（工商管理专业论文）遵从萨班斯法案的信息安全管理研究.pdf

遵从萨班斯法案的信息安全管理研究 摘要 论文就美国萨班斯法案对在美上市企业提出的监管内容进行分析，重点研究在美上 市企业在遵从萨班斯法案项目上涉及信息安全管理方面的要求和存在的挑战。通过深入 企业实践调查和系统总结，力图为大陆在美上市企业遵循萨班斯方案提供理论依据和实 践指导。 论文通过对萨班斯法案涉及企业信息安全管理要求的分析，提炼出法案合规的信息 安全管理目标，进而根据所要达成的目标提出法案合规的方法论和解决方案。论文提出 了企业需围绕萨班斯法案遵从目标构建信息安全管理体系、信息安全控制策略和信息安 全管理原则，并提出针对性解决方案，解决方案主要解决了企业公开发布的财务报告和 内部控制报告涉及的财务信息的可靠性和完整性要求。通过对企业职员进行智能统一的 身份管理，保证仅被适当授权的职员进行对应的数据访问；通过对财务数据在访问、传 输和使用等方面提供统一的安全访问控制，保证了财务信息数据流程的一致性；通过提 供完善的审计解决方案，实现财务信息在使用过程中的可追溯性和可审计性。通过对上 述解决方案的实施及动态修复完善，能够有效防止企业内部人员进行灰色交易并最大程 度消除内部控制风险，从而实现对萨班斯法案的遵从要求。 关键词：萨班斯法案s o xs o x 法案遵从i t 风险信息安全管理信息安全解决方案 北京交通大学硕士学位论文 a b s t r a c t t h i sp a p e ra n a l y z e dt h ew a r dc o n t e n tr a i s e db ys o xf o rt h eb u s i n e s s ，f o c u so nh o wt o f o l l o ws o xi ni n f o r m a t i o ns e c u r i t ym a n a g e m e n ta r e a t h i sp a p e rg e t st h eg o a lo fi n f o r m a t i o ns e c u r i t ym a n a g e m e n ti nf o l l o w i n gs o x ，a n a l y z e d t h er e q u i r e m e n to ni n f b 啪a t i o ns e c u r i t ym a n a g e m e n t , a n dt h e ng o tt h es o l u t i o n i nt h i s p a p e r sp o i n t , t h eb u s i n e s sn e e dc r e a t ei n f o r m a t i o ns e c u r i t ym a n a g e m e n ts y s t e m ；i n f o r m a t i o n s e c u r i t yc o n t r o ls t r a t e g ya n dm a n a g e m e n tr o l eb a s e do nt h eg o a do ff o l l o w i n gs o x t h i s p a p e rg i v e sas o l u t i o n ，w h i c hw a sv a l i d a t e dw i d e l y t h i s s o l u t i o n m a i n l yr e s o l v e dt h e r e l i a b i l i t ya n di n t e g r a l i t yo ff i n a n c ei n f o r m a t i o nw h e nb u s m e 豁p u b l i ci t sf i n a n c er e p o r ta n d i n t e r n a lc o n t r o lr e p o r t t h i ss o l u t i o nw i l li n s u r et h a to n l ya u t h o r i z e de m p l o y e ec a na c c e s st h e d a t ab a s e do ni n t e l l i g e n ti d e n t i f ym a n a g e m e n t ；w i l li n s u r et h ec o n f o r m a n c eo ff i n a n c e i n f o r m a t i o nd a t af l o wb a s e do np r o v i d i n gs e c u r i t ya c c e s sc o n t r o lo na c c e s s t r a n s f e r u s e f i n a n c ed a t a ；w i l li m p l e m e n tt h et r a c e a b i l i t ya n dc a nb ea u d i t e di nt h ep r o c e s so fu s i n g f i n a n c ei n f o r m a t i o nb a s e do np r o v i d i n gc o m p l e t ea u d i os o l u t i o n i m p l e m e n t e da n dp e r f e c t e d a b o v es o l u t i o nd y n a m i c a l l y , t h i sw i l la v o i dt h ee m p l o y e et op r o c e e dt h eg r a yt r a d e sa n dc l e a n u pi n t e m a lc o n t r o lr i s k ，t h e nt h eb u s i n e s sc a l lm e e ts o x sf o l l o w i n gr e q u i r e m e n t k e y w o r d s ：s o x , i n f o r m a t i o ns e c u r i t y , i n f o r m a f i o ns e c u r i t ym a n a g e m e n t , i tr i s k 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行研究工作及取得的 研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得北京交通大学或其它教育机 构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献 均已在论文中作了明确的说明并表示了谢意。 学位论文作者签名斥，：氮操日期：少年月夕目 使用授权声明 本人完全同意北京交通大学有权使用本学位论文( 包括但不限于其印刷版和 电子版) ，使用方式包括但不限于：保留学位论文，按规定向国家有关部门( 机 构) 送交学位论文，以学术交流为目的赠送和交换学位论文，允许学位论文被查 阅、借阅和复印，将学位论文的全部或部分内容编入有关数据库进行检索，采用 影印、缩印或其他复制手段保存学位论文。 保密学位论文在解密后的使用授权同上。 学位论文作者签名：青阀瘴 指? 教师签名：船 只期：坤年多月夕e t 日期；a ”7 年多月罗日 北京交通大学硕士学位论文 一、选题背景 绪论 2 0 0 1 年1 2 月，美国最大的能源公司一一安然公司，突然申请破产保护，紧接着在 2 0 0 2 年6 月世界最大通信公司世界通信被发现虚构了近百亿美元利润。一系列丑闻使美 国资本市场陷入阴霾，给美国经济发展蒙上了深深的阴影。为了重建投资者信心，恢复 资本市场活力，2 0 0 2 年6 月布什总统签署的萨班斯一奥克斯利法案( 简称萨班斯法案) 正式生效。该法案对美国( 1 9 3 3 年证券法、( 1 9 3 4 年证券交易法作了大量修订，在 会计职业监管、公司治理、证券市场监管等方面做出了许多新的规定，又被称为“公众 公司会计改革与投资者保护法案”。法案的第一句话就是“遵守证券法律以提高公司披 露的准确性和可靠性，从而保护投资者及其他目的。布什总统在签署s o x 法案的新闻发 布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。法案对公司 治理、内部控制及外部审计同时做出了严格的要求。明确规定管理层要负责内控系统的 完善和落实，并对财务报告的真实性负刑事责任。 萨班斯法案的出台，使全球各国监管部门、企业和投资者都把目光关注在公司治理 和全面风险管理上。为保护投资者、降低风险，各国纷纷效仿萨班斯法案，出台自己的 公司治理要求以及全面风险管理指南。s o x 法案引发了全球公司治理与风险管理翻天覆 地的变化。如何更好地规范公司治理、完善公司全面风险管理框架，如何发挥信息技术 在公司治理和风险管理中的作用，是目前理论界与实务界关注的热点话题。其中i t 治 理与风险管理，信息安全管理与s o x 法案遵从等议题逐渐成为企业关注的焦点。 二、研究的目的和意义 2 0 0 6 年7 月1 5 日，萨班斯法案对中国在美上市公司开始正式生效，大陆和香港7 0 多家在美上市公司正面临2 0 0 6 财年的萨班斯法案大考，如果在美上市公司不能通过该 法案的认证，美证券市场会认为该公司财务管理不规范、企业内控不可信，公司将面临 被摘牌的危险。 由于目前几乎所有上市公司的核心业务运作都依赖于i t 系统，信息资产已经成为 遵从萨班斯法案的信息安全管理研究 企业的核心价值资产。如何通过信息系统建立更好的内部过程控制视图，如何通过信息 安全管理解决方案来实现对萨班斯法案的遵从正成为在美上市企业直接面l 简的挑战。 萨班斯法案主要关注财务报告数据的准确性，它以法律形式强化了公司内部的风险 控制，同时也将企业i t 治理的重要性提高到了前所未有的高度，萨班斯法案关注的i t 治理主要包含信息安全管理和i t 业务流程风险管理。而其中信息安全管理主要涉及信 息安全策略、信息安全解决方案和信息安全审计。通过严谨的、合乎流程的信息安全管 理能够提高企业财务报告的可靠性和完整性。 论文试图通过对萨班斯法案遵从项目中涉及i t 治理中的信息安全领域进行深入分 析和研究，探讨萨班斯法案对企业信息安全管理的要求，研究企业遵从萨班斯法案的解 决之道，为大陆在美上市企业遵循萨班斯方案提供理论依据和实践指导。 三、研究思路和研究方法 萨班斯法案最初用于解决诸如帐外交易( 灰色交易) 之类的特殊舞弊行为。安全 并不是首要考虑的问题。萨班斯法案中包含了这样一项规定：c e o 和c f o 必须证明其 公司拥有适当的内部控制。法律专家指出，如果维护财务数据的系统不能被证明是安全 的系统，则高层管理人员很难担保财务数据的准确性，也很难担保其内部控制的有效性。 因此内部控制已经演变成为法律层面的需求。尽管企业对于审查一致性的审计在安全方 面的苛刻要求仍然存在很多意见，但是正如权威人士所说，“如果没有适当的安全控制 机制，高层管理人员实际上无法签名证明财务报表的准确性”。可见信息安全管理已经 成为衡量企业内控机制是否合规的关键考核内容。 论文将主要围绕s o x 法案对在美上市企业的财务报表和内控报告要求展开深入分 析和调查，重点研究在美上市的大陆企业在法案合规性方面存在的共性的安全管理问题 和安全需求；分析如何通过信息安全管理体系规范和信息安全框架建立企业的安全管理 策略，进而提出法规遵从的安全管理解决方案，为在美上市企业在实施信息安全解决方 案和如何通过i t 审计等方面提供参考建议。 本人希望通过对i s m s ( 信息安全管理体系) 标准和c o b i t ( 信息及相关技术的控制 目标) 进行深入学习与研究：分析和研究s o x 法案3 0 2 和4 0 4 条款对信息安全管理的审 核要求；紧密跟踪业界发展动态；深入企业进行内部调研和实践，通过系统的学习、思 考和总结为企业通过s o x 法案审核提供理论指导和解决方案，同时在提高企业的i t 治 2 北京交通大学硕士学位论文 理能力方面提出参考建议。 遵从萨班斯法案的信息安全管理研究 1 、萨班斯法案( s o x ) 概述 1 1 、萨班斯法案主要内容及影响 2 0 0 1 年和2 0 0 2 年发生在美国资本市场的一系列财务丑闻严重地打击了投资者的信 心，为了扭转资本市场活力并重建投资者信心，2 0 0 2 年7 月布什总统签署的萨班斯奥 克斯利法案( 简称萨班斯法案) 正式开始生效。布什总统在签署“s o x 法案”的新闻发布 会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。s o x 法案共分 1 1 章，第1 至第6 章主要涉及对会计职业及公司行为的监管，包括：建立一个独立的“公 众公司会计监管委员会”，对上市公司审计进行监管；通过负责合伙人轮换制度以及咨 询与审计服务不兼容等提高审计的独立性；对公司高管人员的行为进行限定以及改善公 司治理结构等，以增进公司的报告责任；加强财务报告的披露。第8 至第1 1 章主要是 提高对公司高管及白领犯罪的刑事责任，如针对安达信销毁安然审计档案事件，专门制 订相关法律，规定了销毁审计档案最高可判1 0 年监禁、在联邦调查及破产事件中销毁 档案最高可判2 0 年监禁；为强化公司高管层对财务报告的责任，要求公司高管对财务 报告的真实性宣誓，并就提供不实财务报告分别设定了1 0 年或2 0 年的刑事责任。 s o x 法案中对企业要求最为严格同样也是最难遵从的条款要数3 0 2 条款和4 0 4 条款。 1 1 13 0 2 条款：财务报告的认证 3 0 2 条款规定：c e o 、c f o 和作为证明人的公共会计师事务所必须验证财务报表及定 期报告中披露信息的准确性，同时验证这些报表是否从所有重要方面详细阐述了发布人 的运营状况和财务状况。3 0 2 条款还规定，如果c e o 或c f o 有意或蓄意公布不准确的报 表，将受到严重的刑事处罚。该条款还要求公司保存并向公众公布用于生成定期报告的 重要信息。目前几乎全部在美上市企业中，i t 系统负责生成定期报告，是企业发布上述 信息的主要工具，因此要求企业管理层必须确保这些i t 系统的安全性和可靠性。另外 由于涉及到刑事处罚，管理层还应签署一份关于其系统的内部证明，以防系统维护工作 出现疏忽时，企业能够及时检查出漏洞并加以修复完善。 4 北京交通大学硕士学位论文 1 1 24 0 4 条款：管理层对内部控制的评价 4 0 4 条款是s o x 法案遵从项目中最大的驱动因素，也是对企业来说最难遵循的一个 章节。它要求企业提交一份声明来阐述管理层对建立及维护公司财务报告在内部控制方 面应承担的职责，并需得到通过外部独立审计师的审计证明。该声明主要内容包括对企 业内部控制手段的评估以及对评估框架的鉴定等。3 0 2 条款要求财务报表必须完整、准 确，属于对公开发布的财务报表结果的控制；4 0 4 条款要求报表的生成流程必须准确， 且必须满足公认的行业标准( 美国反对虚假财务报告委员会的发起组织委员会的标准是 实际行业标准) ，属于保证财务报表准确的过程的控制。 由于业务流程和内部控制主要是在i t 系统中实施，因此，4 0 4 条款审计将包括对 这些系统进行具体的评估，i t 系统必须记录并实施为满足法规遵从要求而对流程进行的 更改。虽然完全基于纸张办公的企业可能可以确保遵从法规，但绝大多数上市公司都将 信息技术广泛用于财务报告中，在信息技术应用过程中，c i o 在审计和法规遵从项目中 将发挥重要作用。4 0 4 条款同时还要求每季度报告一次企业重大流程的更改。因此，新 的企业资源规划( e r p ) 系统或系统的任何重大更改都需要进行新的4 0 4 条款审计、证 明和报告。 为保证在美上市企业对s o x 法案的贯彻执行，s o x 法案对企业的内部治理提出了明 确的要求，具体内容有：要求企业成立独立的董事会审计委员会；及时汇报公司的证券 交易；全面记录内部控制及披露程序；具备遵从这些控制所需的审计能力；记录具体控 制的设计方法；评估控制的流程和效果；识别随之而来的控制问题并监控相应的修复措 施；记录流程和控制的变化并发现任何相关问题；记录控制设计测试的结果；披露任何 主要缺陷，获取外部审计公司审核以证明相关报告。 总体而言，s o x 的目的在于促进企业责任感，完善内部控制，加强信息向公众的披 露，提高财务报告和审计的质量及透明度，并对违反证券法律和其它法规的行为加大惩 罚力度及加重其刑事责任。 萨班斯法案是美国自2 0 世纪3 0 年代颁布财务规则以来，最为严厉最为苛刻的财务 法则。事实已经证明：触犯萨班斯法案，企业高管直接面l 临监禁等法律制裁，并导致公 司声誉下跌，投资人失去信心，企业失去再融资能力，最后不得不被迫退市。 5 遵从萨班斯法案的信息安全管理研究 1 2 、国内外研究现状 萨班斯法案颁布后，国际主要审计机构和解决方案供应商率先展开对如何通过信息 系统和信息安全管理来遵循萨班斯方案的研究，四大审计公司作为裁判员提供是否合规 的外部审计认证，同时作为教练员为企业提供如何通过萨班斯法案认证的外部咨询，在 最近3 年时间里积累了比较丰富的审计理论和实践经验，而软件供应商们则推出了系列 解决方案来帮助美上市企业通过方案的认证。其中i b m 、s a p 、0 r a c l e 和h p 等知名i t 公司提出的解决方案指导公司在遵循法案方面如何完善内部控制，简化复杂的业务流程 和进行风险评估的定义及管理，对法案遵从风险进行评测等方面已经积累了很多实践经 验。j u n i p e r 、c i s c o 等知名安全解决方案和设备供应商则从信息安全控制和信息安全审 计角度提供符合法案要求的解决方案，帮助企业提高安全风险抵御能力并协助企业通过 方案审查。 国内研究机构与在美上市企业从2 0 0 4 年开始投入对法案遵循研究和实践探索，目 前国内对如何遵循萨班斯法案的论著还比较少，大部分研究机构还处于法案理解和研讨 阶段，主要讨论s o x 带来的影响、国内企业的应对思路和从财务角度如何遵从法案要求 等方面，对于如何通过信息安全管理遵循萨班斯法案的研究还停留在探索和争论阶段， 缺乏系统的理论来指导企业的具体实践。在美上市企业通常通过国际审计公司提供的咨 询方案展开内部流程梳理和内部自审计，从实际进展来看，大部分企业对怎样彳。能符合 s o x3 0 2 和4 0 4 条款并没有确切的目标，对于如何能够通过外部审计还没有太多的把握， 目前基本上都是根据咨询公司的建议做“最大程度努力”来实现对法案的遵从，各企业 对如何利用信息安全管理来满足对法案遵从的思路并不一致，因目标较为模糊导致内部 合规性项目实施的投入成本过高，缺乏一个清晰的系统的以不变应万变的法规遵从解决 方案。本文将从信息安全角度展开进行分析研究，希望能够从信息安全管理角度找到一 个辅助法规遵从的标准路径和通用解决方案。 1 3 、萨班斯法案遵从分析 遵从s o x 法案是一项艰巨的任务，其原因是多方面的，其中，企业面临的最大挑战 或许是法案本身内容的含混不清和考核目标的不可量化，同时s o x 法案也没有规定或推荐 任何控制措施，而是要求实施“足够多的”控制。这意味着企业自己必须自行确定足够的 6 北京交通大学硕士学位论文 控制机制和流程。每个企业需要依据自身的业务流程、信息化程度、法规遵从预算和承担 风险的能力来确定具体的控制目标。 1 3 1 信息安全对财务报告和内部控制报告的重要性 s o x 法案最初用于解决诸如帐外交易( 灰色交易) 之类的特殊情况。当时，安全并 不是首要考虑的问题。s o x 4 0 4 条款规定c e o 和c f o 必须证明其公司拥有适当的内部控 制。法律专家据此指出，如果维护财务数据的系统属于不安全的系统，则高层管理人员 很难担保数据的有效性，也很难担保其内部控制的可靠性。因此，内部控制已不再属于 “最佳实践”的范畴，而转移至法律需求的范畴。s o x 在许多重要的方面改变了财务信 息的本质特征。尽管人们对于审查一致性的审计员在安全方面的关注程度仍存在争议， 但是正如权威人士所称，“如果没有适当的安全控制机制，高层管理人员实际上无法签 名证明财务报表的准确性”。 随着信息技术在各行各业的深入发展，企业业务流程对技术的依赖程度在逐年增 加，使得业务的执行更加及时、全面和准确。财务报告流程及其他关联业务流程( 如财 务报告所涉及的交易获取、记录、累积及呈现等) 均需依赖信息系统来完成，因此，应 用系统和系统的控制成效会直接影响流程的完整性，包括输入流程的数据和流程完成时 最终公开发布的信息。 由于计算机系统在上市公司r 常交易活动中所发挥的重要作用，s o x 执行遵从与否 主要取决于其i t 及信息安全部门，因为大多数商业系统如企业资源计划( e r p ) ，财务 报表都掌控在i t 部门所管理的系统之中。在s o x 法案下，i t 及信息安全部门的作用将 延伸如下方面： 理解公司内控项目及财务报告 为内部控制及财务报告提供i t 系统需求 识别和理解与i t 系统有关的风险 为i t 系统提供必要的安全保证与监控 记录和检测i t 控制 内控及财务报告更改时，确保i t 控制及时更新 确保数据的机密性，可信性及实时数据，历史数据的可用性 布置s o x 遵从方案，提高s o x 实施效率，降低法规遵从成本 另外，对所有与审计有关的信息、报告和其他相关事情，s o x 第1 0 3 款要求应保存 7 遵从萨班斯法案的信息安全管理研究 七年，也就是说，i t 及管理部门必须提供强大的安全系统，具有优良的记录、报告以及 存档能力。 另外考虑到i t 风险不只在i t 环境中存在，由于经常会有不同员工及供应商负责开 发、维护及接触到技术环境中的硬件、软件及其他部分，这些人士行动若未经授权，会 直接影响流程和数据的可靠性。因此，由技术衍生的相关风险必须在评估与财务报告相 关的内控风险时予以考虑。这些风险是在技术的应用自身中潜在的。例如，在未经授权 下获取信息和数据、未经授权而擅自更改数据，以及不准确的运算和程序，均会造成程 序发生错误或导致程序不完整。负责人在审核内部控制结构时必须注意和考虑这些风 险。 简而言之，在高度复杂的信息系统环境中，在进行财务报告内部控制的整体评估时， 必须考虑有关财务报表涉及的信息系统和财务数据的安全控制。 对于中国在美上市企业来说，由于信息化起步普遍较美国上市企业晚，信息系统的 成熟度也相对较低，同时随着新兴业务的不断拓展，加上信息管理普遍存在缺陷，信息 系统需要不断去建设和改进，整个系统在可靠性和稳定性方面均有待于不断的巩固和增 强。同时由于s o x 法案属于新兴事物，对法案理解还需要企业不断去深入解读，法案的 遵从同时由于缺乏实践经验的积累，还需要中国在美上市企业不断地在摸索中积累法案 遵从的经验。 1 3 2 信息安全辅助实现s o x 遵从 萨班斯法案对上市企业的益处在于以法律形式强化了公司内部的风险控制，也 同时将企业i t 治理的重要性提高到前所未有的高度。通过对s o x 法案的深入分析，不 难看出，s o x 法案对企业的核心要求是规避风险、完善内部控制。由于现代企业的核心 业务运作均依赖于i t 系统，信息资产已经成为企业的核心价值资产，i t 控制成为企业 内部控制的最重要组成部分之一，信息资产的安全成为企业最需要保护控制的目标。同 时由于s o x 法案明确要求管理层必须能够证明其公司拥有适当的内部控制，并证明其发 布的财务报告数据是准确且可靠的，所以i t 系统中涉及财务报表和内部控制的信息的 机密性、完整性和不可抵赖性必须得到保证，否则s o x 方案的遵从就不可能通过外部独 立审计机构的审查。 在s o x 法案遵从过程中，管理层需要确保财务报告的准确性和完整性，这将涉及到 保护财务数据的安全，控制数据访问，确保数据和应用的可用性，保障数据传输的安全性， 8 北京交通大学硕士学位论文 以及监控网络事件。信息安全的重要性体现在于，它可以提高财务报告的可靠性和完整 性，能够为管理层提供准确且完整的财务数据、可回放的数据处理流程和不可抵赖的数 据访问记录。因此信息系统的安全成为s o x 方案遵从的一个重要环节。 通过对s o x 核心内容及法案遵从的要点进行深入分析，可以看出法案的遵从和 信息安全在以下方面存在严格的对应关系，如表1 所示，只要解决了法案在信息系统 安全方面存在的需求，就能够在一定程度上保证s o x 核心要求得以真正实现。 表1s o x 法案遵从和信息安全对应关系表 s o x 核心要求s o x 遵从要求s o x 遵从与信息安全对应关系 规避企业风险财务报表准确完整信息系统的可埘性 完善内部控制信息的完整性 数据流程的一致性 数据的不可否认性 内控报告真实有效控制机制的完整性 信息系统的可靠性 控制流程的可追溯性 经过广泛的学习和不断的摸索实践，企业会逐步发现那些符合最佳实践的具体控制目 标将特别有助于对s o x 法案的遵从，主要习标集中在：对i t 系统的访问控制，保护那些 存储和交付应用与数据的信息系统实施免遭未经授权的访问；对财务报表涉及的敏感数据 提供保密；保护数据在存储和传输期间的完整性；确保关键信息对所有重要用户的可用性， 适当人员在需要时必须能够访问应用和信息并确认上述目标的有效性；详细准确地报告访 问、访问尝试以及所有其他可能影响公司信息完整性的事件。 9 遵从萨班斯法案的信息安全管理研究 2 、通过信息安全实现萨班斯法案遵从 2 1 遵从s o x 的信息安全管理体系 信息安全是指信息的保密性( c o n f i d e n t i a l i t y ) 、完整性( i n t e g r i t y ) 和可用性 ( a v a i l a b i l i t y ) 的保持。其中保密性指确保该信息仅被已授权的人访问；完整性指保护 信息及处理方法的准确性和完备性；可用性是指确保己授权用户在需要时可以访问信息 和相关资产。上述信息安全的定义一种较为传统的观点，随着互联网的迅速普及，信息 和系统的可控性、信息和系统的不可否认性也被添加进来，即可追溯性( a c c o u n t a b i l i t y ) 和不可否认性( n o n r e p u d i a t i o n ) 。可追溯性：能够在网络访问和操作过程中留下相应 记录，为恶意访问和攻击的相应处理提供依据，即确认系统中个人行为和活动的能力： 不可否认性：为信息行为承担责任，保证信息行为人不能否认其信息行为。 信息作为一种资源的必要条件是对其进行有效的安全管理。对信息及其相关活动因 素进行科学的计划、组织、控制和协调是管理活动的必然要求。信息安全管理作为组织 安全体系的上层建筑，是指导和控制组织的关于信息安全风险的相互协调的活动。信息 安全管理以风险管理为主体，管理的基础是风险的识别与评估。 信息安全管理体系( i s m s ) 是组织管理体系的一部分，专门负责组织信息资产的风险 管理，确保组织的信息安全。在i s o i e c1 7 7 9 9 中，组织的信息安全管理策略被划分为 1 0 个方面，但标准并没有给出这十个方面之间的相互关系和层次。因此这些安全管理策 略对实际工作虽然有着很强的指导性，但是其结构模糊，不易形成系统化的管理体系。 更无法为s o x 遵从提供合规指导。 围绕s o x 遵从需要达成的目标：证明财务报表信息的准确性和可靠性，证明内部控 制报告的有效性，同时考虑到信息安全技术在企业实际部署环境中的层次性，并结合安 全纵深防御管理思想，论文建立遵从s o x 的信息系统安全纵深管理体系，其结构如图1 所示。 1 0 北京交通大学硕士学位论文 图l 遵从s o x 的信息安全管理体系 信息安全符合木桶原理，整个系统的安全性就像是由一系列安全措施组成的一根链 条；系统的安全程度取决于该链条中最脆弱的环节，系统安全最薄弱部分往往也是最易 受到攻击的环节。系统需要通过划分安全层次来定义安全级别和风险识别，并根据安全 级别进行风险评估和解决方案选择，对于在美上市企业来说，所有涉及财务数据的系统 和流程均应遵守这一原则( 如财务系统和e r p 系统) 。 纵深防御背后的思想是使用多重防御策略来消除或弱化风险，以便在一层防御不够 时，另一层防御将会阻止进一步的破坏。冗余的安全性保护措施越多，系统可以理解为 越安全。所有这些防御措施加起来会形成一个比任何单一防御措施有效得多的安全性系 统。多重防御比最坚固的环节还要坚固，它所提供的整体保护比任意单个组件提供的保 护都要强得多 该信息安全管理体系紧紧围绕s o x 法案遵从目标，一方面针对企业核心信息资产在 使用和传输过程中提供纵深防御的层次化安全保护，同时充分考虑到对企业职员的身份 管理、统一访问控制和s o x 法案合规性审计管理需求。另一方面，从攻击防御、员工身 份管理、统一访问控制及安全访问审计等角度出发，也分别提出了具有针对性和互补性 解决方案，相信通过该安全管理系统的合规性项目实施，能够有效解决企业s o x 法案遵 从在信息安全管理方面的需求。 1 1 遵从萨班斯法案的信息安全管理研究 2 2 遵从$ o x 的信息安全控制策略 为了满足s o x 对3 0 2 条款和4 0 4 条款的要求。许多企业正在规划或已经开始实施法 规遵从项目。虽然项目范围广泛且缺乏足够的经验积累，看似艰巨且复杂，但从信息安 全管理层次来看，其实施流程却显得相对清晰。 第1 阶段：发现审计 企业在发布财务报告和内控报告前必须通过独立审计公司对第3 0 2 节和第4 0 4 节的 审计。因此，法规遵从项目的第一步应该是开始审计来发现差距并据此来确定哪些地方 需要加以变更。g a r t n e r 公司建议除了作为证明人的审计公司之外，不需要由其他审计 公司或顾问刀：展“预证明”项目来为审计做前期准备：这显然是一种浪费资源的行为。 同时为了防止利益冲突，s o x 条款限制作为证明人的审计公司不可参与到后续的变更实 施项目中来。这些审计工作应该非常细致，内容必须包括记录企业的财务流程以及所有 的内部流程控制。c i o 通常应作为法规遵从委员会的成员，需要广泛参与到审计流程中。 管理层可能需要分配适当资源来支持对i t 系统和财务数据进行检查。大多数审计公司 都使用企业中必须安装的技术来记录流程和结果，并与管理层进行交流。 第2 阶段：差距分析 在通过最初的审计后，大多数企业将需要对流程进行各种更改，这些更改必须在技 术中得以体现。这可能仅是在财务包中添加登出步骤的简单更改，也可能是完全重新构 建e r p 系统的复杂更改。c i o 应了解其中大多数的所需更改将有助于满足非i t 流程的要 求，如i t 系统管理的应付账款流程。g a r t n e r 公司预计，超过8 0 的更改都将是系统更 新，并不需要太多的新技术。当需要新技术时，这些新技术通常是文档和记录管理工具， 它们用于记录控制情况及管理用于生成报告的记录。作为证明人的审计公司需要为企业 提供完整的要求清单以满足法规遵从要求。 第3 阶段：法规遵从 在得到审计公司的差距分析报告后，企业应在i t 系统中实施所必要的更改。如果 企业缺乏充分的内部资源，可考虑聘请外部顾问提供帮助，但要将他们的权利限制在满 足审计公司的要求的范围内，以防“越权”。管理层还需要了解知道，s o x 法案要求在严 格的期限内满足其要求，到期后无法满足要求将受到严厉的处罚。因此，这个项目时间 安排比以往的项目更为重要，管理层必须为审计公司的最终审计和证明预留足够的时 间。同时需要注意，作为证明人的审计公司不能够实施s o x 法规遵从项目，但可开展定 北京交通大学硕士学位论文 期评估以确保s o x 遵从项目处于正常轨道上。 第4 阶段：发布报告并为将来的发展做好准备 当最终审计和证明完成以及在公司公布定期报告之后，企业还需要为将来的发展做 好准备。s o x 法案一直被称为“永无止日的2 0 0 0 年”。这不仅因为法案将会不断进行修 改，还因为它要求每份定期报告都提供审计和证明资料，并及时披露重大事件。企业必 须对显著影响财务流程的i t 项目进行季度评估并出具报告。因此，全新的e r p 项目或 财务信息更新都需要进行新的认证。从短期来看，c i o 应记录可能改变财务流程或内部 控制的系统变化，并向c f o 、c e o 以及风险管理或法规遵从委员会报告这些变化。从长 期来看，c i o 应开发法规遵从管理架构以满足长期的法规遵从要求，尤其应将重点放在 业务流程管理和记录管理上。 2 3 遵从$ o x 的信息安全管理原则 动态性和持续性原则 s o x 要求企业在周期性的信息发布中必须及时、准确地披露信息系统的变化并评估 系统存在的风险与隐患，考虑到信息系统风险本身具有动态变化的特点，并结合对信息 安全管理流程的分析，这里提出了信息系统的安全管理要遵循的动态性原则和持续性原 则。 信息安全管理的动态性原则来源于风险的动态性。信息系统的风险并不是一成不 变的，它是随着时间而动态变化的。比如操作系统有新的威胁的产生、物理设备随着运 转时间的延长其失效的概率加大、信息系统的各组成部分的风险比重随着组织业务的变 化而使总的风险构成发生变化等。风险的这些变化促使企业必须采取相应的安全管理措 施，即动态的安全管理，如当业务流程变更和关键岗位调整时要进行新的风险评估等。 信息安全管理的持续性包括信息安全管理各个环节之间的连续性和信息安全管理 的持之以恒性。各个环节之间的持续性要求安全管理的各个环节形成一个统一的整体， 衔接紧密：而持之以恒则要求安全管理的生存期伴随着信息系统的生命周期，双方共存 共消。当新的信息系统建立运转时，要同步建立信息安全管理系统：只有当信息系统消 亡时，安全管理才会随之消亡。 动态性原则和持续性原则是信息安全管理的一般性原则。企业在建成信息安全管理 体系，完成了由风险评估、风险控制与风险接受三部分所构成的一个安全管理流程之后， 遵从萨班斯法案的信息安全管理研究 将风险控制在一个可以接受的水平，并不意味着信息安全管理工作的结束。安全管理的 动态变化的过程特性和持续性原则，要求组织继续实施动态的风险评估和风险控制，以 便及时识别出现的风险并进行有效的控制和降低。 安全管理的p d c a 模式，即p a n ( 策划) - d o ( 执行) - c h e c k ( 检察) - a c t i o n ( 措施) 模式， 就体现了动态性原则和持续性原则，如图2 所示。 。q 。 计划和设计建皱和蜜藏 维护和玛l 迸蒜舒取虢控 “厂、“ 厶、 幽2p d c a 过程模型 p d c a 的四个模块的识别定义如下： ( 1 ) 计划( p l a n ) 根据组织的需求和法律法规要求，定义信息安全管理体系的范围和 方针，鉴别和评估业务风险，建立控制目标和方式： ( 2 ) 实施( o o ) ：按照选定的控制目标和方式进行信息安全控制： ( 3 ) 检查( ( c h e c k ) ：监控控制的绩效，审查变化中环境的风险水平，执行内部信息安 全管理体系审计，并报告审计结果： ( 4 ) 改进( ( a c t i o n ) ：针对方针适宜性进行评审和评估，改进控制措施以满足环境的 变化。 安全管理的p d c a 模式从安全需求和期望出发，将安全管理的计划、实施、检查和 改进四个环节链接成一个环状的循环过程，在每个环节中适应风险的变化而变化，并从 一个环节适度的过渡到下一个环节，体现了安全管理的动态性原则；同时，作为一个环 状，它循环往复，环节之间密切衔接，体现了安全管理的持续性原则。 另外遵从s o x 的安全管理还需要从遵从s o x 的战略与信息系统的规划、管理与技术 能力、企业文化与执行力等角度考虑。具体应该关注： 战略优先，合理保护：信息安全工作应服从组织信息化建设总体战略和s o x 遵 1 4 n u 北京交通大学硕士学位论文 从战略，逐步实现系统安全体系的统一。在此前提之下，追求满足法规遵从的安全， 合理保护组织信息资产，安全投入与资产的价值应相匹配，以避免太多资源的浪费。 统筹考虑，统一规划：信息安全取决于整个系统中最薄弱的环节。“一点突破， 全面突破”，单个系统考虑安全问题并不能真正有效的保证安全，需要从整体i t 体 系层次建立全面安全架构，统筹考虑才能全面防护。 集中管理，重点防护：统筹设计安全总体架构，建立规范、有序的安全管理流 程，集中管理各系统的安全问题，避免安全“孤岛”和安全“短板”。 三分技术，七分管理：管理是信息系统安全的核心，技术是安全管理的保证。 只有制定完整的规章制度、行为准则并和安全技术手段合理结合，网络系统的安全 才会有最大的保障。只有将企业的执行文化和管理目标结合起来，s o x 法案遵从目 标才能真正实现。 遵循动态性和持续性原则的信息安全管理实施序列图 动态性和持续性原则贯穿了信息安全管理的整个流程，是指导信息安全管理的基本 准则。借鉴6 s 7 7 9 9 国际标准，遵循动态性和持续性原则，并结合实践，这里给出一个 供参考的信息安全管理序列图，如图3 所示： 一一一飞 鱼百”一。b旦 一一。汐 图3 信息安全管理实施序列图 实施序列是一个闭环过程，首先制定信息安全政策和方针，建立信息安全管理体系， 并对信息系统进行风险评估和分析，锝出信息系统的总体风险指数值，并得到各个控制 对象的弱点和不足之处。然后，实旌严格的风险管理和控制，并有针对性的采取强化措 遵从萨班斯法案的信息安全管理研究 施来提高某个控制对象或是某个控制措施的抗攻击能力，降低他们的风险指数，接着， 进行残余风险的评价过程，并进行管理评审。至此，管理的一个运行环已经完成。但是， 风险管理没有止境，是一个循环往复的过程，当前的评审结果又将是进行下一轮风险评 估和安全管理的前提，某一个环节的风险控制和管理措施也将是下一环节风险管理和控 制的基础。信息系统的某一个方面的变化，都会要求进行新的风险评估并开始新的信息 安全管理的循环。 实施序列要求实现并体现了信息安全管理的以下原则： 信息安全策略一为信息安全管理提供导向和支持，是信息安全管理的基础： 控制目标与控制方式的选择建立在风险评估的基础之上： 考虑控制费用与风险平衡的原则，将j ) c i l 险降到组织可以接受的水平： 预防控制为主的思想原则： 信息安全管理的持续性原则： 信息安全管理的动态性原则： 信息安全管理的组织全员参与的原则。 企业可以参照本序列图，根据企业自身的安全要求建立自己完整的信息安全管理体 系并实施与保持，采用动态的、系统的、制度化的信息安全管理方式、用最低的成本， 实现信息安全管理目标，保证法案遵从的贯彻落实。 北京交通大学硕士学位论文 3 、遵从s o x 法案的信息安全解决方案 由于s o x 法案遵从涉及到企业治理的方方面面，并且在法案遵从上美国证券交易委 员会仅仅提供了宽泛的、模糊的硬性规定，并没有提供可供企业参照的实施指导准则和 参考建议，同时我们也需要注意到信息安全涉及到组织、人、流程和技术等诸多要素， 并不是所有的信息安全解决方案都能对s o r 遵从带来帮助，企业只要满足s o x 法规遵从 的要求即可( 通过外部独立审计机构审计) 。虽然美国证券交易委员会要求企业尽“最 大努力程度”来保证报表信息的准确性和完整性，但是作为对投资者负责的企业必须考 虑s o x 法规遵从成本、企业信息化的战略规划和当前i t 系统的安全等级，如果整个i t 在安全性建设方面已经相对完备，则企业仅需做针对法规遵从的部分做改进完善即可， 无需为了遵从s o x 法规而否定已经积累的宝贵经验和有效的信息安全解决方案。如经过 评估，发现i t 系统在安全方面距离法规遵从距离太大，则企业应该利用法规遵从作为 契机，全面规划并分阶段逐步落实对i t 系统的安全整改工作，从而同时达到提升企业 i t 系统的治理能力。 围绕s o x 法案对企业信息安全方面提出的保证财务报告的准确性和内控报告的有效 性等方面要求，本文将对遵从s o x 法案的信息安全解决方法做系统阐述，希望能够为在 美上市的中国大陆企业在法规遵从上提供参照方案。 3 1 身份管理 在满足s o x 财务要求和内部控制需求方面，每个公司所遇到的问题复杂程度以及需 要做出的努力各不相同。i t 部门应当结合当前的信息安全控制情况来实现公司对s o x 遵从的目标。关键控制的范畴之一是对“程序及数据访问权”的控制，对程序和数据的 访问施加控制是十分重要的。为了满足这种需要，i t 部门必须实施强大的责任性控制， 严防未授权及不适当系统的访问，同时还要避免来自于内部与外部的威胁。除了认证控 制外，s o x 还要求执行“职责分离”控制流程。程序的访问及功能使用权必须仅限于授 权用户。 在s o x 规则下，安全监控是重中之重。恰当的监控有助于减少未授权访问的风险， 降低未授权交易及产生错误报告的风险，并减少对关键系统的访问。为了确保关键资源 安全性，第一条防线应该是认证与授权确保系统及资源访问授予正当的用户。 遵从萨班斯法案的信息安全管理研究 理解信息安全保密性的理论很简单，但大多数企业目前仍然采用多重数据库来存储 用户账户和访问政策信息如：l d a p ，a c t i v ed i r e c t o r y ，n o v e l le d i r e c t o r y ，u n i xn i x 等等。在非同一性独立的系统间保持各自独立的账户信息，就会产生管理的复杂性，管 理工作量加大，从而使s o x 规则实施变得更加困难。企业用户在身份管理方面存在的问 题通常有： 企业中不同数据库所存储的认证机密会产生用户访问问题，管理任务大，帐户 及政策的不一致，会增加管理失误的机会 非安全的主机上所存储的数据库会暴露关键性的个人信息，导致未授权的访问。 公司原来员工、承包商、合作伙伴及分销商所遗留下来的过时账户，并未及时 予以删除，会大大破坏公司的安全性 企业的认证政策不一致，可能会导致未授权访问 各不相同的数据库不能提供统一的账户信息、认证政策，使得管理及访问跟踪 变得很困难 为了解决上述问题，需要对身份管理方案做进一步的集成和优化，需要将新的方法 融入到认证和授权过程中，并能够为用户活动提供可预见的访问路径。身份管理是一个