隨著經濟全球化的發展,很多國內企業正逐漸通過境外融資、上市,進而求得進軍國際市場、規模化發展。在眾多的境外融資渠道中,赴美上市、融資又因其效果的明顯而普遍受到國內企業的青睞。而赴美上市,就必須通過薩班斯法案(Sarbanes-Oxley法案,簡稱SOX法案)的要求。針對于公司治理的SOX法案,雖然主要指向財務管理、經營管理,要求企業保證財務數據的真實性、全面性和及時性,但對于企業來說,這些規則的落腳點,恰恰是IT系統的有效性和可靠性的體現。 當前,IT系統越來越多地滲透進了企業業務活動的方方面面。高效、可靠的IT系統,不但是企業高效運轉的有力工具,更可為企業提供必要數量的控制程序和審核依據(例如SOX法案中的一些具體要求)。因此,遵循SOX法案的程序,就需要包括基于IT系統的有效控制和管理。對大多數企業而言,IT系統在建立與保持有效的財務報告內部控制方面,將發揮越來越重要的作用!
日前,中國通信企業協會通信網絡運維專業委員會,在北京舉行的“第三屆中國通信網絡運維年會”上,來自相關政府部門、運營商、設備提供商、系統集成商、專業服務商和咨詢機構的代表,共同商討了國內通信網絡運維管理發展大計。其中,針對電信企業境外融資發展成為了一個熱點話題,而涉及SOX法案的規范化要求更被與會者激烈討論。在這一熱議話題中,IT系統必須落實并符合SOX條款要求的發展趨勢,被全體與會者所肯定。會上,北京卓益達科技有限公司針對性地推出了《電信運營商IT系統薩班斯法案符合性解決方案》。
卓益達科技此次推出的解決方案,基于SOX法案的規定和要求,并充分參考了COSO委員會提出的內控通用模型——《企業風險管理——整體框架》,以及國際信息系統審計與控制協會(ISACA)制定的“信息及相關技術控制目標”(Control Objectives for Information and Related Technology,COBIT)。通過后兩者與薩班斯法案要求之間的整合,建立起了一套完整的應用模型(如圖1所示)和相關的整體解決方案。
【圖1:卓益達科技《電信運營商IT系統薩班斯法案符合性解決方案》應用模型】
從電信運營商的角度來說,其IT系統的管理在面對SOX法案時的挑戰,主要集中在6類控制缺陷方面:
1) 大量用戶擁有“超級用戶”的訪問權限;
2) 不能對管理員的操作提供完整的登錄日志及行為記錄;
3) 管理員所使用的客戶端本身存在安全漏洞;
4) 已終止雇用關系的員工或已經離開的供應商人員仍然擁有系統訪問權;
5) 用戶賬號的權限設定不明確或者不嚴謹;
6) 口令策略不嚴謹。
針對上述這些問題,卓益達科技的解決方案通過安全的統一接入和日志審核系統,有效地修補了這些缺陷,進而使得電信運營商能夠在IT運維方面,與SOX法案要求的企業運維規范有效對接。