1、信息系统等级测评业务白皮书电力行业等级保护测评中心华电卓识实验室2009 年 9 月 第 2 页 共 42 页目 录第 1 章 信息系统等级测评 .3第 2 章 等级测评 42.1 测评目标 .42.2 适用对象 .42.3 测评依据 .42.4 测评内容 .52.5 测评流程 .62.6 测评方法 .72.7 测评成果 .7第 3 章 风险评估 83.1 评估目标 .83.2 适用对象 .83.3 评估依据 .93.4 评估内容 .93.5 评估流程 .113.6 评估方法 .113.7 评估成果 .12第 4 章 渗透测试 134.1 测试目标 .134.2 适用对象 .134.3 测试流
2、程 .144.4 测试工具 .144.5 测试成果 .15第 5 章 方案咨询 165.1 服务目标 .165.2 适用对象 .165.3 服务内容 .165.4 服务成果 .17第 3 页 共 42 页第 1 章 信息系统等级测评信息安全等级保护是我国信息安全领域的基本制度,在电力行业内开展等级保护工作,是提高电力行业网络与信息安全防护能力、保障电力行业网络与信息安全、促进电力行业信息化健康发展的重要举措。在电监会领导下,电力行业内重点信息系统已经完成了等保定级备案的工作。根据等级保护的相关政策要求,信息系统在完成定级工作后,将依据等级保护标准开展系统的测评、整改、建设及运维工作,以保证信息
3、系统达到安全等级所规定的技术要求和管理要求。等级测评是依据信息系统安全等级保护测评要求等技术标准,确定信息系统安全保护能力是否达到相应等级基本要求的过程,是落实信息安全等级保护制度的重要环节,为信息系统进行等级保护规划、设计、实施、运维提供全面的技术支持和监管保障,推动电力行业信息安全工作的全面、深入开展。电力行业等级保护测评中心是公安部授权的电力行业唯一的信息安全等级保护测评中心,主要使命是电力企业重要信息系统的等级测评,为电力行业信息安全监管提供帮助。电力行业信息安全测评中心采取测试、评审分离的工作模式,严把评审关,测试则委托电力行业内具备等保测评资格的实验室,按照电力行业统一的电力行业等
4、保实施细则、工作流程和指南等规范性文件开展工作。华电卓识实验室是电力行业信息安全等级保护测评中心首批授权的测评实验室,是一家专职于电力行业信息安全等级测评的第三方专业机构,经过标准研究、工具探索、项目实践以及众多信息安全专家的反复论证,现已形成电力行业等级保护测评系统服务产品,包括:1等级测评2. 风险评估3. 渗透测试4. 方案咨询第 4 页 共 42 页第 2 章 等级测评2.1 测评目标等保测评又可以称为等级符合性检验,是等级保护测评工作的核心环节,通过检测、评估信息系统安全状况,识别用户信息系统的安全保护能力与国家等级保护要求之间的安全等级差距,为信息系统的建设、整改、检查与监督工作提
5、供依据。2.2 适用对象按照国家等级保护要求,信息安全等级保护管理办法(公通字200343号)中明确规定,第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或自查,信息系统安全状况未达到安全保护等级要求的,运用、使用单位应当指定方案进行整改。” 同时,用户单位在办理信息系统安全保护等级备案手续时,第三级及以上信息系统应当同时提供测评后符合系统安全保护等级的技
6、术测评报告。2.3 测评依据 GB17859-1999计算机信息系统安全保护等级划分准则 GB/T 22239-2008信息安全技术 信息系统安全等级保护 基本要求 GB/T 22240-2008信息安全技术 信息系统安全保护等级 定级指南 信息安全技术 信息系统安全等级保护测评要求 (国标报批稿) 信息安全技术 信息系统安全等级保护测评过程指南 (国标送审稿)第 5 页 共 42 页2.4 测评内容测评内容主要包括两个方面:一是单元测评,测评指标与国标 GB/T2239-200 相应等级的基本要求完全一致;二是系统整体测评,主要测评分析信息系统的整体安全性。单元测评包括安全技术测评和安全管理
7、测评两大部分,其中安全技术测评包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等五个技术层面,安全管理测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个安全管理方面的内容。整体测评在单元测评的基础上进行进一步测评分析,在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。第 6 页 共 42 页2.5 测评流程修订等级测评项目启动信息收集与分析工具和表单准备测评准备活动测评对象确定 测评指标确定测评工具接入点确定测评方案编制测评内容确定测评实施手册开发方案编制活动测评实施准备现场测评和结果记录结果确认和资料归还 单项
8、测评结果判定单元测评结果判定整体测评等级测评结论形成测评报告编制现场测评活动分析与报告编制活动沟通与洽谈风险分析测评结果评审第 7 页 共 42 页2.6 测评方法等保测评涉及三种基本测评工作方式:访谈、检查和测试。 访谈是测评人员通过与信息系统有关人员进行交流、讨论等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法。管理上的要求主要使用访谈方法进行测评。 检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法。检查的范围一般要覆盖测评项中所有要求的内容。 测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看、分
9、析这些行为的结果,获取证据以证明信息系统安全保护措施是否有效的一种方法。测试方法主要用于验证信息系统当前的、具体的安全机制以及运行的配置和实现情况的有效性或安全强度。2.7 测评成果通过等保测评服务可以判定信息系统的安全状态是否符合等级保护相应等级的安全要求,是否达到了与其安全等级相适应的安全防护能力。通过对信息系统等级符合性检验,最终出具等级测评报告,可以帮助用户发现信息系统的安全防护能力与国家等级保护要求之间的差距,指导用户下一步的具体安全建设、整改工作,最终使系统达到国家等级保护的相关要求,避免相关安全风险事件的发生。输出成果:信息系统安全等级测评报告第 8 页 共 42 页第 3 章
10、风险评估3.1 评估目标风险评估服务是通过对信息资产的识别与赋值、威胁评估、系统脆弱点评估、现有安全措施评估、综合风险分析等若干环节,对信息系统的安全风险进行半定量分析,清晰的展现信息系统当前的安全现状,提供公正、客观、翔实的数据作为决策参考,为下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。等级保护是一项针对信息系统进行分等级防护的信息安全管理制度。等级测评的目的决不仅仅是检验信息系统安全保护措施与安全标准的符合性,更大程度上是希望通过各类调研手段和测评技术手段,判断信息系统的真实安全状况,从而为信息系统的安全建设、整改、运行、维护提供依据。通过信息安全风险评估对信息
11、系统的安全等级保护情况进行评估,依据已确定等级的相关保护要求,对系统的保护效果、潜在风险进行评估,从风险管理的角度有针对性地提出抵御威胁的安全等级防护对策和整改措施,从而最大限度地减少经济损失和负面影响。因此,等级测评工作在等保符合性测评的基础上,开展全面的信息系统安全风险评估,特别是对于检验发现的标准不符合项,更要充分评估对应的脆弱点和安全威胁,判断系统安全风险的影响和可能性,全面掌控信息系统的风险状况,从而提供安全决策支持。作为信息系统的运营使用单位,在信息系统满足等级保护标准要求的前提下,需要综合考虑系统面向的安全风险和安全防护成本,做出消除风险、缓解风险、接受风险的不同决策,从而充分贯
12、彻等级保护实施过程中的重点保护原则和动态调整原则。因此,风险评估是等级测评工作中的关键环节,风险评估的结果将作为等级测评最终结论的重要依据。3.2 适用对象国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327 号)中明确规定国家的电子政务网络、重点业务信息系统、基础信息库以及第 9 页 共 42 页相关支撑体系等国家电子政务工程建设项目,应开展信息安全风险评估工作。风险评估服务适用于有以下需求的单位及企业: 需要了解当前资产潜在风险的用户; 需要了解当前安全建设投入后实际效果的用户; 需要了解信息安全对业务系统影响程度的用户; 需要跟踪信息安全延续性建设并获取后续建设参考依据的
13、用户; 需要了解当前资产实际脆弱性的用户; 需要了解当前信息资产价值优先级的用户等。3.3 评估依据 GB/T 20984-2007信息安全技术信息安全风险评估规范 GB/T 18336信息技术 安全技术 信息技术安全性评估准则 GB 178591999计算机信息系统安全保护等级划分准则 GB/T 197162005信息技术 信息安全管理适用规则 GB/T22080-2008信息技术安全技术信息安全管理体系要求 GB/T22081-2008信息技术安全技术信息安全管理实用规则 GB/T 20274信息系统安全保障评估框架3.4 评估内容信息安全风险评估的主要内容包括:分析信息系统资产的重要程度
14、,评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等。风险评估服务内容主要包括以下几个环节: 信息资产的识别和赋值确定组织信息资产的范围,对信息资产进行识别、分组和分类,并根据其安全特性(机密性、完整性、可用性)进行赋值,建立信息资产列表。 威胁评估对组织的资产引起不期望事件而造成的损害的潜在可能性进行分析。包括潜在威胁分析、威胁审计和日志分析,得到对组织信息系统的安全威胁综合分析报告。第 10 页 共 42 页 脆弱性评估通过技术检测,实验和审计等方式寻找用户的信息资产中可能存在的弱点,并对弱点的严重性进行估值。包括技术性弱点检测、网络架构和业务流程分析、策略与安全控
15、制审计,得到对组织信息系统的安全弱点综合分析报告。 现有安全措施评估对组织目前已经采取的用于控制风险的技术和管理手段效果的评估,在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等方面进行评价,得到对组织信息系统的现有安全措施综合分析报告。 综合风险分析依据前面的评估结果和国家工程中心根据国际、国内标准和工程经验建立的风险评估模型,对组织的信息系统的风险进行评价和评级,得到对组织信息系统的安全风险综合评估报告和信息安全现状报告。第 11 页 共 42 页3.5 评估流程用 户 需 求 调 研撰 写 实 施 方 案组 建 评 估 团 队 实 施 人 员 培 训 准 备 文 档 工 具被
16、 评 估 方 认 可 实 施 方 案3 . 渗 透 测 试1 . 机 房 现 场 察 看2 . 配 置 检 查1 . 工 具 测 试系 统 、 网 络 、 安 全 措 施 、 安 全 威 协 状 况 调 研2 . 管 理 安 全 访 谈风 险 分 析撰 写 报 告评估规划现场实施撰写报告分 析 阶 段 对 遗 留 问 题 进 行 确 认3 . 管 理 安 全 核 查技 术 脆 弱 性 评 估管 理 脆 弱 性 评 估1 . 实 施 准 备 阶 段2 . 基 础 信 息 调 研3 . 脆 弱 性 评 估 阶 段3.6 评估方法 访谈访谈是指测评人员与被测评组织内的有关人员就测评所关注的问题进行有
17、针对性的询问和交流的过程,该过程可以帮助评估者了解现状、澄清疑问或获得证据。访谈深度(即访谈内容的详细程度)以及访谈的广度(即对被测评组织中员工角色类型以及每种类型中人数的覆盖程度)由测评人员依据不同的测评需要进行选择和判断。第 12 页 共 42 页 核查核查是指对测评对象(如规范、机制或行为)进行观察、调查、评审、分析的过程。与访谈类似,该过程可以帮助评估者了解现状、澄清疑问或获得证据。比较典型的检查行为包括:对安全配置的核查、对安全策略的分析和评审、安全日志核查等。 测试测试是指在特定环境中运行一个或多个评估对象(限于机制或行为)并将实际结果与预期结果进行比较的过程。测试的目标是判定对象
18、是否符合预定的一组规格。测试过程可以帮助评估者获得证据。3.7 评估成果风险评估服务可帮助用户系统降低安全风险,具体将带来以下价值:风险评估服务可以帮助用户系统明确资产的配置和分布、业务运行模式、网络体系结构、技术基础结构、资产环境(周边控制、安全措施)以及信息安全策略和制度等信息,准确了解企业的网络和系统现状。风险评估服务将全面给出用户信息系统每个层面上的安全隐患和脆弱性报告,使用户对信息安全各个层次的安全性状况和整体安全状况有全面具体的了解。风险评估从管理制度和安全控制措施等方面对用户信息系统的安全问题进行分析评估,为用户进行信息安全决策和管理提供依据,从而尽可能在安全事故爆发之前避免、减
19、少或转移风险。风险评估可以重点针对信息系统在符合性检验中所发现的标准不符合项,充分了解对应的脆弱点和安全威胁,判断真实安全风险的影响和可能性,结合安全防护成本提供系统安全决策支持,充分贯彻等级保护实施过程中的重点保护原则和动态调整原则。输出成果:风险评估报告第 13 页 共 42 页第 4 章 渗透测试4.1 测试目标渗透测试是指在规范化的实施流程和风险规避手段的基础上,以入侵者的思维方式,利用渗透工具、攻击代码及溢出利用技术,模拟入侵者可能采用的攻击途径,发现被测系统在网络层、系统层和应用层存在的安全漏洞及深层次安全隐患,为系统的安全整改和加固提供参考依据。渗透测试是等级测评工作的重要环节,
20、是等级符合性检验与风险评估的有效补充,等级测评属于合规性检验,渗透测试是从专业角度深入用户信息系统,以入侵者的思维对被测系统进行深度识别,发现信息系统存在的漏洞和潜在安全弱点,渗透测试从工程化角度帮助信息系统实际提升信息安全保障水平。4.2 适用对象渗透测试服务适用于有以下需求的单位及企业 单位网站是否有被篡改的可能; 系统是否存在被攻击者利用的漏洞; 了解单位目前安全体系还存在哪些隐患及安全防护能力实际情况; 在制定单位信息系统建设与整改投资方面需要详实数据依据; 单位核心业务及上级领导高度重视的信息系统安全防护措施有效性; 信息系统建设与整改后的安全效果是否满足了防护要求。第 14 页 共
21、 42 页4.3 测试流程现 场 调 查 , 需 求 分 析用 户 签 许 可 协 议信 息 收 集 分 析 渗 透 测 试 实 施 提 升 管 理 权 限后 攻 击 阶 段 清 理 痕 迹结 果 分 析编 写 渗 透 报 告提 交 渗 透 测 试 实 施 方 案启 用 风 险 规 避 方 案修 改 方 案测 试 异 常评估规划实施操作撰写报告实 施 准 备2 . 渗 透 实 施3 . 事 后 清 理用 户 确 认1 . 实 施 准 备4.4 测试工具 边界区域安全超级漏扫设备; IIS 溢出分析利用工具; 跨平台漏洞扫描设备; 数据库漏洞扫描工具; 应用服务探测设备; DDOS 模拟攻击工具
22、; 数据库注入利用工具; 权限提升工具;第 15 页 共 42 页 数据旁路截取工具; 网站代码篡改工具; 恶意代码分析工具。4.5 测试成果通过渗透测试识别用户应用系统所存在的安全漏洞与所面临的安全问题,通过进一步的安全加固技术手段消除存在的安全漏洞,提升信息系统应用安全的防护能力。 掌握应用系统的安全防护现状; 识别系统层与应用层存在的安全风险与漏洞。输出成果:渗透测试报告第 16 页 共 42 页第 5 章 方案咨询5.1 服务目标方案咨询服务是在对用户信息系统现有状况进行全面分析的基础上,为用户提供等级保护建设整改方案的咨询、设计、评审、论证等服务。方案咨询是等级测评工作的补充环节,在
23、等级测评的基础上对用户信息系统的等级化安全建设进行方案咨询更具合理性,适用性更强,方案咨询能够帮助用户提高信息系统整改建设方案的合理性、规范性、可用性,符合用户实际安全需求与国家等级保护系统建设要求,提升用户信息安全保护水平,使用户信息系统具有较高的安全保护能力。5.2 适用对象为用户单位提供专业化的等级化信息系统建设与整改咨询服务,指导用户信息系统的安全能力建设,使之符合国家等级保护相关标准要求。5.3 服务内容 方案咨询:针对客户在等级保护解决方案中所遇到的各项关键过程点及难点,提供技术、管理和运维全方位的技术支持咨询,以满足等级保护对相应级别信息系统的安全要求,协助通过等级测评。 方案评
24、审:针对解决方案中各个关键步骤及要点进行多次评审,将确认所有环节建设成果符合等级保护相应级别的各项要求,并且是客户可接受的。 方案编写:在等级测评过程之后,针对客户的技术及管理体系所得出的差距而编写的整体解决方案,是将安全策略和等级测评落实为安全解决方案设计和实施指南。第 17 页 共 42 页 方案论证:针对解决方案的必要性和对客户信息化建设工作的实际价值,组织专家进行方案论证,最终保证方案的可行性、客观性、权威性。5.4 服务成果对解决方案的紧迫性、项目可实施性、项目实施难易程度、项目预期效果、项目规划和建设成果合规性等方面进行综合分析,在此基础上对现有网络系统提出全面的安全解决方案咨询建
25、议,包括但不限于如下方面:物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略。安全体系规划、建设是一个长期的、需要持续改进的、不断完善的过程,安全方案咨询服务将明确用户信息系统安全建设的方向,并指导用户信息系统安全建设的整个过程。 输出成果:等级保护建设整改方案咨询报告-范文最新推荐-18财务部日常工作财务部日常工作财务部日常工作财务部录入员日常工作:1、负责录入各种费单;2、负责各类租户数据的录入工作;3、负责各类相关数据信息的修改工作;4、负责报表的打印与分发工作;5、处理日常事务,财务部日常工作。财务部录入员:岗位名
26、称 录入员层级关系直接上级:财务部经理本职工作 协助财务部经理日常工作,做好与财务相关的事务性工作。工作责任1.电脑录入前日物流、商场提供的销售票据并及时出库单、销售退回单;2.监督检查票据是否正确,如有差错及时纠正并做记载 ;3.根据当天发票的全部金额进入总帐,作好凭证,保证现销金额与所收现金相等,赊销的应收帐款、各科目的金额准确无误;4.负责查阅、打印经总经理批示的有关销售方面的资料,为企业经营提供有效数据;-范文最新推荐-195.掌握、监督销售政策的执行情况,发现问题及时上报立即纠正,并做记载;6.定期向财务部经理述职。主要权力1.对销售票据有审核权 ;2.对不符合公司财务制度的行为有投
27、诉、拒绝权 ;3.对公司财务管理制度的执行情况有监督权。管辖范围1.财务部所属办公场所及办公设施、设备 ;2.财务部所属各类票据、资料、文件。岗位素质条件1.自然条件:男女不限,30 岁以下。2.文化程度:中专、高中以上学历,财会等相关专业毕业。3.工作经验:专业知识丰富。【扩展阅读篇】工作总结格式一般分为:标题、主送机关、正文、署名四部分。(1)标题。一般是根据工作总结的中心内容、目的要求、总结方向来定。同一事物因工作总结的方向侧重点不同其标题也就不同。工作总结标题有单标题,也有双标题。字迹要醒目。单标题就是只有一个题目,如我省干部选任制度改革的一次成功尝试 。一般说,工作总结的标题由工作总
28、结的单位名称、工作总结的时间、工作总结的内容或种类三部分组成。如“市化工厂 1995 年度生产工作-范文最新推荐-20总结” “市研究所 1995 年度工作总结 ”也可以省略其中一部分,如:“三季度工作总结” ,省略了单位名称。毛泽东的关于打退第二次反共高潮的总结 ,其标题不仅省略了总结的单位名称,也省略了时限。双标题就是分正副标题。正标题往往是揭示主题即所需工作总结提炼的东西,副标题往往指明工作总结的内容、单位、时间等。例如:辛勤拼搏结硕果县氮肥厂一九九五年工作总结(2)前言。即写在前面的话,工作总结起始的段落。其作用在于用简炼的文字概括交代工作总结的问题;或者说明所要总结的问题、时间、地点
29、、背景、事情的大致经过;或者将工作总结的中心内容:主要经验、成绩与效果等作概括的提示;或者将工作的过程、基本情况、突出的成绩作简洁的介绍,工作总结财务部日常工作 。其目的在于让读者对工作总结的全貌有一个概括的了解、为阅读、理解全篇打下基础。(3)正文。正文是工作总结的主体,一篇工作总结是否抓住了事情的本质,实事求是地反映出了成绩与问题,科学地总结出了经验与教训,文章是否中心突出,重点明确、阐述透彻、逻辑性强、使人信,全赖于主体部分的写作水平与质量。因此,一定要花大力气把立体部分的材料安排好、写好。正文的基本内容是做法和体会、成绩和缺点、经验和教训。1)成绩和经验这是工作总结的目的,是正文的关键
30、部分,这部分材料如何安排很重要,一般写法有二。一是写出做法,成绩之后再-范文最新推荐-21写经验。即表述成绩、做法之后从分析成功的原因、主客观条件中得出经验教益。二是写做法、成绩的同时写出经验, “寓经验于做法之中” 。也有在做法,成绩之后用“心得体会”的方式来介绍经验,这实际是前一种写法。成绩和经验是工作总结的中心和重点,是构成工作总结正文的支柱。所谓成绩是工作实践过程中所得到的物质成果和精神成果。所谓经验是指在工作中取得的优良成绩和成功的原因。在工作总结中,成绩表现为物质成果,一般运用一些准确的数字表现出来。精神成果则要用前后对比的典型事例来说明思想觉悟的提高和精神境界的高尚,使精神成果在
31、工作总结中看得见、摸得着,才有感染力和说明力。2)存在的问题和教训一般放在成绩与经验之后写。存在的问题虽不在每一篇工作总结中都写,但思想上一定要有个正确的认识。每篇工作总结都要坚持辩论法,坚持一分为二的两点论,既看到成绩又看到存在的问题,分清主流和枝节。这样才能发扬成绩、纠正错误,虚心谨慎,继续前进。写存在的问题与教训要中肯、恰当、实事求是。(4)结尾一般写今后努力的方向,或者写今后的打算。这部分要精炼、简洁。(5)署名和日期。署名写在结尾的右下方,在署名下边写上工作总结的年、月、日,如为突出单位,把单位名称写在标题下边,则结尾只落上日期即可。简而言之:-范文最新推荐-22总结,就是把某一时期
32、已经做过的工作,进行一次全面系统的总检查、总评价,进行一次具体的总分析、总研究;也就是看看取得了哪些成绩,存在哪些缺点和不足,有什么经验、提高。 那么,工作总结怎么写?个人工作总结的格式是怎样的? 详情请看下文解析。(一) 基本情况1. 总结必须有情况的概述和叙述,有的比较简单,有的比较详细。这部分内容主要是对工作的主客观条件、有利和不利条件以及工作的环境和基础等进行分析。2. 成绩和缺点。这是总结的中心。总结的目的就是要肯定成绩,找出缺点。成绩有哪些,有多大,表现在哪些方面,是怎样取得的;缺点有多少,表现在哪些方面,是什么性质的,怎样产生的,都应讲清楚。3. 经验和教训。做过一件事,总会有经
33、验和教训。为便于今后的工作,须对以往工作的经验和教训进行分析、研究、概括、集中,并上升到理论的高度来认识。今后的打算。根据今后的工作任务和要求,吸取前一时期工作的经验和教训,明确努力方向,提出改进措施等。具体可以参考部分工作总结范文。(二) 写好总结需要注意的问题1. 一定要实事求是,成绩不夸大,缺点不缩小,更不能弄虚作假。这是分析、得出教训的基础。2. 条理要清楚。总结是写给人看的,条理不清,人们就看不下去,-范文最新推荐-23即使看了也不知其所以然,这样就达不到总结的目的。3. 要剪裁得体,详略适宜。材料有本质的,有现象的 ;有重要的,有次要的,写作时要去芜存精。总结中的问题要有主次、详略
34、之分,该详的要详,该略的要略。另外,在结尾处也可以附上下一步个人工作计划。财务部门工作内容财务部门工作内容财务部门工作内容按照财务部职责,财务的具体工作包括:会计核算;财务报告与分析;财务预算的编制、执行控制、调整、总结;资金计划的编制与执行,包括筹措、支付及创利;税务筹划,包括税费缴纳、政策研究、优惠政策争娶与税务及海关的沟通等;项目保险安排,包括建工险、财产险、保障员工利益的寿险;对项目决策及其他部门业务提供财务支持,财务部门工作内容。对上述内容各有不同要求,本团认为:会计核算重在“规范” 。会计核算的总要要求是:严格遵守会计法规及准则,并与股东核算体系保持一致,在可调节的范围内灵活确定折
35、旧年限、存货计价方法、资产减值等会计估计与变更,以促进项目收益最大化。资金管理重在“规划” 。资金筹措和使用的总体要求是:根据业务计划确定尽量详细、准确的资金安排计划并及时调整,处理好自有-范文最新推荐-24资金和债务资金的关系,以最小的融资成本和风险筹措资金,以最高效率使用资金,并在确保安全性和流动性的基础上尽量提高闲余资金的收益。税务工作重在“筹划” 。税务工作的总体要求是:在依法纳税的基础上,认真研究税法制度,合理安排项目业务活动,以达到最低税负的目标,同时应向各级税务部门争取最优惠的纳税政策,特别是一些地方特有的政策要主动争取,如归地方财政的税收返还等。保险管理重在“全面” 。保险工作
36、的总体要求是:确保保险保障范围覆盖项目拟转嫁的所有风险,并通过保险方案的优化尽量降低保费支出,同时努力争取最优质的保险服务,特别是事故理赔的效率和公正。【扩展阅读篇】工作总结格式一般分为:标题、主送机关、正文、署名四部分。(1)标题。一般是根据工作总结的中心内容、目的要求、总结方向来定。同一事物因工作总结的方向侧重点不同其标题也就不同。工作总结标题有单标题,也有双标题。字迹要醒目。单标题就是只有一个题目,如我省干部选任制度改革的一次成功尝试 。一般说,工作总结的标题由工作总结的单位名称、工作总结的时间、工作总结的内容或种类三部分组成。如“市化工厂 1995 年度生产工作总结” “市研究所 19
37、95 年度工作总结 ”也可以省略其中一部分,如:“三季度工作总结” ,省略了单位名称。毛泽东的关于打退第二次反共高潮的总结 ,其标题不仅省略了总结的单位名称,-范文最新推荐-25也省略了时限。双标题就是分正副标题。正标题往往是揭示主题即所需工作总结提炼的东西,副标题往往指明工作总结的内容、单位、时间等。例如:辛勤拼搏结硕果县氮肥厂一九九五年工作总结(2)前言。即写在前面的话,工作总结起始的段落。其作用在于用简炼的文字概括交代工作总结的问题;或者说明所要总结的问题、时间、地点、背景、事情的大致经过;或者将工作总结的中心内容:主要经验、成绩与效果等作概括的提示;或者将工作的过程、基本情况、突出的成
38、绩作简洁的介绍,工作总结财务部门工作内容 。其目的在于让读者对工作总结的全貌有一个概括的了解、为阅读、理解全篇打下基础。(3)正文。正文是工作总结的主体,一篇工作总结是否抓住了事情的本质,实事求是地反映出了成绩与问题,科学地总结出了经验与教训,文章是否中心突出,重点明确、阐述透彻、逻辑性强、使人信,全赖于主体部分的写作水平与质量。因此,一定要花大力气把立体部分的材料安排好、写好。正文的基本内容是做法和体会、成绩和缺点、经验和教训。1)成绩和经验这是工作总结的目的,是正文的关键部分,这部分材料如何安排很重要,一般写法有二。一是写出做法,成绩之后再写经验。即表述成绩、做法之后从分析成功的原因、主客
39、观条件中得出经验教益。二是写做法、成绩的同时写出经验, “寓经验于做法之中” 。也有在做法,成绩之后用“心得体会”的方式来介绍经验,-范文最新推荐-26这实际是前一种写法。成绩和经验是工作总结的中心和重点,是构成工作总结正文的支柱。所谓成绩是工作实践过程中所得到的物质成果和精神成果。所谓经验是指在工作中取得的优良成绩和成功的原因。在工作总结中,成绩表现为物质成果,一般运用一些准确的数字表现出来。精神成果则要用前后对比的典型事例来说明思想觉悟的提高和精神境界的高尚,使精神成果在工作总结中看得见、摸得着,才有感染力和说明力。2)存在的问题和教训一般放在成绩与经验之后写。存在的问题虽不在每一篇工作总
40、结中都写,但思想上一定要有个正确的认识。每篇工作总结都要坚持辩论法,坚持一分为二的两点论,既看到成绩又看到存在的问题,分清主流和枝节。这样才能发扬成绩、纠正错误,虚心谨慎,继续前进。写存在的问题与教训要中肯、恰当、实事求是。(4)结尾一般写今后努力的方向,或者写今后的打算。这部分要精炼、简洁。(5)署名和日期。署名写在结尾的右下方,在署名下边写上工作总结的年、月、日,如为突出单位,把单位名称写在标题下边,则结尾只落上日期即可。简而言之:总结,就是把某一时期已经做过的工作,进行一次全面系统的总检查、总评价,进行一次具体的总分析、总研究;也就是看看取得了哪些成绩,存在哪些缺点和不足,有什么经验、提
41、高。 那么,工作-范文最新推荐-27总结怎么写?个人工作总结的格式是怎样的? 详情请看下文解析。(一) 基本情况1. 总结必须有情况的概述和叙述,有的比较简单,有的比较详细。这部分内容主要是对工作的主客观条件、有利和不利条件以及工作的环境和基础等进行分析。2. 成绩和缺点。这是总结的中心。总结的目的就是要肯定成绩,找出缺点。成绩有哪些,有多大,表现在哪些方面,是怎样取得的;缺点有多少,表现在哪些方面,是什么性质的,怎样产生的,都应讲清楚。3. 经验和教训。做过一件事,总会有经验和教训。为便于今后的工作,须对以往工作的经验和教训进行分析、研究、概括、集中,并上升到理论的高度来认识。今后的打算。根
42、据今后的工作任务和要求,吸取前一时期工作的经验和教训,明确努力方向,提出改进措施等。具体可以参考部分工作总结范文。(二) 写好总结需要注意的问题1. 一定要实事求是,成绩不夸大,缺点不缩小,更不能弄虚作假。这是分析、得出教训的基础。2. 条理要清楚。总结是写给人看的,条理不清,人们就看不下去,即使看了也不知其所以然,这样就达不到总结的目的。3. 要剪裁得体,详略适宜。材料有本质的,有现象的 ;有重要的,有次要的,写作时要去芜存精。总结中的问题要有主次、详略之分,-范文最新推荐-28该详的要详,该略的要略。另外,在结尾处也可以附上下一步个人工作计划。财务出纳工作财务出纳工作财务出纳工作一、日常工
43、作:1、严格执行现金管理和结算制度,定期向会计核对现金与帐目,发现金额不符,做到及时汇报,及时处理,财务出纳工作。2、及时收回公司各项收入,开出收据,及时收回现金存入银行。3、根据会计提供的依据,与银行相关部门联系,井然有序地完成了职工工资和其它应发放的经费发放工作。4、坚持财务手续,严格审核(凭证上必须有经手人及相关领导的签字才能给予支付),对不符手续的凭证不付款。二、其他工作1、 迎接公司上市财务审计,准备所需财务相关材料为迎接审计部门对我公司帐务情况的检查工作,做好前期自查自纠工作,对检查中可能出现的问题做好统计,并提交领导审阅。在工作中,我忠于职守,尽力而为,领导和同事们也给了我很大的
44、帮助和鼓励。2.完成领导交付的其他工作。三. 回顾检查自身存在的问题,我认为:一、学习不够。当前,以信息技术为基础的会计软件的应用及理论基储专业知识、工作方法等不能完全适应新的工作。-范文最新推荐-29二、对针对以上问题,今后的努力方向是:加强理论学习,进一步提高工作效率。对业务的熟悉,必须通过相关专业知识的学习,虚心请教领导和同事增强分析问题、解决问题的能力,努力学习,争取在明年取得会计从业资格证书。综上所述。在过去的几个月中,付出过努力,也得到过回报。人到中年,用严肃认真的态度对待工作,在工作中一丝不苟的执行制度,是我们的优势。我坚持要求自己做到谨慎的对待工作,并在工作中掌握财务人员应该掌握的原则。作为财务人员特别需要在制度和人情之间把握好分寸,既不能的触犯规章制度也不能不通世故人情。只有不断的提高业务水平才能使工作更顺利的进行。在即将到来的 2011 年,我会扬长避短,更好的完成本职工作。【扩展阅读篇】工作总结格式一般分为:标题、主送机关、正文、署名四部分。(1)标题。一般是根据工作总结的中心内容、目的要求、总结方向来定。同一事物因工作总结的方向侧重点不同其标题也就不同。工作总结标题有单标题,也有双标题。字迹要醒目。单标题就是只有一个题目,如我省干部选任制度改革的一次成功尝试 。
