萨班斯法与安全IT机制

IT在被当作实现萨班斯法规遵从的有效工具的同时，其自身又变成了新的风险源。

萨班斯法案(Sarbanes-Oxley Act)是在2002年由美国总统布什签发生效的。该法案的出台主要源于安然、世界电信公司等美国超大型企业中所发生的一系列财务和管理问题。萨班斯法案对美国上市的公司和会计企业都有监管作用，希望能提高所有报表的财务状态及很多精确信息，能提升企业对自己本身管理方面的架构支持。

萨班斯法案与其他法律有着很大的差别，它要求上市公司的CEO和CFO个人对公司的法规遵从负责任，他们个人必须通过遵守萨班斯法案的相关认证，根据萨班斯法案，他们有任何违反法案的情况，都可以受到刑事处罚。目前，日本、英国、德国、澳大利亚等国都已建立起自己的本地萨班斯法规。尽管新的法规大多来自欧美，其影响力却随其国内跨国公司的全球化发展而不断扩大。例如，一家在美国注册的公司，其亚太区分支机构也同样受到美国公司相关治理法规的制约; 在亚洲，拥有全球扩展计划的公司，以及希望与欧美公司合作的企业，也同样需要制定相应的法规遵从框架。可喜的是，现在有一些人将法规遵从看作一次新的机会，可以建立更有效、更专注、更负责任的企业构架和流程，由此带来丰厚的股息回报给投资者，以满足公司的持续发展计划。

萨班斯法案覆盖了非常全面的管理层面，包括政务管理、风险管理、道德和法规遵从等。在其中的众多条款中，302（公司对财务报表的职责）、404（内部控制的管理评估）、409（实时披露发行人信息）和802（企业资料的保存或归档）等条款与IT有着紧密的关系。

因此IT在萨班斯法案中是一个致关重要的角色，它不仅是萨班斯法案实施的工具，同时也是提高萨班斯运行净利的重要手段。然而，任何事物都将存在其两面性，IT在被当作萨班斯的有效工具的同时，其自身又变成了新的风险源。赛门铁克公司在为客户提供萨班斯部署的相关服务过程中发现，一般萨班斯分为两类服务: 一类是与IT不相关的业务服务，这类服务虽然占据大部分内容，但是它的服务时间仅仅需要295天，而与IT相关的服务虽然内容较少，但却需要264天的服务时间。IT本身的复杂性和安全性问题使法规遵从变得更加复杂。

“现在，越来越多的公司在互联网上进行交易，我们很快发现，仅仅保护企业IT基础架构已经远远不够，因为保存在基础架构中的信息，其价值比基础架构本身还要高，我们必须打造一个可信赖的IT环境，保护企业自身、客户、供应商及合作伙伴的信息。”赛门铁克副总裁大中国区总裁郭尊华说。

那么，怎样才能让企业在顺利实施萨班斯法案的同时能够得到信息的保障，这是非常关键的问题。2005年8月，Gartner在《萨班斯法案的最佳实践指导》中提出，IT遵从投资项目应该包含三大方面: 遵从管理（内部控制、工作流程、数字仪表、报告）; 内容管理（记录管理和电子邮件归档、在线学习、策略管理）; 应用访问与控制（身份识别和认证、职责分离、持续遵从、变化管理）。根据以往的实施经验，赛门铁克针对萨班斯法案的信息安全提出了四项IT解决方案: 一是针对网络准入控制; 二是针对补丁管理; 三是针对配置管理; 四是终端所遵从的一些检查。而赛门铁克的数据完整性安全解决方案也将从客户端到Messaging Server、File Server、Application Server、Data Server提供完全的措施。

在Gartner提出的三大IT遵从投资方面，赛门铁克的遵从解决方案包含如下内容: 一是遵从管理，包括Enterprise Security Manager、Incident Manager、BindView Compliance Control Suite、Web Based Security Education Program、Sygate Network Access Control。

内容管理方面包括NetBackup、Enterprise Vault、IMLogic、Mail Security。

应用访问与控制包括Sygate Network Access Control、Patch Management、Database Security and Audit。

总之，从企业治理的角度来看，IT遵从和IT系统仅仅遵守某一个法律是远远不够的，IT治理强调的是内部控制，我们应该从企业整体着手，而不是仅依靠遵循法律来制定企业的政策，否则肯定会产生新的疏漏和风险。

来源：计算机世界

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友