SO-法案与信息安全课件

电子商务ElectronicCommerce1第17讲（附件）SOX法案与信息安全2内容提要SOX法案背景

SOX法案涉及信息安全的主要内容

针对SOX法案的信息安全方案SOX法案对信息安全行业的影响3背景资料什么是SOX法案：SOX法案即《萨班斯-奥克斯莱法案（Sarbanes-OxleyAct）》，又称《2002年公众公司会计改革和投资者保护法》；该法案于2002年7月由美国总统布什签署发布；是美国政府对公司监管的重要法律；美国总统布什在签署“SOX法案”的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。4背景资料SOX法案的由来：2001年底美国安然公司在一片哗然中轰然倒台，由此引发的“安然事件”至今令许多人记忆犹新。此后，公司丑闻不断，规模也“屡创新高”，特别是次年6月的世界通信会计丑闻事件，更是雪上加霜，彻底打击了美国投资者对美国资本市场的信心。这一系列丑闻事件的爆发不仅招致包括安达信等五大会计师事务所在投资者中的“诚信危机”，更引发了世界各国对公司治理模式的新一轮思考。5背景资料SOX法案的由来：为改变这一局面，美国国会和政府立即公布了《萨班斯法案》（Sarbanes-OxleyAct，简称SOX法案），其目的是加强公司责任，以保护公众公司投资者的利益免受公司高管及相关机构的侵害，正如法案的第一句话所说“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。”按照美国国会网站对SOX法案的介绍，该法案从最初于2002年2月14日提交给国会众议院金融服务委员会(CommitteeonFinancialServices)，到7月25日国会参众两院的最终通过，先后有6个版本。最后修订完稿的SOX法案共分11章，第1至第6章主要涉及对会计职业及公司行为的监管，第8至第11章主要是提高对公司高管及白领犯罪的刑事责任。6背景资料SOX法案主要解决什么问题？再建立上市公司高管人员责任追究机制；强化内外制衡；加强内部独立监督能力；杜绝注册会计师利益瓜葛；会计师行业由自律改为监管；确保证券分析师的客观性和独立性；加强刑事处罚。7背景资料SOX法案主要解决什么问题？具体内容见SOX法案文档8SOX法案与信息安全SOX法案对信息系统控制的要求以萨班斯-奥克斯利法案为代表的法律对上市公司的内控体系建设提出了明确要求，作为内控体系建设主要内容的信息系统控制由此被提到一个前所未有的高度。严格地说，SOX法案并没有直接对信息系统提出要求，但法案中404条款对内控体系建设有明确要求:公司除了有正确完整的财务报表外，还要有确保报表正确而完整的控制体系，公司管理层每年需对内控体系的运行效果进行评估，外部审计师要对内部控制体系和控制效果进行测试并出具审计意见。由于上市公司的各个与财务数据相关的主要业务流程都有相应的信息系统支持，如果信息系统控制的一致性和有效性方面不足，这将降低数据和自动控制的可依赖性，增加管理层和审计师在测试方面的工作量，从而对整个内控体系的有效性产生负面影响。为此，加强信息系统的控制体系建设成为上市公司IT部门的一个重要工作。9SOX法案与信息安全SOX法案对信息系统控制的要求主要包括：信息系统总体控制（GeneralComputerControl,简称GCC）、应用系统控制（ApplicationControl，简称AC）电子表格控制三部分。10SOX法案与信息安全系统总体控制信息系统总体控制指的是内部控制中对信息系统相关部分的控制，它保证由信息系统支持的流程控制是可靠的，生成的数据和报告是可信的。信息系统总体控制涵盖了IT管理和运营所涉及的各个方面:1.控制环境:

包括信息技术组织、人力资源管理、信息沟通、风险评估、监控等。2.信息安全:

包括信息安全组织、逻辑安全、物理安全、网络安全、病毒防护、第三方管理、事件响应等。3.项目建设管理:

包括方法论、立项审批、项目启动、需求分析、项目设计、系统开发实施、系统测试、数据移植、用户培训、文档管理、验收和上线后审阅、商业软硬件外购等。4.系统变更:

包括日常变更、紧急变更等。5.信息系统日常运作:

包括机房环境控制、日常监控、批处理作业调度管理、数据备份与恢复、问题管理等。6.最终用户操作:

包括最终用户作安全制度、电子表格管理等。11SOX法案与信息安全应用系统控制应用系统控制指的是业务流程中内嵌的信息系统相关控制，信息系统应用的潜在风险直接影响业务流程中的信息控制目标:1.完整性:所有的交易都经过处理，且只处理一次;不允许数据的重复录入和处理;例外情况的发现和解决。2.准确性:

所有的数据（包括金额和账户）是正确和合理的;例外情况被及时发现以保证交易被记录在正确的会计期间。3.有效性:交易被适当授权;系统不接受虚假交易;异常情况被发现和处理。4.接触控制:未经授权，不得对系统或数据进行修改;数据保密性;物理设备的保护。12SOX法案与信息安全应用系统控制上市公司内部可能应用各类信息系统，进行应用系统控制之前，首先应对公司应用的信息系统进行判断，界定是否属于与财务报告相关的关键应用系统，判定原则包括:1.该应用系统是否用于进行有关重要交易事项的生成、授权、记录、处理或报告;2.该系统是否生成关键的表单和数据供财务部门使用，直接作为记账依据或生成财务报表;3.该系统是否生成关键的表单和数据为其他作为记账依据或生成财务报表的系统使用;4.对应用系统的依赖程度，即是否有来自系统的计算结果，应用系统中是否存在相应的计算、检查、核对过程的控制;5.上述应用控制是否是惟一依赖的控制措施，是否存在手工控制可以达到控制目标，弥补风险。

13SOX法案与信息安全应用系统控制符合以上判断条件的与财务报告相关的关键应用系统应按照应用系统控制进行控制，控制分为5类，即访问控制、职责分离、输入控制、处理控制、输出控制。其中应用系统的用户权限管理和职责分离(SoD，SegregationofDuties)，是内部控制的重要组成部分，也是SOX法案404条款要求的重点之一。如2005年1月11日的ComplianceWeek的报道，在2004年SEC上登记的上市公司最典型的问题之一就是SoD。根据业界最新的统计，截止到2005年4月份，在所有报告的实质性漏洞(MaterialWeakness)中，SoD一项就占了5％以上，因此必须对与财务报告相关的关键应用系统的用户进行合理的管理，以实现用户的授权适当和合理分工。14SOX法案与信息安全电子表格控制目前电子表格在上市公司的生产运营、信息管理、数据分析、财务核算与报告各个环节广泛运用。电子表格中的公式、宏及表间链接等功能增加了电子表格计算的复杂程度，同时也增加了电子表格数据完整性及计算准确性的风险。SOX法案404条款中的一个重点就是关注在编制和维护电子表格过程中的相关控制。即使相对简单的电子表格计算的一个偏差也可能会对财务报告及披露产生重大错报的风险。内嵌在电子表格中的宏或其他功能可能会严重影响电子表格中数据的准确性。公司需要对电子表格实施的控制是否能支持重大会计事项及披露进行谨慎的评估。15SOX法案与信息安全电子表格控制在SOX法案中需评价的电子表格是指由用户程序（如Excel、Access、Lotus等）编制的各种支持财务报告及披露的电子表格或文本文件，包括直接或间接作为财务记账依据的电子表格、用于财务相关信息核对的电子表格、以及支持财务信息披露的电子表格，所涉及的使用部门通常包括财务部门编制及使用的电子表格以及由其他业务部门传递至财务部门供其作为会计核算及报告披露依据的电子表格。对电子表格的控制包括开发控制、变更控制、版本控制、存取控制、输入控制、安全控制、存储归档控制、备份控制、文档记录、权限控制、逻辑检查。16SOX法案与信息安全电子表格控制在SOX法案中需评价的电子表格是指由用户程序（如Excel、Access、Lotus等）编制的各种支持财务报告及披露的电子表格或文本文件，包括直接或间接作为财务记账依据的电子表格、用于财务相关信息核对的电子表格、以及支持财务信息披露的电子表格，所涉及的使用部门通常包括财务部门编制及使用的电子表格以及由其他业务部门传递至财务部门供其作为会计核算及报告披露依据的电子表格。对电子表格的控制包括开发控制、变更控制、版本控制、存取控制、输入控制、安全控制、存储归档控制、备份控制、文档记录、权限控制、逻辑检查。17针对SOX法案的信息安全方案启明星辰公司的解决方案依据：根据国际安全领域权威的ISO17799/27001和最符合萨班斯（SOX）法案要求的COBIT等标准，推出了全新的贴近电信市场需求的新一代业务系统安全解决方案——面向业务保障的安全服务体系。特点：以萨班斯（SOX）法案对内控系统的安全需求为根本，制定了全新的风险评估、应急响应、安全加固等服务。不仅以市场上的安全需求为导向，更树立起电信级的“零距离贴近客户、零中断保障客户、零时延快速响应客户”的全面安全服务解决方案。用专注、专业、专心的精神为电信运营商客户切实解决遇到的安全问题。18针对SOX法案的信息安全方案启明星辰公司的解决方案19针对SOX法案的信息安全方案启明星辰公司的解决方案安全管理监控服务是网络与信息安全系统的委托管理与服务，是风险管理的过程化实施，是启明星辰公司为企业提供的专家级服务体系。该体系以全面保护、实时监控、专家响应为基本元素，建立了一套闭环服务体系，这种全面的安全服务体系能完全使企业摆脱维护系统安全的烦恼，并从最大程度上提高投资回报率。20针对SOX法案的信息安全方案启明星辰公司的解决方案21针对SOX法案的信息安全方案启明星辰公司的解决方案：在这个闭环中，依次执行以下6部分内容：为了解系统本身的漏洞及潜在的风险，对系统进行风险评估；针对评估出来的漏洞和风险提出准确的系统加固建议；依据系统加固建议，有效地部署并配置安全设备；对工作进程进行安全监控，确保其顺利进行；如遇紧急事件，由资深安全专家做出及时响应，以解决问题；根据客户信息系统中的信息资产情况，提供相应的安全信息通告，以邮件，电话或短信的方式发给客户，提供及时的修补和防御措施。此外，在整个管理监控过程中，对企业相关人员进行安全实践培训。22针对SOX法案的信息安全方案启明星辰公司的解决方案：23针对SOX法案的信息安全方案启明星辰公司的解决方案：24针对SOX法案的信息安全方案IBM公司的解决方案：首席执行官和首席财务官必须亲自签署公司的财务文件。现在SOX第404条要求他们必须进行内部控制，在这一点上IBM能够提供帮助。2001年多家企业卷入财务丑闻风波，其中包括Enron和WorldCom公司的破产，这促使国会在2002年通过了Sarbanes-Oxley（SOX）法案。SOX法案进行了彻底改革，它要求最高执行官负责执行该法案的规定，并且确保建立财务公开控制制度，否则将受到刑事处罚。违反该法案可能导致高达500万美元的罚款或20年刑期。该法案的第404条要求上市公司的管理层提交一份内部控制效率年度报告。据新闻报导预测，2005年供应商在帮助公司遵守法案第404条上的收入额度将达到数十亿美元，其中技术公司将囊括15亿以上的收入。25针对SOX法案的信息安全方案IBM公司的解决方案：明智的公司不会仅仅遵守该法案，而是利用这个机会来设计内部系统，以便提高效率。这对于IBM来说是一次绝佳的机会，因为Sarbanes-Oxley法案的意图恰好与IBM创建随需应变的目标和获益不谋而合。例如，法案要求公司不仅要提供严格的年度报告，而且必须随时准备”实时的”内部检查和财务检查。随需应变环境的关键目标在于建立更好的内部过程控制视图，同时提高效率并且把IT与这些过程关联起来。26针对SOX法案的信息安全方案IBM公司的SOX解决方案：IBM采取一种集成的方法来帮助客户遵守相关法案，除SOX法案之外，还帮助公司遵守最近实施的50余个公共法案和规定。IBMGlobalServices的BusinessConsultingServices工具、Tivoli管理解决方案和LotusWorkplace进行了集成，用来指导公司遵守法案并且完善内部控制。IBMWorkplaceforBusinessControlsandReporting

自动评估业务控制。本产品通过记录控制的情况，从而能够识别风险并且评估控制的效率。本产品帮助公司提供一个公共的平台，用来记录、评估和报告整个企业的控制管理状态。它还能够连接到不同供应商的多个数据源，以便让用户知道内容所在的位置和管理方式。27针对SOX法案的信息安全方案IBM公司的SOX解决方案：Tivoli能够帮助客户分析差距，并帮助客户缩短这些差距。诸如TivoliIdentityManager、TivoliAccessManager、TivoliPrivacyManager和TivoliSecurityComplianceManager这样的安全产品使IBM客户能够实现严格的用户权限控制，并实施安全策略和标准。在IBM的一家大型零售商客户的系统中，会计、销售和采购数据都得到良好的控制。但是底层数据库更新操作存在重大缺陷。当用户通过数据库的身份验证后，系统对用户的行为没有控制。并且该用户可以通过MicrosoftExcel这样的应用程序对数据库进行更新，而日志不会记录他们的行为。TivoliAccessManager在该零售商的整个财务系统中实现了一个一致且通用的访问策略。TivoliPrivacyManager形成了一道围绕关键数据库的保护"屏障"，它能够截获所有系统调用。TivoliIdentityManager根据用户权限检查每一项变更请求。28针对SOX法案的信息安全方案卓益达SOX法案符合性解决方案依据：基于SOX法案的规定和要求；并充分参考了COSO委员会提出的内控通用模型——《企业风险管理——整体框架》；以及国际信息系统审计与控制协会（ISACA）制定的“信息及相关技术控制目标”（ControlObjectivesforInformationandRelatedTechnology，COBIT）；通过后两者与萨班斯法案要求之间的整合，建立起了一套完整的应用模型和相关的整体解决方案。29针对SOX法案的信息安全方案卓益达SOX法案符合性解决方案针对性问题：从电信运营商的角度来说，其IT系统的管理在面对SOX法案时的挑战，主要集中在6类控制缺陷：大量用户拥有“超级用户”的访问权限；不能对管理员的操作提供完整的登录日志及行为记录；管理员所使用的客户端本身存在安全漏洞；已终止雇用关系的员工或已经离开的供应商人员仍然拥有系统访问权；用户账号的权限设定不明确或者不严谨；口令策略不严谨。30针对SOX法案的信息安全方案卓益达SOX法案符合性解决方案通过安全的统一接入和日志审核系统，有效地修补了这些缺陷，进而使得电信运营商能够在IT运维方面，与SOX法案要求的企业运维规范有效对接。通过部署加固代理服务器，进而实现管理平台和应用服务器逻辑上的物理隔离，保证了对应用服务器访问的安全性；同时，管理员只能通过带外方式，由Console口登录代理服务器，实现了对系统的保护；另外，通过部署统一接入服务器以及syslog/NFS服务器，实现统一接入、审计和认证管理。31针对SOX法案的信息安全方案卓益达SOX法案符合性解决方案主要功能和特点用户管理层——提供：基于角色的用户与账号管理；用户账号管理的审核和报告。系统授权及认证管理——提供：基于角色的访问控制；基于策略的访问控制；系统用户登录管理；支持多种认证方式。安全审计记录——提供：系统安全审计记录；行为安全审计记录。32SOX法案对信息安全行业的影响SOX约束的对象该法案的法律效力适用于在美国证券交易委员会注册的约14000家公司，其中包括大量非美国公司。在美国上市的UT斯达康、亚信、新浪、搜狐、中国联通、中石油、中石化等都是它约束的对象。SOX法案最实质的影响莫过于要求企业的CEO、CFO个人对财务报告承担责任，还加强了对上市公司欺诈的刑事惩罚。33SOX法案对