卓益达科技助力企业IT治理

1、卓益达科技助力企业IT治理集团标准化办公室：VV986T-J682P28-JP266L8-68PNN卓益达科技助力企业IT治理随着经济全球化的发展，很多国内企业正逐渐通过境外融资、 上市，进而求得进军国际市场、规模化发展。在众多的境外融 资渠道中，赴美上市、融资又因其效果的明显而普遍受到国内 企业的青睐。而赴美上市，就必须通过萨班斯法案（Sarbanes- Oxley法案，简称SOX法案）的要求。针对于公司治理的SOX法 案，虽然主要指向财务管理、经营管理，要求企业保证财务数 据的真实性、全面性和及时性，但对于企业来说，这些规则的 落脚点，恰恰是IT系统的有效性和可靠性的体现。当前，IT系统越

2、来越多地渗透进了企业业务活动的方方而面。 高效、可靠的IT系统，不但是企业高效运转的有力工具，更可 为企业提供必要数量的控制程序和审核依据（例如SOX法案中的 一些具体要求）。因此，遵循SOX法案的程序，就需要包括基于 IT系统的有效控制和管理。对大多数企业而言，IT系统在建立 与保持有效的财务报告内部控制方面，将发挥越来越重要的作 用！ 日前，中国通信企业协会通信网络运维专业委员会，在北京举 行的“第三届中国通信网络运维年会”上，来自相关政府部 门、运营商、设备提供商、系统集成商、专业服务商和咨询机 构的代表，共同商讨了国内通信网络运维管理发展大计。其 中，针对电信企业境外融资发展成为了一个

3、热点话题，而涉及 sox法案的规范化要求更被与会者激烈讨论。在这一热议话题 中，IT系统必须落实并符合SOX条款要求的发展趋势，被全体 与会者所肯定。会上，北京卓益达科技有限公司针对性地推出 了电信运营商IT系统萨班斯法案符合性解决方案。卓益达科技此次推出的解决方案，基于SOX法案的规定和要 求，并充分参考了 COS0委员会提出的内控通用模型一一企业 风险管理一一整体框架，以及国际信息系统审计与控制协会 （ISACA）制定的“信息及相关技术控制目标”（ControlObjectives for Information and Related Technology, COBIT） o通过后两者与

4、萨班斯法案要求之间的整合，建立起了 一套完整的应用模型（如图1所示）和相关的整体解决方案。从电信运营商的角度来说，其IT系统的管理在面对SOX法案时 的挑战，主要集中在6类控制缺陷方面：1）大量用户拥有“超级用户”的访问权限；2）不能对管理员的操作提供完整的登录日志及行为记录；3）管理员所使用的客户端本身存在安全漏洞；4）己终止雇用关系的员工或己经离开的供应商人员仍然拥有系 统访问权;5）用户账号的权限设定不明确或者不严谨；6）口令策略不严谨。针对上述这些问题，卓益达科技的解决方案通过安全的统一接 入和日志审核系统，有效地修补了这些缺陷，进而使得电信运 营商能够在IT运维方而，与SOX法案要求

5、的企业运维规范有效 对接。卓益达科技的电信运营商IT系统萨班斯法案符合性解决方 案采取了带外管理和带内管理方式有机结合，通过部署加固 代理服务器，进而实现管理平台和应用服务器逻辑上的物理隔 离，保证了对应用服务器访问的安全性；同时，管理员只能通过 带外方式，由Console 口登录代理服务器，实现了对系统的保 护；另外，通过部署统一接入服务器以及syslog/NFS服务器， 实现统一接入、审计和认证管理（系统拓朴如图2所示）。卓益达科技电信运营商IT系统萨班斯法案符合性解决方案 的主要功能和特点如下（具体内容可登录获取技术信息）：1、用户管理层一一提供：基于角色的用户与账号管理；用户账 号管理

6、的审核和报告。2、系统授权及认证管理一一提供：基于角色的访问控制；基于 策略的访问控制；系统用户登录管理；支持多种认证方式。3安全审计记录提供：系统安全审计记录；行为安全审计记录。据卓益达科技相关负责人介绍，在本方案的部署实施中，用户 无须对原有应用系统做任何更改，同时，还可以根据客户的需 求定制客户化界面。从整合方案的角度来看，北京卓益达科技有限公司能够为依据 SOX法案需求建设的企业，提供保障实施强制第三方审计的帮 助，亦能够帮助审计人员或者内部管理人员看到真正重要的事 件和信息。相信，只要通信行业及其他行业的用户，充分利用这样的标准 化系统解决方案，就一定能够帮助企业管理人员从“加强审

7、计”和“实施内控”两个方面满足萨班斯法案的要求。背景知识：关于萨班斯法案2002年7月，美国国会正式通过了萨班斯法案（Sarbanes- Oxley法案，简称SOX法案）。该法案明确规定：企业的管理层 对财务信息披露和内部控制效力负有直接责任，公司的内控措 施，应由管理层声明有效并由独立审计机构岀具内控审计意 见，并提交美国证监会。SOX法案中的第“404条款”（针对财务报告的内部控制行为的 条款）要求：1、公司管理层在建立和维护内部控制系统及相应控制程序方而 负有充分的责任；2、发行人管理层最近财政年度末对内部控制体系及控制程序有 效性的评价SOX法案，从其本质上来说，其实是针对企业治理的非常严格 的一套规定。要求企业的内控活动，不论是人还是信息系统的 操作流程，都必须明确地定义并保存相关记录，对审计过程也 有存档的要求。因此，对影响财务报告的信息系统的IT控制， 也是SOX内部控制的核心组成之一。这就要求IT完善治理机 制，进行IT内部控制和信息系统审计，以保证达到S