sox法案与信息安全初探

合集下载

浅谈SOX法案与企业信息安全

浅谈SOX法案与企业信息安全
安全专业服务部-技术研究部
目录
一、SOX法案产生的背景二、SOX法案的目标三、《萨班斯—奥克斯利法案》的组件四、《萨班斯—奥克斯利法案》对企业不同部门的影响五、《萨班斯—奥克斯利法案》对IT的影响六、建议企业信息系统的安全技术采纳的原则七、《萨班斯—奥克斯利法案》相关的安全技术八、遵从《SOX法案》404条款的十大难题九、用IT系统化解访问控制难题十、《SOX法案》合规的身份识别及访问管理系统
Page 9
内部控制的定义
什么是内部控制（internal control，IC）
– 内控被广泛定义为一种过程（process），被企业董事会、高管及其他人员所实施，用来提供对下列目标达成的合理的保证
• 运营的效力（effectiveness）和效率（efficiency）； • 财务报告的可靠性（reliability）； • 对法律法规的符合性（compliance）
Page 11
构建符合SOX法案的内控框架
COSO只提供了一般性的指南，并没有就SOX合规性审计的具体操作和评价指标做出强制统一规定，更没有特别针对IT风险管理和控制，因此，具体IT活动的实施还需要其他的补充标准作为指导第三方咨询公司都建议企业利用Cobit治理框架制定IT管控目标，并实施ITIL/IT服务管理流程提高IT管理能力和IT服务水平，在满足SOX合规要求的同时，提高IT部门工作效力和客户满意度。 – Cobit － Control Objectives for Information and related Technology • 是一套将IT与业务需求联系在一起的IT过程及控制框架 – ISO/IEC27001:2005 / BS7799 • 是实施信息安全管理的一套最佳实践 – ITIL －IT Infrastructure Library • 是一套IT服务管理的最佳实践

SOX法案与信息安全建设

如何启动、授权、记录、处珲和报告在财务报告Ｌ；（用｝２）Ｉ
ＳＸ法案与信息安全建设的异同点Ｏ
点如下：
（）ＳＸ１Ｏ法案与信息安全建设不同点
ＳＯＸ法案与信息安全建没的
以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的『部控制措施；（其他重要内控措施所依赖的内部＿＾Ｊ３）｝卒制，包括一般性控制，例如信息系统控制；（非经常、４）
（）重网络轻应用现在我们常见的信息安全项日中以４
一
．
ＳＯＸ法案简介
网络安全为上，而对麻用层的安个卸考虑得不够；在面对Ｓ０Ｘ法案检查的时候，住应用层和业务流稗方面的问题就暴
露得很Ｈ；月
按照美国国会ｌ网站对ｓｏｘ法案的介绍，该法案从最初ｊ
就，需要不断地建设和完善。但是住我们的安全建设中，时
常缺乏全局的规划，这样导致信息安全的前后建设缺乏连续
此前从未经历过这样严厉的 “ 规则 ”的考验，再大的公美Ｉ刮一旦走出门，就注定要面对这场艰巨的考验。
和延续性；
式，到现在的 “ 防” 模式，已经Ｅ趋完善，但是还临很预ｊ
计嗣枞安茔２０．２０６１
维普资讯
３）管理制度的地位相同信息安全界有个非常重要的观
点：安伞的最高境界不是产品，也币是服务，而是管理。没
（）信息安全只有投入没有产出对丁很多企业，信息１

电子商务第17讲附件SOX法案与信息安全课件

电子商务第17讲附件SOX法案与信息安全
3
背景资料
p什么是SOX法案：
n SOX法案即《萨班斯-奥克斯莱法案（Sarbanes-Oxley Act）》，又称《2002年公众公司会计改革和投资者保护法》；
n 该法案于2002年7月由美国总统布什签署发布；
n 是美国政府对公司监管的重要法律；
n 美国总统布什在签署“SOX法案”的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。
电子商务第17讲附件SOX法案与信息安全
20
针对SOX法案的信息安全方案
p 启明星辰公司的解决方案
电子商务第17讲附件SOX法案与信息安全
21
针对SOX法案的信息安全方案
p 启明星辰公司的解决方案：在这个闭环中，依次执行以下6 部分内容：
①为了解系统本身的漏洞及潜在的风险，对系统进行风险评估； ②针对评估出来的漏洞和风险提出准确的系统加固建议； ③依据系统加固建议，有效地部署并配置安全设备； ④对工作进程进行安全监控，确保其顺利进行； ⑤如遇紧急事件，由资深安全专家做出及时响应，以解决问题； ⑥根据客户信息系统中的信息资产情况，提供相应的安全信息通告，以邮件，电话或短信的方式发给客户，提供及时的修补和防御措施。
电子商务第17讲附件SOX法案与信息安全
6
背景资料
pSOX法案主要解决什么问题？
n再建立上市公司高管人员责任追究机制； n强化内外制衡； n加强内部独立监督能力； n杜绝注册会计师利益瓜葛； n会计师行业由自律改为监管； n确保证券分析师的客观性和独立性； n 加强刑事处罚。
电子商务第17讲附件SOX法案与信息安全
电子商务第17讲附件SOX法案与信息安全

SOX简介、萨班斯法案

建立符合SOX法案以及企业内部控制基本规范的内部审计思路2009-10-19 17:18文鸿义【大中小】【打印】【我要纠错】随着企业规模的扩大以及社会经济环境的要求，对企业内部控制的制度建设正日益受到广泛关注，而作为内部控制最基本的一个环节内部审计，也正逐渐提上日程，并越来越多受到重视。

本文根据美国颁布的《萨班斯－奥克斯利法案》以及我国颁布的《企业内部控制基本规范》有关企业内部审计的要求，来探讨建立企业内部审计的思路。

一、SOX法案的产生背景及缘由SOX法案即《萨班斯－奥克斯利法案》。

在一般人眼中，美国一直是一个法治比较完备，企业管理相对规范、高效，社会诚信良好的国家。

但是, 2001年出现的安然事件，以及由此发现的一系列美国著名大公司在公司治理和财务管理力方面的问题，引发了美国社会特别是经济界、金融界的诚信危机。

安然公司的造假主要依靠三种途径，一是通过资本重组，建立了超过3000多个各类子公司、孙公司、合伙公司在内的复杂的公司结构体系，以便使公司进行大规模违规融资活动。

二是通过内部各类公司之间的复杂的关联交易，随意制造营业收入和利润。

三是创造出一套非常复杂的公司财务结构，使用了被称为SPE（特殊目的主体）的金融工具和其他资产负债表进行表外融资。

首先，我们从安然的故事中看到了一个缺乏责任的董事会。

如公司董事长兼首席执行官肯莱利用个人的影响通过巨额资助竞选。

此外，公司与董事利益相互交织互相利用安然公司签订了多份与独立董事的咨询服务和产品销售的业务合同，还向独立董事任职的非盈利机构大量捐款。

这种利益交织的情况下独立董事对公司管理层的监督形同虚设。

在缺乏监督和制约的条件下，公司就会被个人操纵和利用成为内部人牟取个人利益的手段。

另一个扮演着不光彩角色的是安达信公司。

安达信从20世纪80年代中开始承担安然的外部审计业务到90年代又承担了其内部审计业务。

这样，安达信一手为安然作帐，用另一手为其查帐。

当会计师事务所为同一个客户同时提供审计和咨询两种服务时，其审计的独立性就可能因此受到影响。

sox法案与信息安全

3
© 2005 Aryasec Information Technology Limited
美国会计丑闻影响极其深远
世界通信公司会计造假案、安然事件、安达信解体和“9 .11事件”并称为美国金融证券市场遭遇的“四大危机”；危机导致投资人信心丧失，导致公共市场严重衰退，动摇了公众对会计师行业的信心。危机引起的一系列“多米诺骨牌”效应不啻是对美国公司治理及证券业甚至于世界证券业的一个打击；在处理这些事件的过程中，法律的漏洞以及制度的缺陷显露无疑；公共急切呼唤信任回归；于是，美国证券交易委员会（SEC）协同美国国会展开行动，颁布新的法律。
20
© 2005 Aryasec Information Technology Limited
关于我们－安言咨询
21
© 2005 Aryasec Information Technology Limited
专业的信息安全培训和咨询服务提供者资质深厚和经验丰富的咨询顾问队伍善于将国际IT最佳实践引入客户实际的运营环境面向企业客户，从业务出发，诊断并解决IT问题能为客户提供量身定做的专业培训是BS7799认证咨询服务最早的倡导者和最佳的实践者
7
© 2005 Aryasec Information Technology Limited
SOX在中国
8
© 2005 Aryasec Information Technology Limited
议题议题
• 背景介绍 • SOX法案简介 • SOX法案与信息安全 • 借助BS7799来符合安全需求 • 小结
SOX引发了信息安全的直接需求
法律法规的强制要求
组织原则目标和规定
风险评估的结果

符合萨班斯(SOX)法案的4A(账号、认证、授权、审计)统一安全管理平台解决方案

符合萨班斯（SOX）法案的4A（账号、认证、授权、审计）统一安全管理平台解决方案在萨班斯（SOX）法案要求上市公司实现企业内控的国际形势下，启明星辰公司推出了针对国内电信运营商市场定制的4A解决方案，该方案结合了启明星辰天玥业务审计产品的优势，引入了SafeWord产品系列中的3A组件。

4A包括统一用户账号（Account）管理、统一认证（Authentication）管理、统一授权（Authorization）管理和统一安全审计（Audit）四要素。

融合后的解决方案将涵盖单点登录（SSO）等安全功能，既能够为客户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案（SOX）要求的内控报表。

为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展，其内部用户数量持续增加，网络规模迅速扩大，安全问题不断出现。

而每个业务网系统分别维护一套用户信息数据，管理本系统内的账号和口令，孤立的以日志形式审计操作者在系统内的操作行为。

现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求，及与国际业务接轨的需求。

问题主要表现在以下几方面：1. 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统，认证、授权和审计方式没有统一，当需要同时对多个系统进行操作时，工作复杂度成倍增加；2. 一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知；3. 各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障；4. 个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者；5. 随着系统增多，用户经常需要在各系统间切换，而每次切换都需要输入该系统的用户名和口令，为不影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的威胁；6. 对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为。

SOX法案研究

SOX法案研究作者：陶缙夕来源：《法制与社会》2011年第29期摘要：2002年前后，美国爆发了一系列的财务和管理丑闻，如安然和世通事件，这些丑闻严重破坏了美国金融证券制度，彻底打击了投资者对美国资本市场的信心。

为了扭转这一局面，美国国会通过了《2002年公众公司会计改革和投资者保护法案》。

该法案由美国参议院银行委员会主席萨班斯和眾议院金融服务委员会主席奥克斯利联合提出，又被称作《2002年萨班斯—奥克斯利法案》(Sarbanes—Oxley Act 2002，以下简称“SOX法案”)。

2002年7月，美国总统布什将此法案签署为法律。

SOX法案的颁布给美国以及世界其他各国带来了深远的影响。

本文主要从SOX法案产生的背景，内容等方面简要阐述SOX法案，并分析其对我国的借鉴和启示等。

关键词：SOX法案美国金融证券制度财务管理作者简介：陶缙夕，西南民族大学。

中图分类号：D920.5 文献标识码：A 文章编号：1009-0592(2011)10-196-02一、SOX法案产生的背景回顾华尔街的历史，华尔街最初的100多年并没有监管。

于是出现了德鲁和掺水股，当人们意识到信息的重要性之后才有了财经报纸和股票指数，1929年大萧条之后，华尔街开始受到真正的法律约束。

安然事件的财务造假事件再一次重创华尔街，塞班斯法案是一次对华尔街的及时修复。

为改变这一局面，在这种股市接连遭挫，投资大众不断恶化的信心危机背景下，布什总统和美国国会、美国会计总署、美国证券交易委员会（SEC）、美国财务会计准则委员会（FASB）、美国司法部、纽约证券交易所和联邦调查局再也忍耐不住，迅速提出与制定各种对策，最终于2002年7月25日美国国会参众两院通过了SOX法案。

SOX法案即《2002年萨班斯-奥克斯利法案》（Sarbanes-oxleyActof2002），又称之为《2002年公众公司会计改革和投资者保护法》豍。

7月30日，美国总统布什正式签署SOX法案，并在新闻发布会上称“这是自罗斯福总统以来美国商业界最为深远的改革方案”。

《sox法案》对我国银行完善公司治理结构的启示

《sox法案》对我国银行完善公司治理结构的启示《SOX法案》是美国国会通过的一部法律，旨在保护投资者免受企业管理不善、财务舞弊等行为的伤害。

该法案明确了公司治理的职责和义务，并对上市公司的内部控制和审计进行了严格的规定，促进了公司治理结构的完善。

对于我国银行而言，可以从《SOX法案》中得到以下启示：
1. 建立健全内部控制制度。

《SOX法案》要求上市公司建立健全内部控制制度并公布相关信息，这也是我国银行应该积极践行的。

银行应该建立健全风险管理和内部控制制度，规范经营行为，防范经营风险。

2. 加强财务报告的透明度。

《SOX法案》要求上市公司提高财务报告的透明度，这对于银行来说也同样重要。

银行应该公开自己的财务报告，提高信息披露的透明度，让客户和投资者了解银行的真实情况。

3. 提高内部审计的独立性和有效性。

《SOX法案》要求上市公司加强内部审计的独立性和有效性，这也是银行需要关注的问题。

银行应该建立独立的内部审计机构，加强对各项业务的审计监督，确保业务合规。

总之，《SOX法案》为我们提供了一个完善公司治理结构的模板和借鉴，对于我国银行而言，要积极学习和借鉴，加强自身的治理结构建设。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

6
© 2005 Aryasec Information Technology Limited
SOX法案总体介绍
法案的目的是根据美国证券法，通过提高公司信息披露的准确性和可靠性，增加公司责任，为上市公司会计和审计的不适当行为规定更加严厉的处罚，同时保护投资者。法案广泛地适用于所有根据美国1934年证券交易法向或者被要求向证券交易委员会（SEC）递交定期报告的公司，包括美国和非美国公司。最后修订完稿的SOX法案共分11章：第1至第6章主要涉及对会计职业及公司行为的监管；第8至第11章主要是提高对公司高管及白领犯罪的刑事责任。其中，法案第302和第404部分，重点关注的是企业内控的问题。 SOX 要求，大多数的美国注册上市公司在2004 年12 月31 日前必须符合 SOX404 的要求，而对于小公司和外国公司的最后期限是2005 年12 月31 日。
17
© 2005 Aryasec Information Technology Limited
议题议题
• 背景介绍 • SOX法案简介 • SOX法案与信息安全 • 借助BS7799来符合安全需求 • 小结
18
© 2005 Aryasec Information Technology Limited
4
© 2005 Aryasec Information Technology Limited
议题议题
• 背景介绍 • SOX法案简介 • SOX法案与信息安全 • 借助BS7799来符合安全需求 • 小结
5
© 2005 Aryasec Information Technology Limited
13
© 2005 Aryasec Information Technology Limited
TOP5 － 404 IT控制需求
基础设施安全（Infrastructure Security）
• 需要有安全的操作系统、数据库、网络、防火墙和基础设施
访问控制（Access Control）和变更控制（Change Control）
• 在将新系统或系统变更引入到生产环境之前，需要内建恰当的控制 • 审计师可能会评估新的财务系统；数据转换和测试是关键
IT治理（IT Governance）
• IT是否存在清晰的策略、程序和沟通？职责分离是否明确？IT组织是否有合适的“上层论调“？ 14
© 2005 Aryasec Information Technology Liminformation Technology Limited
美国会计丑闻影响极其深远
世界通信公司会计造假案、安然事件、安达信解体和“9 .11事件”并称为美国金融证券市场遭遇的“四大危机”；危机导致投资人信心丧失，导致公共市场严重衰退，动摇了公众对会计师行业的信心。危机引起的一系列“多米诺骨牌”效应不啻是对美国公司治理及证券业甚至于世界证券业的一个打击；在处理这些事件的过程中，法律的漏洞以及制度的缺陷显露无疑；公共急切呼唤信任回归；于是，美国证券交易委员会（SEC）协同美国国会展开行动，颁布新的法律。
20
© 2005 Aryasec Information Technology Limited
关于我们－安言咨询
21
© 2005 Aryasec Information Technology Limited
专业的信息安全培训和咨询服务提供者资质深厚和经验丰富的咨询顾问队伍善于将国际IT最佳实践引入客户实际的运营环境面向企业客户，从业务出发，诊断并解决IT问题能为客户提供量身定做的专业培训是BS7799认证咨询服务最早的倡导者和最佳的实践者
12
© 2005 Aryasec Information Technology Limited
SOX对IT及信息安全的影响
尽管法案或SEC规则都没有直接提及IT或者信息安全，但对绝大多数现代企业来说，财务报告无可避免地会与信息技术联系在一起；换句话说，如果某些关键系统失效了，企业正确报告其财务状况的能力就可能严重受限，甚至短期内丧失。
萨班斯法案与信息安全初探
张耀疆 CISSP, CISA, BS7799LA, ITIL Foundation
© 2005 Aryasec Information Technology Limited
议题议题
• 背景介绍 • SOX法案简介 • SOX法案与信息安全 • 借助BS7799来符合安全需求 • 小结
7
© 2005 Aryasec Information Technology Limited
SOX在中国
8
© 2005 Aryasec Information Technology Limited
议题议题
• 背景介绍 • SOX法案简介 • SOX法案与信息安全 • 借助BS7799来符合安全需求 • 小结
2002年美国颁布萨班斯法案
针对安然、世通等财务欺诈事件，美国国会出台《2002 年公众公司会计改革和投资者保护法案》（Public Company Accounting Reform and Investor Protection Act of 2002）；该法案由美国众议院金融服务委员会主席奥克斯利（Oxley）和参议院银行委员会主席萨班斯（Sarbanes）联合提出，又名萨班斯法案，简写为SOX法；该法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定； 2002年7月30日，美国总统布什签署生效。
SOX引发了信息安全的直接需求
法律法规的强制要求
组织原则目标和规定
风险评估的结果
19
© 2005 Aryasec Information Technology Limited
一点点思路
SOX法案侧重于对财务报告可靠性支持的内部控制方面，关于更具体的控制目标和控制措施，有CobiT这个框架可以借鉴。而BS7799，更侧重的是内部控制中与信息安全直接相关的部分。对于信息安全，SOX是一个契机，可以让我们有动力去建设可靠的信息安全体系，并且由于审计和监督机制的引入而更具有说服力（价值和意义）。
9
© 2005 Aryasec Information Technology Limited
SOX对公司不同部门的影响程度
10
© 2005 Aryasec Information Technology Limited
内部控制成为我们关注的焦点
SOX法案将对财务报告的内部控制作为关注的具体内容。要求高管报告公司对财务报告的内部控制，并要求独立审计师证实管理层报告的准确性；内部控制（internal control，IC），被广泛定义为一种过程（process），被企业董事会、高管及其他人员所实施，用来提供对下列目标达成的合理的保证：
议题议题
• 背景介绍 • SOX法案简介 • SOX法案与信息安全 • 借助BS7799来符合安全需求 • 小结
15
© 2005 Aryasec Information Technology Limited
BS7799符合COSO控制框架
127项控制措施
16
© 2005 Aryasec Information Technology Limited
¾ 运营的效力（effectiveness）和效率（efficiency）； ¾ 财务报告的可靠性（reliability）； ¾ 对适用法律法规的符合性（compliance）。
内部控制包括IT一般性控制和应用控制：
¾ IT general controls（Entity-Level）针对基本的计算基础设施，包括物理和逻辑网络安全、DB管理、系统开发、变更控制、灾难恢复等 ¾ Application controls（Process-Level）针对支持财务报告的特定应用
22
© 2005 Aryasec Information Technology Limited
Q&A
Email: yaojiang@ M S N: zhangyaojiang@
23
© 2005 Aryasec Information Technology Limited
11
© 2005 Aryasec Information Technology Limited
IT一般性控制撑起了一把保护伞
Weak General Computer Controls
Strong General Computer Controls
自动化的控制程序和使用计算机生成信息的手工控制程序，有赖于一般性计算机控制的效力
BS7799满足SOX的安全控制要求
基础设施安全实体级控制流程级控制访问控制持续性计划通信与操作管理通信与操作管理
BS7799 标准模块 BS7799 标准模块
访问控制访问控制业务持续性计划 BCP 业务持续性计划 BCP 系统开发与维护系统开发与维护
应用系统开发与实施控制
• 需要有程序能控制和确保对生产系统变更的恰当批准 • 通过技术性控制来限制和控制开发者访问生产系统 • 审计师会寻找过度访问、缺乏职责分离、不恰当的访问授权的问题，他们也会测试关键过程，以确定控制的有效性
灾难恢复（Disaster Recovery）
• 定位在基本的财务数据备份和恢复上
开发及实施活动（ Development And Implementation Activities ）
2
© 2005 Aryasec Information Technology Limited
一系列财务丑闻引发信用危机