卓益達科技助力企業(yè)IT治理

1、卓益達科技助力企業(yè) IT 治理隨著經(jīng)濟全球化的進展，專門多國內(nèi)企業(yè)正逐步通過境外融資、上市， 進而求得進軍國際市場、規(guī)?；M展。在眾多的境外融資渠道中，赴美上 市、融資又因其成效的明顯而普遍受到國內(nèi)企業(yè)的青睞。而赴美上市，就 必須通過薩班斯法案（Sarbanes-Oxley法案，簡稱SOX法案）的要求。針關(guān)于 公司治理的 SOX 法案，盡管要緊指向財務(wù)治理、經(jīng)營治理，要求企業(yè)保證 財務(wù)數(shù)據(jù)的真實性、全面性和及時性，但關(guān)于企業(yè)來講，這些規(guī)則的落腳 點，恰恰是 IT 系統(tǒng)的有效性和可靠性的體現(xiàn)。當前， IT 系統(tǒng)越來越多地滲透進了企業(yè)業(yè)務(wù)活動的方方面面。高效、 可靠的 IT 系統(tǒng)，不然而企業(yè)高效運

2、轉(zhuǎn)的有力工具，更可為企業(yè)提供必要數(shù) 量的操縱程序和審核依據(jù)（例如SOX法案中的一些具體要求）。因此，遵循 SOX 法案的程序， 就需要包括基于 IT 系統(tǒng)的有效操縱和治理。 對大多數(shù)企 業(yè)而言， IT 系統(tǒng)在建立與保持有效的財務(wù)報告內(nèi)部操縱方面，將發(fā)揮越來 越重要的作用 !日前，中國通信企業(yè)協(xié)會通信網(wǎng)絡(luò)運維專業(yè)委員會， 在北京舉行的“第 三屆中國通信網(wǎng)絡(luò)運維年會”上，來自有關(guān)政府部門、運營商、設(shè)備提供 商、系統(tǒng)集成商、專業(yè)服務(wù)商和咨詢機構(gòu)的代表，共同商討了國內(nèi)通信網(wǎng) 絡(luò)運維治理進展大計。其中，針對電信企業(yè)境外融資進展成為了一個熱點 話題，而涉及SOX法案的規(guī)范化要求更被與會者猛烈討論。在這一熱

3、議話 題中， IT 系統(tǒng)必須落實并符合 SOX 條款要求的進展趨勢， 被全體與會者所 確信。會上，北京卓益達科技有限公司針對性地推出了電信運營商 IT 系 統(tǒng)薩班斯法案符合性解決方案 。卓益達科技此次推出的解決方案，基于 SOX法案的規(guī)定和要求，并充 分參考了 COSO委員會提出的內(nèi)控通用模型一一企業(yè)風險治理一一整體 框架，以及國際信息系統(tǒng)審計與操縱協(xié)會 （ISACA） 制定的“信息及有關(guān)技 術(shù)操縱目標” （Control Objectives for Information and Related Technology， COBIT) 。通過后兩者與薩班斯法案要求之間的整合，建立起了一套完整

4、的 應(yīng)用模型 (如圖 1 所示 )和有關(guān)的整體解決方案。從電信運營商的角度來講，其 IT 系統(tǒng)的治理在面對 SOX 法案時的挑 戰(zhàn)，要緊集中在 6 類操縱缺陷方面：1) 大量用戶擁有“超級用戶”的訪咨詢權(quán)限 ;2) 不能對治理員的操作提供完整的登錄日志及行為記錄 ;3) 治理員所使用的客戶端本身存在安全漏洞 ;4) 已終止雇用關(guān)系的職員或差不多離開的供應(yīng)商人員仍舊擁有系統(tǒng)訪 咨詢權(quán);5) 用戶賬號的權(quán)限設(shè)定不明確或者不嚴謹 ;6) 口令策略不嚴謹。 針對上述這些咨詢題，卓益達科技的解決方案通過安全的統(tǒng)一接入和 日志審核系統(tǒng)，有效地修補了這些缺陷，進而使得電信運營商能夠在 IT 運 維方面，與

5、SOX 法案要求的企業(yè)運維規(guī)范有效對接。卓益達科技的電信運營商 IT 系統(tǒng)薩班斯法案符合性解決方案采取 了帶外治理和帶內(nèi)治理方式有機結(jié)合，通過部署加固代理服務(wù)器，進而實 現(xiàn)治理平臺和應(yīng)用服務(wù)器邏輯上的物理隔離，保證了對應(yīng)用服務(wù)器訪咨詢 的安全性 ;同時，治理員只能通過帶外方式，由 Console 口登錄代理服務(wù)器， 實現(xiàn)了對系統(tǒng)的愛護 ;另外，通過部署統(tǒng)一接入服務(wù)器以及 syslog/NFS 服務(wù) 器，實現(xiàn)統(tǒng)一接入、審計和認證治理 (系統(tǒng)拓樸如圖 2 所示)。1、用戶治理層提供：基于角色的用戶與賬號治理 ;用戶賬號治理 的審核和報告。2、系統(tǒng)授權(quán)及認證治理提供：基于角色的訪咨詢操縱 ;基于策略

6、 的訪咨詢操縱 ;系統(tǒng)用戶登錄治理 ;支持多種認證方式。3、安全審計記錄提供：系統(tǒng)安全審計記錄 ;行為安全審計記錄。 據(jù)卓益達科技有關(guān)負責人介紹，在本方案的部署實施中，用戶無須對 原有應(yīng)用系統(tǒng)做任何更換，同時，還能夠按照客戶的需求定制客戶化界面。從整合方案的角度來看，北京卓益達科技有限公司能夠為依據(jù)SOX 法案需求建設(shè)的企業(yè)，提供保證實施強制第三方審計的關(guān)心，亦能夠關(guān)心審 計人員或者內(nèi)部治理人員看到真正重要的事件和信息。相信，只要通信行業(yè)及其他行業(yè)的用戶，充分利用如此的標準化系統(tǒng) 解決方案，就一定能夠關(guān)心企業(yè)治理人員從“加大審計”和“實施內(nèi)控” 兩個方面滿足薩班斯法案的要求。背景知識：關(guān)于薩班

7、斯法案2002年7月，美國國會正式通過了薩班斯法案（Sarbanes-Oxley法案， 簡稱 SOX 法案 ）。該法案明確規(guī)定： 企業(yè)的治理層對財務(wù)信息披露和內(nèi)部操 縱效力負有直截了當責任，公司的內(nèi)控措施，應(yīng)由治理層聲明有效并由獨 立審計機構(gòu)出具內(nèi)控審計意見，并提交美國證監(jiān)會。SOX 法案中的第“ 404 條款” （針對財務(wù)報告的內(nèi)部操縱行為的條款 ） 要求：1、公司治理層在建立和愛護內(nèi)部操縱系統(tǒng)及相應(yīng)操縱程序方面負有充 分的責任 ;2、發(fā)行人治理層最近財政年度末對內(nèi)部操縱體系及操縱程序有效性的 評判SOX 法案，從其本質(zhì)上來講，事實上是針對企業(yè)治理的專門嚴格的一 套規(guī)定。要求企業(yè)的內(nèi)控活動，不論是人依舊信息系統(tǒng)的操作流程，都必 須明確地定義并儲存有關(guān)記錄，對審計過程也有存檔的要求。因此，對阻 礙財務(wù)報告的信息系統(tǒng)的 IT 操縱，也是 SOX 內(nèi)部操縱的核心組成之一。 這就要求 IT 完善治理機制， 進行 IT 內(nèi)部操縱和信息系統(tǒng)審計， 以保證達到 SOX 對