泛普軟件助力企業(yè)IT治理

申請免費試用、咨詢電話：400-8352-114

隨著經(jīng)濟全球化的發(fā)展，很多國內(nèi)企業(yè)正逐漸通過境外融資、上市，進而求得進軍國際市場、規(guī)模化發(fā)展。在眾多的境外融資渠道中，赴美上市、融資又因其效果的明顯而普遍受到國內(nèi)企業(yè)的青睞。而赴美上市，就必須通過薩班斯法案(Sarbanes-Oxley法案，簡稱SOX法案)的要求。針對于公司治理的SOX法案，雖然主要指向財務(wù)管理、經(jīng)營管理，要求企業(yè)保證財務(wù)數(shù)據(jù)的真實性、全面性和及時性，但對于企業(yè)來說，這些規(guī)則的落腳點，恰恰是IT系統(tǒng)的有效性和可靠性的體現(xiàn)。

當(dāng)前，IT系統(tǒng)越來越多地滲透進了企業(yè)業(yè)務(wù)活動的方方面面。高效、可靠的IT系統(tǒng)，不但是企業(yè)高效運轉(zhuǎn)的有力工具，更可為企業(yè)提供必要數(shù)量的控制程序和審核依據(jù)(例如SOX法案中的一些具體要求)。因此，遵循SOX法案的程序，就需要包括基于IT系統(tǒng)的有效控制和管理。對大多數(shù)企業(yè)而言，IT系統(tǒng)在建立與保持有效的財務(wù)報告內(nèi)部控制方面，將發(fā)揮越來越重要的作用!

日前，中國通信企業(yè)協(xié)會通信網(wǎng)絡(luò)運維專業(yè)委員會，在北京舉行的“第三屆中國通信網(wǎng)絡(luò)運維年會”上，來自相關(guān)政府部門、運營商、設(shè)備提供商、系統(tǒng)集成商、專業(yè)服務(wù)商和咨詢機構(gòu)的代表，共同商討了國內(nèi)通信網(wǎng)絡(luò)運維管理發(fā)展大計。其中，針對電信企業(yè)境外融資發(fā)展成為了一個熱點話題，而涉及SOX法案的規(guī)范化要求更被與會者激烈討論。在這一熱議話題中，IT系統(tǒng)必須落實并符合SOX條款要求的發(fā)展趨勢，被全體與會者所肯定。會上，北京泛普軟件有限公司針對性地推出了《電信運營商IT系統(tǒng)薩班斯法案符合性解決方案》。

泛普軟件此次推出的解決方案，基于SOX法案的規(guī)定和要求，并充分參考了COSO委員會提出的內(nèi)控通用模型——《企業(yè)風(fēng)險管理——整體框架》，以及國際信息系統(tǒng)審計與控制協(xié)會(ISACA)制定的“信息及相關(guān)技術(shù)控制目標”(Control Objectives for Information and Related Technology，COBIT)。通過后兩者與薩班斯法案要求之間的整合，建立起了一套完整的應(yīng)用模型(如圖1所示)和相關(guān)的整體解決方案。

從電信運營商的角度來說，其IT系統(tǒng)的管理在面對SOX法案時的挑戰(zhàn)，主要集中在6類控制缺陷方面：

1) 大量用戶擁有“超級用戶”的訪問權(quán)限;

2) 不能對管理員的操作提供完整的登錄日志及行為記錄;

3) 管理員所使用的客戶端本身存在安全漏洞;

4) 已終止雇用關(guān)系的員工或已經(jīng)離開的供應(yīng)商人員仍然擁有系統(tǒng)訪問權(quán);

5) 用戶賬號的權(quán)限設(shè)定不明確或者不嚴謹;

6) 口令策略不嚴謹。

針對上述這些問題，泛普軟件的解決方案通過安全的統(tǒng)一接入和日志審核系統(tǒng)，有效地修補了這些缺陷，進而使得電信運營商能夠在IT運維方面，與SOX法案要求的企業(yè)運維規(guī)范有效對接。

泛普軟件的《電信運營商IT系統(tǒng)薩班斯法案符合性解決方案》采取了帶外管理和帶內(nèi)管理方式有機結(jié)合，通過部署加固代理服務(wù)器，進而實現(xiàn)管理平臺和應(yīng)用服務(wù)器邏輯上的物理隔離，保證了對應(yīng)用服務(wù)器訪問的安全性;同時，管理員只能通過帶外方式，由Console口登錄代理服務(wù)器，實現(xiàn)了對系統(tǒng)的保護;另外，通過部署統(tǒng)一接入服務(wù)器以及syslog/NFS服務(wù)器，實現(xiàn)統(tǒng)一接入、審計和認證管理(系統(tǒng)拓樸如圖2所示)。

泛普軟件《電信運營商IT系統(tǒng)薩班斯法案符合性解決方案》的主要功能和特點如下(具體內(nèi)容可登錄www.joysuccess.com獲取技術(shù)信息)：

1、 用戶管理層——提供：基于角色的用戶與賬號管理;用戶賬號管理的審核和報告。

2、 系統(tǒng)授權(quán)及認證管理——提供：基于角色的訪問控制;基于策略的訪問控制;系統(tǒng)用戶登錄管理;支持多種認證方式。

3、 安全審計記錄——提供：系統(tǒng)安全審計記錄;行為安全審計記錄。

據(jù)泛普軟件相關(guān)負責(zé)人介紹，在本方案的部署實施中，用戶無須對原有應(yīng)用系統(tǒng)做任何更改，同時，還可以根據(jù)客戶的需求定制客戶化界面。

從整合方案的角度來看，北京泛普軟件有限公司能夠為依據(jù)SOX法案需求建設(shè)的企業(yè)，提供保障實施強制第三方審計的幫助，亦能夠幫助審計人員或者內(nèi)部管理人員看到真正重要的事件和信息。

相信，只要通信行業(yè)及其他行業(yè)的用戶，充分利用這樣的標準化系統(tǒng)解決方案，就一定能夠幫助企業(yè)管理人員從“加強審計”和“實施內(nèi)控”兩個方面滿足薩班斯法案的要求。

背景知識：關(guān)于薩班斯法案

2002年7月，美國國會正式通過了薩班斯法案(Sarbanes-Oxley法案，簡稱SOX法案)。該法案明確規(guī)定：企業(yè)的管理層對財務(wù)信息披露和內(nèi)部控制效力負有直接責(zé)任，公司的內(nèi)控措施，應(yīng)由管理層聲明有效并由獨立審計機構(gòu)出具內(nèi)控審計意見，并提交美國證監(jiān)會。

SOX法案中的第“404條款”(針對財務(wù)報告的內(nèi)部控制行為的條款)要求：

1、公司管理層在建立和維護內(nèi)部控制系統(tǒng)及相應(yīng)控制程序方面負有充分的責(zé)任;

2、發(fā)行人管理層最近財政年度末對內(nèi)部控制體系及控制程序有效性的評價

SOX法案，從其本質(zhì)上來說，其實是針對企業(yè)治理的非常嚴格的一套規(guī)定。要求企業(yè)的內(nèi)控活動，不論是人還是信息系統(tǒng)的操作流程，都必須明確地定義并保存相關(guān)記錄，對審計過程也有存檔的要求。因此，對影響財務(wù)報告的信息系統(tǒng)的IT控制，也是SOX內(nèi)部控制的核心組成之一。這就要求IT完善治理機制，進行IT內(nèi)部控制和信息系統(tǒng)審計，以保證達到SOX對IT的基本要求。公司在財務(wù)報告方面加強內(nèi)控，即管理層必須對內(nèi)控方面有自我評估，隨后對內(nèi)控做自我測試，最后要有獨立的第三方審計公司對最終測試報告進行審計，最終形成的內(nèi)部控制報告要在每年的財務(wù)報告中體現(xiàn)出來，并由總經(jīng)理簽字。