IT安全策略，程序和标准

(一)财务共享服务中心选址

在建立财务共享服务中心的过程中，必须首先考虑选址的问题。

1、人的因素，包括人力成本，通过比较各地区员工薪资水平，以获取成本优势。人才素质，这是财务共享服务中心提供高质量服务的重要保障。

2、政策的因素，当地政府对建立财务共享服务中心的政策支持。

3、环境的因素，包括当地的基础设施，还有当地经营成本等。

(二)财务共享服务中心的组织架构

财务共享服务中心必须有相应的组织架构来保证业务的开展。

1、财务共享服务中心负责人：全面负责财务共享服务中心的各项工作，保障财务共享服务中心的安全和高效运转，确保向企业集团内部客户提供财务信息的及时性、准确性和完整性。

2、服务管理组：负责财务共享服务中心相关的业务流程的建立与持续优化、信息系统与会计核算实务 *** 作的制度、规范等的建立和维护，负责对财务共享服务各核算组的具体核算业务的真实性、完整性、合规性、及时性进行内部稽查。

3、档案管理组：负责安排财务共享服务中心内外部的纸质单据的交接及除员工报销单据外的所有合规性审核工作，以及所有内外部电子文档、纸质文档的整理保管和归档工作。

4、应付组：负责供应商应付款结算业务的会计核算工作，同时负责供应商协议的审核管理，以及供应商对账工作。

5、应收组：负责客户应收款结算业务的会计核算工作，同时负责客户协议的审核管理，以及客户对账工作。

6、总账报表组：负责总账业务的会计核算工作，同时对外和对内出具财务会计报表和管理报表。

7、报销组：负责费用报销类业务的会计核算工作。

8、资产税务组：负责成本管理、资产管理和税务业务的核算工作。

建立一个完整的财务共享服务中心，需要编写财务共享服务中心负责人、服务管理、档案管理、应收、应付、总账报表、费用、资产税务等岗位职责说明书。明确各岗位职责和分工，提高相互之间的协作能力。

(三)流程管理

财务流程的梳理主要通过对现有流程进行整理和分析。在对流程现状研究后，设计未来财务共享服务中心的流程。对流程进行端到端的优化设计，需要设计出部门级(三级流程)的流程图。三级流程被定义为跨部门的、跨职能的流程。三级流程细化到部门的具体岗位，但不涉及岗位的具体作业。主流程包括：采购到应付流程图、销售到应收流程图、库存到成本流程图、总账报表流程图、纳税申报流程图、固定资产流程图、费用报销流程图。四级流程开始关注部门内部的再细化分工，或者说是为了完成上级流程目的，而需要 *** 作更细化的作业标准(也叫SOP)。五、六级流程，我们通常定义为软件功能和单个 *** 作动作的流程。

在设计财务共享服务中心流程时，通过对现有流程的梳理，结合企业会计准则、企业内部控制基本规范及应用指引等相关规定和集团管控一体化发展的要求，不断优化，达到财务共享服务标准流程的要求，最终使流程落地。

(四)信息系统支持

在整合信息化平台中，企业资源计划系统(ERP)、影像管理系统、网络报销系统、网上支付和银企直连等系统和技术是对财务共享服务中心最为重要的信息系统支持。ERP系统必须具备以下特点：支持端到端的业务流程;流程自动化，尽可能地消除手工作业;系统的部署能满足跨地域经营;支持自助门户和交互中心，能方便与客户、供应商、员工和合作伙伴进行业务协作。影像系统在财务共享服务应用中主要解决了票据实物流转的问题、原始凭证的调阅问题、离岸处理问题、业务处理的分工和效率问题。网络报销系统改变了传统纸质报销的低效率，大大降低财务基础工作量，为财务共享服务提升运作效率、降低成本带来了切实可行的工具。

开发过程：

1、规划阶段。

系统规划阶段的任务是在对原系统进行初步调查的基础上提出开发新系统的要求，根据需要和可能，给出新系统的总体方案，并对这些方案进行可行性分析，产生系统开发计划和可行性研究报告两份文档。

2、分析阶段。

系统分析阶段的任务是根据系统开发计划所确定的范围，对现行系统进行详细调查，描述现行系统的业务流程，指出现行系统的局限性和不足之处，确定新系统的基本目标和逻辑模型，这个阶段又称为逻辑设计阶段。

3、设计阶段。

系统设计阶段的任务就是回答“怎么做”的问题，即根据系统分析说明书中规定的功能要求，考虑实际条件，具体设计实现逻辑模型的技术方案，也即设计新系统的物理模型。所以这个阶段又称为物理设计阶段。

4、实施阶段。

系统实施阶段的任务包括计算机等硬件设备的购置、安装和调试，应用程序的编制和调试，人员培训，数据文件转换，系统调试与转换等。

5、维护与评价。

系统投入运行后，任务是经常进行维护，记录系统运行情况，根据一定的程序对系统进行必要的修改，评价系统的工作质量和经济效益。

示例如下：

PHILIPS光源事业部要求各分销商建立统一的综合采购计划，规范各分销商的财务、业务信息系统，并且从各个层面考核分销商的管理水平、经营业绩，以保持总公司的经营业绩和企业形象。

扩展资料：

适用条件：

1规范化的管理体制。

从目前国内一些企事业单位的情况来看，通过组织内部的机制改革，明确组织管理的模式，做到管理工作程序化、管理业务标准化、报表文件统一化和数据资料完整化与代码化是成功应用管理信息系统的关键。

2具备实施战略管理的基础或条件。

管理信息系统的建立、运行和发展与组织的目标和战略规划是分不开的。组织的目标和战略规划决定了管理信息系统的功能和实现这些功能的途径。

3挖掘和培训一批能够熟练应用管理信息系统的人才。

一个项目能否得到成功实施，在很大程度上取决于其人才系统运行的状况和人才存量对项目目标、组织任务的适应状况。

4健全绩效评价体系。

健全的评价体系应该做到有助于激励员工最大限度地为企业创造价值;有助于企业将信息化与企业战略有机结合起来;有助于对企业绩效进行纵、横向比较，从而找出差距，分析原因;有助于企业合理配置信息化建设资源。

参考资料：

1IT安全策略

管理人员应该审视那些能够管理特权账户（如域管理员账户、应用程序管理员账户、数据库管理员）的IT安全策略，要保障安全策略的存在，还要清楚存取访问是如何被处理、验证、证明的，要确保对这些策略定期进行审查。否则，基本上就不存在管理特权访问的基础了。在没有相关报告的情况下，管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题：口令何时更新、更新失败有哪些，以及在一个共享账户下，个别用户如何执行任务等等。

制定的策略应具有这样的目标：能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任，从而与IT的安全策略、方法以及与其角色相适应的相关指导等。

2“超级用户”账户和访问

了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员，并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此，要确保用户访问能够被检查，并确保其拥有恰当的许可。一个好方法是定期地审查用户访问，并决定数据和系统的“所有者”已经得到明确授权。

3账户和口令配置标准

要保证所有的管理员账户能够根据策略更新。在特定设备上，不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说，其信息是很丰富的。有一些安全账户，其账户名就是口令，这简直是自寻烦恼。设置口令的期限也是很重要的，禁用某些明显的临时账户也是很聪明的作法。

4对口令的受控访问

对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显，不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问，如包含口令的电子邮件，就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中，口令文件的口令并没有得到控制。

5服务账户( “机器” 账户)

服务器也可以被提升权限，并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户，并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查，因为它们经常拥有超级用户的能力。这种用户的数量是很多的，而且还有许多不用的账户也需要注意。

6高风险用户和角色

有一些公司积级地监视某些角色，这些角色对企业会造成极高的风险，企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如，一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下，其访问是被授权的，不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意：IT安全专家通常都属于高风险角色的范围。

7安全知晓项目

任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目，并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名，要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。

8背景筛选

背景筛选就是要认真地问雇员一些措词严格的问题，以揭示其特定行为和态度的危险信号，例如：

·违规的或异常的工作经历：离开工作的可疑理由、长期未被雇用的原因

·欺诈：在某些事实上（例如教育、以前的雇佣关系）的虚伪陈述

·人格/态度问题：与同事或管理人员的糟糕关系

·挫败、威信问题、猜疑、无力接受改变等

9事件记录

安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录，应考虑改善对较高风险领域和服务的记录利用。

10证据

管理人员应熟悉所使用的不同存储设备，如果有任何可疑迹象，还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的 *** 作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情，这些闪速设备可被伪装为数码相机、个人数字助理（PDA）或移动电话等。还有一些调查人员从移动电话中收集和分析信息，因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动，就应保留相关证据，直至最终决定其结果。

IT管理制度

一总则

为引进现代化计算机工具，推动现代化管理，以创造及巩固企业好的信息化发展的软环境及硬环境，使公司IT管理规范化、程序化、迅速快捷，特制定本制度。

二管理原则和体制

21公司按集中与分散相结合原则，设立机房，各部门配备电脑。

22计算机系统本着一次总体规划、分步建设方式实施。

23计算机系统建设应综合考虑成本、费用、效率、效果、先进性适用性，选择最优技术经济方案。

三相关人员职责

31公司技术总监是公司信息化管理系统建设的领导者，负责系统的远景规划和决策。

32系统管理人员是公司信息化管理系统建设的主要执行者，负责系统的设备保障、运行监测、及时维护、数据备份以及信息系统规划、计划、方案的起草工作；同时，负责公司信息化管理系统和各工作站系统软件、应用软件的安装、调试和维护工作。

33采购部负责IT设备及耗材购买。

34系统管理人员及各部门经理负责经常性指导一线 *** 作人员岗前培训和不定期的专门培训。

35各部门经理负责监督本单位内一线 *** 作人员的作业情况，回馈公司信息化管理系统的BUG、修改建议。

四IT设备管理

设备管理包含设备申请、选型、采购、领取，保管及归还。

41公司各部门因工作需要申请采购电脑及周边设备，需填写<<物品申请表>>。在申请表备注中详细标明用途和要求，表单填写完毕必须经过部门经理，IT管理部，总经理审批后方能列入公司采购计划统一采购。

42 IT管理部在收到部门申请后，需针对设备具体用途，认真审核检查申请设备选型、配置是否合理、正确，并提出相关的建议。

43申请表审批完毕，由IT管理部保存，统一汇总。于每个月月底提交给采购部统一采购。如申请设备属于紧急需求的，可酌情予以优先办理采购。

44设备采购完毕，由IT管理部带领申请人到仓库领取设备，同时登记设备相关信息。

45员工领取办公用IT设备后，设备交由领取人保管，领用人有责任保护设备安全。如在使用过程中造成设备人为损坏或遗失，需按价赔偿。公司机房内设备由网络管理员负责保管。

46 IT设备归还给公司时，需经过网络管理员检查设备是否正常，确认无故障或损坏后归还入库。

五系统管理

51软件管理

（1） 所有公司办公用电脑只允许安装办公软件。

（2）未经许可，员工不能私自安装与工作无关的软件和硬件设备,否则由此引起的故障由自己负责。

52帐号管理

（1）公司通过域管理内部电脑。每个员工都有相应的域帐号和密码，员工有责任保管好自己的密码，防止泄露。

（2）系统管理人员应熟悉并严格监督网络使用权限、用户密码使用情况，适时更换、更新用户账号或密码。

（3）新员工入职由人事部通知IT管理部，建立账户，分配相应组的权限，电子邮件地址，以及一些其他系统或项目存取的账户。

（4）员工离职时，需经过IT管理部确认。停用帐户，电子邮件和一些其他系统或项目存取的账户。

六．服务器和客户机管理

61服务器和客户机主机必须放置于通风、防尘、防水、防静电、防磁、防辐射、防鼠、移动方便的位置，切忌近火源、水源、化学物品及多灰尘的地方。

62公司服务器由专人负责，任何其他的人不得私自 *** 作。如确实因工作需要需对服务器进行 *** 作，必须有网络管理员在现场，并配合网络管理员做相应的 *** 作记录。

63网络管理员负责机房主机的定期清洁工作，客户机由使用人负责定期清洁工作。

64非公司指定网络管理人员，未经批准不得对服务器和客户机进行硬件维护、拆卸等 *** 作。

65各部门对客户机和相关设备主机参数及配件进行调整或更换，应经单位主管提出申请，并由公司IT管理部批准，必须填写申请单，管理人员应填写工作日志记录相关情况。

七．电脑维护

71公司确立专职或兼职工程师负责电脑系统的维护。

72电脑发生故障时，使用者作简易处理仍不能排除的，应立即报告主管。

73电脑维修维护过程中，首先确保对公司信息进行拷贝，并不遗失。

74电脑软硬件更换需经主管同意，如涉及金额较大的维修，应报公司领导批准。

75 UPS只作停电保护之用，在无市电情况下，迅速作存盘紧急 *** 作；严禁将UPS作正常电源使用。

76对重大电脑软件、硬功夫件损失事故，公司列入专案调查处理。

77外请人员对电脑进行维修时，公司应有人自始至终地陪同。

78凡因个人使用不当所造成的电脑维护费用和损失，酌情由使用者赔偿。

八计算机保密

依据公司保密管理办法，公司计算机管理应建立相应的保密制度,计算机保密方法有：

81不同密级文件存放于不同电脑中；

82设置进入电脑的密码；

83设置进入电脑文件的密码或口令；

84设置进入入电脑文件的权限表；

85对电脑文件、数据进行加密处理。

（1）为保密需要，定期或不定期地更换不同保密方法或密码口令。

（2）特殊申报批准，才能查询、打印有关电脑保密资料。

（3）电脑 *** 作员对保密信息严加看管，不得遗失、私自传播。

九电脑病毒的防治

91公司电脑必须安装电脑杀毒产品。

92未经许可证，任何人不得携入软件使用，防止病毒传染。

93凡需引入使用的软件，均须首先查杀病毒防止传染。

94电脑出现病毒，网络管理员不能杀除的，须及时报主管处理。

95建立双备份制度，对重要资料除在电脑贮存外，还应刻录在光盘上，以防遭病毒破坏而遗失。

96及时关注电脑界病毒防治情况和提示，根据要求调节电脑参数，避免电脑病毒侵袭，并在服务器更新相关病毒的专杀工具。

十资料备份工作制度

101 系统备份

（1）服务器备份采用双硬盘镜像方式备份。

（2）客户机系统采用ghost镜像来实现备份。

102数据备份

备份规则：凡是公司重要的资料、数据库和文档都应该采取备份机制，防止数据丢失。所有备份光盘由行政统一保管，并负责查询，提取，登记工作。

（1）公司数据备份采用服务器备份和光盘刻录备份方式。

（2）项目相关数据备份采用光盘刻录备份方式。

（3）公共数据备份采用服务器备份。

（4）个人数据备份采用个人电脑备份，数据存放在C盘以外的其他盘符。

103 备份计划

（1）公司数据备份采取每月或每季度方式备份。

（2）项目相关数据备份，在项目结束后所有相关项目资料都统一备份，由公司保管。

（3）公共数据备份采用反删除方式，由网络管理员在服务器上备份。

（4）个人数据备份由个人进行备份

十一处罚制度

111部门经理未能安排、监督一线 *** 作人员工作，或者一线 *** 作人员没有按照指定流程及时有效完成系统 *** 作的，系统管理人员有权向公司提出申诉，一线 *** 作人员将接受相应处罚，同时，单位主管必须承担连带处罚责任。

112指定 *** 作人员和非 *** 作人员利用公司电脑进行与工作无关的 *** 作，或者未经许可进行软硬件的安装、拆卸和移动，系统管理人员将报告公司处理。

113指定 *** 作人员和非 *** 作人员以恶意破坏、删除、拷贝、拆卸等行为造成公司系统数据或设备损坏或丢失的，系统管理人员将报告公司处理；如果触犯法律的，将由公司报请相关执法单位处理。

114相应的经济和行政处罚细则由公司人事部门制定执行。

十一附则

本制度由信息部解释、补充，经总经理批准颁行。

以上就是关于财务共享服务中心如何构建全部的内容，包括:财务共享服务中心如何构建、管理信息系统的开发过程是怎样的、IT安全策略，程序和标准等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！