萨班斯法与安全IT机制

  作者:程鸿
2007/6/4 16:54:34
本文关键字: IT安全

IT在被当作实现萨班斯法规遵从的有效工具的同时,其自身又变成了新的风险源。

萨班斯法案(Sarbanes-Oxley Act)是在2002年由美国总统布什签发生效的。该法案的出台主要源于安然、世界电信公司等美国超大型企业中所发生的一系列财务和管理问题。萨班斯法案对美国上市的公司和会计企业都有监管作用,希望能提高所有报表的财务状态及很多精确信息,能提升企业对自己本身管理方面的架构支持。

萨班斯法案与其他法律有着很大的差别,它要求上市公司的CEO和CFO个人对公司的法规遵从负责任,他们个人必须通过遵守萨班斯法案的相关认证,根据萨班斯法案,他们有任何违反法案的情况,都可以受到刑事处罚。目前,日本、英国、德国、澳大利亚等国都已建立起自己的本地萨班斯法规。尽管新的法规大多来自欧美,其影响力却随其国内跨国公司的全球化发展而不断扩大。例如,一家在美国注册的公司,其亚太区分支机构也同样受到美国公司相关治理法规的制约; 在亚洲,拥有全球扩展计划的公司,以及希望与欧美公司合作的企业,也同样需要制定相应的法规遵从框架。可喜的是,现在有一些人将法规遵从看作一次新的机会,可以建立更有效、更专注、更负责任的企业构架和流程,由此带来丰厚的股息回报给投资者,以满足公司的持续发展计划。

萨班斯法案覆盖了非常全面的管理层面,包括政务管理、风险管理、道德和法规遵从等。在其中的众多条款中,302(公司对财务报表的职责)、404(内部控制的管理评估)、409(实时披露发行人信息)和802(企业资料的保存或归档)等条款与IT有着紧密的关系。

因此IT在萨班斯法案中是一个致关重要的角色,它不仅是萨班斯法案实施的工具,同时也是提高萨班斯运行净利的重要手段。然而,任何事物都将存在其两面性,IT在被当作萨班斯的有效工具的同时,其自身又变成了新的风险源。赛门铁克公司在为客户提供萨班斯部署的相关服务过程中发现,一般萨班斯分为两类服务: 一类是与IT不相关的业务服务,这类服务虽然占据大部分内容,但是它的服务时间仅仅需要295天,而与IT相关的服务虽然内容较少,但却需要264天的服务时间。IT本身的复杂性和安全性问题使法规遵从变得更加复杂。

“现在,越来越多的公司在互联网上进行交易,我们很快发现,仅仅保护企业IT基础架构已经远远不够,因为保存在基础架构中的信息,其价值比基础架构本身还要高,我们必须打造一个可信赖的IT环境,保护企业自身、客户、供应商及合作伙伴的信息。”赛门铁克副总裁大中国区总裁郭尊华说。

那么,怎样才能让企业在顺利实施萨班斯法案的同时能够得到信息的保障,这是非常关键的问题。2005年8月,Gartner在《萨班斯法案的最佳实践指导》中提出,IT遵从投资项目应该包含三大方面: 遵从管理(内部控制、工作流程、数字仪表、报告); 内容管理(记录管理和电子邮件归档、在线学习、策略管理); 应用访问与控制(身份识别和认证、职责分离、持续遵从、变化管理)。根据以往的实施经验,赛门铁克针对萨班斯法案的信息安全提出了四项IT解决方案: 一是针对网络准入控制; 二是针对补丁管理; 三是针对配置管理; 四是终端所遵从的一些检查。而赛门铁克的数据完整性安全解决方案也将从客户端到Messaging Server、File Server、Application Server、Data Server提供完全的措施。

在Gartner提出的三大IT遵从投资方面,赛门铁克的遵从解决方案包含如下内容: 一是遵从管理,包括Enterprise Security Manager、Incident Manager、BindView Compliance Control Suite、Web Based Security Education Program、Sygate Network Access Control。

内容管理方面包括NetBackup、Enterprise Vault、IMLogic、Mail Security。

应用访问与控制包括Sygate Network Access Control、Patch Management、Database Security and Audit。

总之,从企业治理的角度来看,IT遵从和IT系统仅仅遵守某一个法律是远远不够的,IT治理强调的是内部控制,我们应该从企业整体着手,而不是仅依靠遵循法律来制定企业的政策,否则肯定会产生新的疏漏和风险。

来源:计算机世界

责编:程鸿
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918