點是對BOSS系統的核心區域進行信息安全風險評估，同時，鑒于地市分公司之間在信息安全方面具有較強的共性，因此以抽樣的方式，抽取了3個節點進行風險評估。

項目主要內容包括：

1）信息資產的清理和重要性賦值

2）安全技術漏洞和威脅的調研評估

3）安全管理漏洞和威脅的調研評估

4）全面分析BOSS系統存在的信息安全風險

5）提出BOSS系統信息安全管理體系改進建議

6）提出合理的安全技術解決方案建議

7）提出若干重要的信息安全管理制度和規范

2.2 項目實施內容

2.2.1 系統業務調研。業務調研的目的是使評估活動業務密切結合，安全建議能夠與企業的業務發展戰略相一致，通過調查BOSS系統上運行的所有業務和應用，了解主要業務流程，清楚的掌握支持業務運行的網絡系統基本結構和安全現狀，收集評估所需的資產屬性信息。調研范圍包括：評估的業務或應用、信息資產、人員、環境、活動、IP地址信息。

2.2.2 資產識別與估價。在BOSS系統的評估范圍內，按照網絡安全拓撲結構圖的業務系統為主線，列出所有網絡上的物理資產、軟件資產和數據資產，并為每項資產賦予價值。首先根據調查結果對資產屬性進行權值定義，然后對進行影響分析。主要從以下幾方面來考慮：違反了有關法律或（和）規章制度、影響了業務執行、造成了信譽、聲譽損失、侵犯了個人隱私、造成了人身傷害、對法律實施造成了負面影響、侵犯了商業機密、違反了社會公共準則、造成了經濟損失、破壞了業務活動、危害了公共安全。

2.2.3 威脅評估。BOSS系統威脅評估過程中，首先要對組織需要保護的每一項關鍵資產進行威脅識別。用于威脅評估的信息能夠從信息安全管理的有關人員，以及相關的商業過程中獲得。

接著要做的是對每種威脅的嚴重性和發生的可能性進行分析，最終為其賦予相對等級值。評估確定威脅發生的可能性是這一階段的重要工作。其中，威脅發生的可能性受下列因素影響：資產的吸引力、資產轉化成報酬的容易程度、威脅的技術力量、脆弱性被利用的難易程度。

2.2.4 脆弱性評估。針對BOSS系統需要保護的信息資產，找出威脅所能利用的脆弱性，并對脆弱性的嚴重程度進行評估。脆弱性評估主要從技術、管理和策略三個方面進行。其中在技術方面主要是通過遠程和本地兩種方式進行系統掃描、對網絡設備和主機等進行適當的人工抽查、對關鍵外網服務主機進行遠程滲透測試；管理脆弱性評估方面主要是按照ISO27001的安全管理要求對現有的安全管理制度及其執行情況進行檢查；策略脆弱性評估方面主要是從整體網絡安全的角度對現有的網絡安全策略進行全局性的評估。脆弱性評估所采用的方法主要為：問卷調查、顧問訪談、工具掃描、人工檢查、文檔審查、滲透測試等。

2.2.5 已有安全措施的確認。BOSS系統安全措施可以分為預防性安全措施和保護性安全措施兩種，預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性，如入侵檢測系統；保護性安全措施可以減少因安全事件發生對資產造成的影響。已有安全措施的確認是對已采取的安全措施的有效性進行確認，防止安全措施的重復實施。對于確認為不適當的安全措施應核實是否應被取消，或者用更合適的安全措施替代。

2.2.6 現狀與風險的分析管理。首先是對各種數據的匯總和分析，從物理、網絡、系統、應用、管理等方面全面分析，得出系統的整體安全現狀，輸出安全現狀和風險報告。根據評估結果進一步完成相關的安全建設方案，明確保護哪些資產，防止哪些威脅，如何才能保證系統達到某一安全級別；所提出的安全方案需要多少技術和費用的消耗等。

3 項目推廣情況及前景

3.1 貫徹“同步規劃、同步建設、同步運行”原則