网络安全 频道

萨班斯法案与企业IT风险管理

  【IT168资讯】2002年美国国会通过的《2002上市公司会计改革与投资者保护法案》(简称:萨班斯法案)对业界人士来说已经不陌生了,该法案对公司治理、会计师行业监管和证券市场监管等方面提出了许多新的严格要求,并设定了问责机制和相应的惩罚措施。由于被业内人士看作是20世纪30年代以来,美国最严厉的财务法则,加上监管的范围是在美国上市的所有企业,当时这个“时髦”法案的出台既引起了全世界的关注也在业界引起了不小的波澜。

  尽管萨班斯法案2002年就出炉了,但真正在中国的落地与实践,还是国内的大型企业在美国上市以后。很多在美上市的国内大型企业是从2004年底开始准备这项工作。

  据悉,为了符合萨班斯法案的标准,尤其是404条款关于建立内部控制体系的要求,无论是美国本土公司还是在美国上市的中国公司都面临着巨大考验,可以说花费了大量的人力、财力、时间。在与这项极具挑战性的法案密切相关的实践案例中,国内信息安全公司启明星辰参与的重大客户项目到目前为止已有几十项。其中,运营商、央企是启明星辰很重要的一类客户,启明星辰的主要客户集中在金融、电信、政府、能源……等大型企业。那么启明星辰对萨班斯法案有着怎样的解读,又为其具体做了哪些贡献?对此,本刊记者专门采访了启明星辰安全服务总监陈洪波博士。

  陈博士表示,萨班斯法案的主要要求是针对上市公司财务的运营、监管、审计等等。启明星辰作为一家专业的信息安全企业,在参与萨班斯法案工作中对于自己的角色定位非常明确,与那些全职来做财务审计的公司不同,启明星辰更擅长的是基于萨班斯的IT审计要求,为客户提供专业的信息安全咨询与审计服务。

  2005年揭开萨班斯法案安全服务序幕

  启明星辰参与萨班斯法案工作起始于2005年的下半年,当时承担了国内某知名运营商的一个项目。在2005-2006年,这家运营商财务部的高层乃至整个运营部的高层都非常重视萨班斯法案的工作,当时在国内萨班斯法案工作的实践方面,这家运营商是起步非常早的,在当时也是在摸着石头过河,传统行业最开始并没有接触到萨班斯这一块。当时一家美国审计公司已经帮该客户做了严格意义上的萨班斯审计,耗费了大量的人力物力财力,也收到了比较明显的效果。在通过财务审计之后,客户仍旧感觉在信息安全方面做得够不够,对其核心财务系统的安全状况仍旧不能掌握,所以在2005年下半年启动了一项专门针对萨班斯审计范围之内某财务系统的全国范围内的风险评估与整体咨询,这个评估更多地是站在信息安全的角度。在经过对国内安全厂商的深入了解之后,该运营商专门找到启明星辰公司,由启明星辰专业的安全服务团对从基础技术、管理运维以及财务系统自身安全性这三大维度给出全面评估。项目实施后,不但完全符合萨班斯的要求,而且实实在在地从三大维度提升了该应用系统的整体安全程度,该运营商对服务效果表示非常满意。

  “客户的满意点在于,确确实实感觉到这个业务系统本身的安全管理、运营、基础设施的安全性以及财务系统自身的安全程度得到了显著提升。”陈洪波说。

  启明星辰在评估中发现,该运营商的财务系统从底层的技术设备到财务软件本身都存在一些问题,并据此提出了安全方面的建议。在采纳了这些建议之后,该运营商针对管理运维、基础设施安全以及财务软件自身的安全性等几个方面重新进行了安全增强。可以说,这些方面在财务审计公司的审计范围都有涉及,但在深度上做的不够,而IT内审中的深度安全风险分析恰恰是专业信息安全厂商的优势。

  事实上,萨班斯对IT系统的要求在于运维的安全性、可用性和对财务制度的符合性。在安全性和可用性方面,尤其是安全性方面,启明星辰发现的问题可以说给这家运营商很多提示,带来的一个直接效果是,项目还没有结束,客户就已经开始让开发商修改系统进行二次开发,重新定制开发业务系统的安全功能模块。

0
相关文章