泛普軟件助力企業(yè)IT治理

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

隨著經(jīng)濟(jì)全球化的發(fā)展，很多國(guó)內(nèi)企業(yè)正逐漸通過(guò)境外融資、上市，進(jìn)而求得進(jìn)軍國(guó)際市場(chǎng)、規(guī)?；l(fā)展。在眾多的境外融資渠道中，赴美上市、融資又因其效果的明顯而普遍受到國(guó)內(nèi)企業(yè)的青睞。而赴美上市，就必須通過(guò)薩班斯法案(Sarbanes-Oxley法案，簡(jiǎn)稱SOX法案)的要求。針對(duì)于公司治理的SOX法案，雖然主要指向財(cái)務(wù)管理、經(jīng)營(yíng)管理，要求企業(yè)保證財(cái)務(wù)數(shù)據(jù)的真實(shí)性、全面性和及時(shí)性，但對(duì)于企業(yè)來(lái)說(shuō)，這些規(guī)則的落腳點(diǎn)，恰恰是IT系統(tǒng)的有效性和可靠性的體現(xiàn)。

當(dāng)前，IT系統(tǒng)越來(lái)越多地滲透進(jìn)了企業(yè)業(yè)務(wù)活動(dòng)的方方面面。高效、可靠的IT系統(tǒng)，不但是企業(yè)高效運(yùn)轉(zhuǎn)的有力工具，更可為企業(yè)提供必要數(shù)量的控制程序和審核依據(jù)(例如SOX法案中的一些具體要求)。因此，遵循SOX法案的程序，就需要包括基于IT系統(tǒng)的有效控制和管理。對(duì)大多數(shù)企業(yè)而言，IT系統(tǒng)在建立與保持有效的財(cái)務(wù)報(bào)告內(nèi)部控制方面，將發(fā)揮越來(lái)越重要的作用!

日前，中國(guó)通信企業(yè)協(xié)會(huì)通信網(wǎng)絡(luò)運(yùn)維專業(yè)委員會(huì)，在北京舉行的“第三屆中國(guó)通信網(wǎng)絡(luò)運(yùn)維年會(huì)”上，來(lái)自相關(guān)政府部門、運(yùn)營(yíng)商、設(shè)備提供商、系統(tǒng)集成商、專業(yè)服務(wù)商和咨詢機(jī)構(gòu)的代表，共同商討了國(guó)內(nèi)通信網(wǎng)絡(luò)運(yùn)維管理發(fā)展大計(jì)。其中，針對(duì)電信企業(yè)境外融資發(fā)展成為了一個(gè)熱點(diǎn)話題，而涉及SOX法案的規(guī)范化要求更被與會(huì)者激烈討論。在這一熱議話題中，IT系統(tǒng)必須落實(shí)并符合SOX條款要求的發(fā)展趨勢(shì)，被全體與會(huì)者所肯定。會(huì)上，北京泛普軟件有限公司針對(duì)性地推出了《電信運(yùn)營(yíng)商IT系統(tǒng)薩班斯法案符合性解決方案》。

泛普軟件此次推出的解決方案，基于SOX法案的規(guī)定和要求，并充分參考了COSO委員會(huì)提出的內(nèi)控通用模型——《企業(yè)風(fēng)險(xiǎn)管理——整體框架》，以及國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)制定的“信息及相關(guān)技術(shù)控制目標(biāo)”(Control Objectives for Information and Related Technology，COBIT)。通過(guò)后兩者與薩班斯法案要求之間的整合，建立起了一套完整的應(yīng)用模型(如圖1所示)和相關(guān)的整體解決方案。

從電信運(yùn)營(yíng)商的角度來(lái)說(shuō)，其IT系統(tǒng)的管理在面對(duì)SOX法案時(shí)的挑戰(zhàn)，主要集中在6類控制缺陷方面：

1) 大量用戶擁有“超級(jí)用戶”的訪問(wèn)權(quán)限;

2) 不能對(duì)管理員的操作提供完整的登錄日志及行為記錄;

3) 管理員所使用的客戶端本身存在安全漏洞;

4) 已終止雇用關(guān)系的員工或已經(jīng)離開(kāi)的供應(yīng)商人員仍然擁有系統(tǒng)訪問(wèn)權(quán);

5) 用戶賬號(hào)的權(quán)限設(shè)定不明確或者不嚴(yán)謹(jǐn);

6) 口令策略不嚴(yán)謹(jǐn)。

針對(duì)上述這些問(wèn)題，泛普軟件的解決方案通過(guò)安全的統(tǒng)一接入和日志審核系統(tǒng)，有效地修補(bǔ)了這些缺陷，進(jìn)而使得電信運(yùn)營(yíng)商能夠在IT運(yùn)維方面，與SOX法案要求的企業(yè)運(yùn)維規(guī)范有效對(duì)接。

泛普軟件的《電信運(yùn)營(yíng)商IT系統(tǒng)薩班斯法案符合性解決方案》采取了帶外管理和帶內(nèi)管理方式有機(jī)結(jié)合，通過(guò)部署加固代理服務(wù)器，進(jìn)而實(shí)現(xiàn)管理平臺(tái)和應(yīng)用服務(wù)器邏輯上的物理隔離，保證了對(duì)應(yīng)用服務(wù)器訪問(wèn)的安全性;同時(shí)，管理員只能通過(guò)帶外方式，由Console口登錄代理服務(wù)器，實(shí)現(xiàn)了對(duì)系統(tǒng)的保護(hù);另外，通過(guò)部署統(tǒng)一接入服務(wù)器以及syslog/NFS服務(wù)器，實(shí)現(xiàn)統(tǒng)一接入、審計(jì)和認(rèn)證管理(系統(tǒng)拓樸如圖2所示)。

泛普軟件《電信運(yùn)營(yíng)商IT系統(tǒng)薩班斯法案符合性解決方案》的主要功能和特點(diǎn)如下(具體內(nèi)容可登錄www.joysuccess.com獲取技術(shù)信息)：

1、 用戶管理層——提供：基于角色的用戶與賬號(hào)管理;用戶賬號(hào)管理的審核和報(bào)告。

2、 系統(tǒng)授權(quán)及認(rèn)證管理——提供：基于角色的訪問(wèn)控制;基于策略的訪問(wèn)控制;系統(tǒng)用戶登錄管理;支持多種認(rèn)證方式。

3、 安全審計(jì)記錄——提供：系統(tǒng)安全審計(jì)記錄;行為安全審計(jì)記錄。

據(jù)泛普軟件相關(guān)負(fù)責(zé)人介紹，在本方案的部署實(shí)施中，用戶無(wú)須對(duì)原有應(yīng)用系統(tǒng)做任何更改，同時(shí)，還可以根據(jù)客戶的需求定制客戶化界面。

從整合方案的角度來(lái)看，北京泛普軟件有限公司能夠?yàn)橐罁?jù)SOX法案需求建設(shè)的企業(yè)，提供保障實(shí)施強(qiáng)制第三方審計(jì)的幫助，亦能夠幫助審計(jì)人員或者內(nèi)部管理人員看到真正重要的事件和信息。

相信，只要通信行業(yè)及其他行業(yè)的用戶，充分利用這樣的標(biāo)準(zhǔn)化系統(tǒng)解決方案，就一定能夠幫助企業(yè)管理人員從“加強(qiáng)審計(jì)”和“實(shí)施內(nèi)控”兩個(gè)方面滿足薩班斯法案的要求。

背景知識(shí)：關(guān)于薩班斯法案

2002年7月，美國(guó)國(guó)會(huì)正式通過(guò)了薩班斯法案(Sarbanes-Oxley法案，簡(jiǎn)稱SOX法案)。該法案明確規(guī)定：企業(yè)的管理層對(duì)財(cái)務(wù)信息披露和內(nèi)部控制效力負(fù)有直接責(zé)任，公司的內(nèi)控措施，應(yīng)由管理層聲明有效并由獨(dú)立審計(jì)機(jī)構(gòu)出具內(nèi)控審計(jì)意見(jiàn)，并提交美國(guó)證監(jiān)會(huì)。

SOX法案中的第“404條款”(針對(duì)財(cái)務(wù)報(bào)告的內(nèi)部控制行為的條款)要求：

1、公司管理層在建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序方面負(fù)有充分的責(zé)任;

2、發(fā)行人管理層最近財(cái)政年度末對(duì)內(nèi)部控制體系及控制程序有效性的評(píng)價(jià)

SOX法案，從其本質(zhì)上來(lái)說(shuō)，其實(shí)是針對(duì)企業(yè)治理的非常嚴(yán)格的一套規(guī)定。要求企業(yè)的內(nèi)控活動(dòng)，不論是人還是信息系統(tǒng)的操作流程，都必須明確地定義并保存相關(guān)記錄，對(duì)審計(jì)過(guò)程也有存檔的要求。因此，對(duì)影響財(cái)務(wù)報(bào)告的信息系統(tǒng)的IT控制，也是SOX內(nèi)部控制的核心組成之一。這就要求IT完善治理機(jī)制，進(jìn)行IT內(nèi)部控制和信息系統(tǒng)審計(jì)，以保證達(dá)到SOX對(duì)IT的基本要求。公司在財(cái)務(wù)報(bào)告方面加強(qiáng)內(nèi)控，即管理層必須對(duì)內(nèi)控方面有自我評(píng)估，隨后對(duì)內(nèi)控做自我測(cè)試，最后要有獨(dú)立的第三方審計(jì)公司對(duì)最終測(cè)試報(bào)告進(jìn)行審計(jì)，最終形成的內(nèi)部控制報(bào)告要在每年的財(cái)務(wù)報(bào)告中體現(xiàn)出來(lái)，并由總經(jīng)理簽字。