7月30日，由上海国家会计学院主办，金蝶软件（中国）有限公司、中兴新云服务有限公司、用友网络科技股份有限公司、北京元年科技股份有限公司、浪潮通用软件有限公司联合主办的“会计科技Acctech应对不确定性挑战”高峰论坛暨2022年影响中国会计人员的十大信息技术评选结果发布会在上海国家会计学院国际会议中心顺利举行。

本次论坛邀请了五位嘉宾基于多项信息技术在一个或多个会计应用场景及其发展趋势进行综合分享，通过新实践、新成果、新思考帮助会计人员理解信息技术对会计工作、会计职业等方面的各种影响，把握信息化时代会计变革的方向。

五位嘉宾中，本次评选专家，汇付天下有限公司执行董事兼CFO金源解读了十大信息技术背景下信息安全技术对会计工作的影响。本文为根据演讲内容的整理。

近年来，国内外数据隐私泄露事件频发，涉及面广、影响力大，企业因此陷入数据保护合规与社会舆情压力的双重危机。据统计仅近一年里全球十大数据安全事件就共有近8亿人受到影响。会计信息系统建设中，信息安全问题也日益凸显。占据中国高端ERP软件市场的两家国际知名企业2020年爆出通用漏洞评分（CVSS）达10分、9.8分的高危漏洞400余个。这些漏洞使攻击者可读取和修改财务记录、更改银行信息、查阅个人身份信息（PII），甚至是删除或修改活动痕迹、日志和其他文件。

信息安全是财务数字体系建设、数字化转型的基础和保障。从历届影响会计人的十大信息技术评选的结果来看，2002年十大信息技术首届评选，有四项信息安全相关技术上榜。2017-2021年榜单中，仅有身份认证和数据安全技术直接关乎信息安全问题。尽管安全信息技术在财务方面应用得非常迅速，但也能够明显感觉到财务人员对信息安全问题的关注和重视还不够。会计信息化建设中可能面临的安全问题，比较常见的有以下几种情况：首先是选择本地化部署还是云端部署的问题。财务云已经连续多年占据了十大信息技术评选的第一名。但仍有许多人担忧上云后的信息安全问题。实际上，本地化部署也未必安全。服务器部署在本地，某种程度上数据安全确实更可控。但是机器故障、民用电力设施的不稳定性导致的风险较难控制，也存在内部运维人员泄露的隐患。云端部署比较依赖云服务供应商。由专业服务商提供一站式硬件、存储等服务，服务商自备云端的备份和灾难恢复功能。

但如果服务商选择不当，其自身安全问题容易导致内部重要信息丢失。其次，企业在使用RPA时也会发生各类问题，例如运行偏差导致输入系统异常、黑客通过攻击机器人账户获得访问敏感数据权限、黑客利用机器人的漏洞远程访问企业网络等。另外，财务人员运用最为普遍的电子会计档案，储存了大量的财务、业务数据，在使用过程中也要充分关注安全性的问题。会计信息化进程中最常见的五大安全风险包括：硬件系统风险、软件系统风险、数据存储风险、网络环境风险以及人员执行风险。硬件和软件的风险，会计信息化建设，各项信息系统都是基于软件系统进行运行的，软件系统需要稳定运行，且通过持续建设匹配管理需要。硬件系统是底座，软件在其之上运行，数据依靠硬件进行存储。大部分企业硬件和软件都是从外部采购的，依赖于第三方供应商，从信息安全的角度来讲存在供应链的风险。数据存储风险是大部分财务人员特别关注的问题，主要风险在于管理层对信息安全不重视未及时进行有效沟通、未分散核心系统ROOT权限以及未设置关键数据操作多层级验证等。网络环境风险及人员执行风险方面，根据身份盗窃资源中心（ITRC）发布的《2021数据泄露报告》显示，去年共记录了全球1862起数据泄露事件，其中网络攻击占比87%，人员差错占比10%。

如何应对会计信息化进程中的安全风险？会计信息化安全管理中的核心要素，一是技术，二是管理。具体从以下三方面去控制：第一预防性控制，建立完善各类制度架构控制信息安全。第二检查性控制，定期进行信息安全专项检查。第三纠正性控制，发现问题以后能够及时采取措施进行纠正，减少风险事件的发生。

完善会计信息安全机制方面，建立规范与制度，日常信息安全检查与异常报告需要明确环境与资源线上化管理、项目上线后资料归档、现有财务系统详细信息、财务系统数据备份策略、漏洞扫描与异常告警对接人、用户权限管理以及系统管理员明细等重点内容。搭建企业网络安全与数据安全架构方面，需要注重架构的高可用性、网络隔离（测试系统与生产系统隔离）以及安全感知与防护（应用域、数据域、运维域等）三方面。数据分级分类管理方面，2021年发布的《中华人民共和国数据安全法》《网络安全标准实践指南—网络数据分类分级指引》给出了数据分类分级保护的指导标准。对于个人数据、公共数据、法人数据不同分级的数据都有分类分级审定和保护。

“权限管理、隐私管理、数据审计、体系共建”是目前企业常用的数据安全管理措施。权限管理要遵循数据权限最小化原则，对用户登录控制、用户访问权限控制，做到实时监控数据访问行为和灵活的告警机制。隐私管理（数据加密/脱敏）要对隐私数据进行加密、脱敏、变形，由此提高数据管理人员的工作效率，同时规避数据泄露风险，对客户信息资产安全、敏感信息提供完善的保护。数据审计要审核数据共享、下载、复制等需求，监视和保护静止的数据、移动的数据以及使用中的数据，达到隐私数据利用的事前、事中、事后完整保护，实现数据的合规使用。体系共建要将数据安全流程与公司OA系统打通，让所有部门参与到数据安全体系的建设中。