《sox法案与信息安全初探》由会员分享,可在线阅读,更多相关《sox法案与信息安全初探(23页珍藏版)》请在金锄头文库上搜索。
1、 2005 Aryasec Information Technology Limited2005 Aryasec Information Technology Limited 萨班斯法案与信息安全初探萨班斯法案与信息安全初探萨班斯法案与信息安全初探萨班斯法案与信息安全初探 张耀疆张耀疆张耀疆张耀疆CISSP, CISA, BS7799LA, ITIL Foundation CISSP, CISA, BS7799LA, ITIL Foundation 2005 Aryasec Information Technology Limited 2 背景介绍背景介绍背景介绍背景介绍 SOXSOX法案简介
2、法案简介 SOXSOX法案与信息安全法案与信息安全 借助借助BS7799BS7799来符合安全需求来符合安全需求 小结小结 议题 议题 2005 Aryasec Information Technology Limited 3 一系列财务丑闻引发信用危机一系列财务丑闻引发信用危机一系列财务丑闻引发信用危机一系列财务丑闻引发信用危机 ? 安然(ENRON),全球第一大能源交易商, 2001年11月承认多年来非法虚报利润、隐藏债 务和损失。2001年12月,申请破产。 ? 世界通信公司(WORLDCOM),美国第二 大长途电话和互联网数据传输公司,2002年6月 承认多年来非法虚报虚增利润,同年7
3、月,申请 破产保护。 ? 安达信(ANDERSEN),曾是全球收入总额 最高且最有影响的会计师事务所和财务咨询公 司。因为涉嫌造假的安然公司及世通公司提供财 务保教审计,2002年6月,被裁定触犯妨碍司法 罪。2002年8月底,安达信宣布停运。 2005 Aryasec Information Technology Limited 4 美国会计丑闻影响极其深远美国会计丑闻影响极其深远美国会计丑闻影响极其深远美国会计丑闻影响极其深远 ? 世界通信公司会计造假案、安然事件、安达信解体和“9 .11事件”并称为美国金 融证券市场遭遇的“四大危机”; ? 危机导致投资人信心丧失信心丧失,导致公共市场严
4、重衰退,动摇了公众对会计师行业 的信心。危机引起的一系列“多米诺骨牌”效应不啻是对美国公司治理及证券业甚至 于世界证券业的一个打击; ? 在处理这些事件的过程中,法律的漏洞以及制度的缺陷显露无疑; ? 公共急切呼唤信任回归; ? 于是,美国证券交易委员会(SEC)协同美国国会展开行动,颁布新的法律。 2005 Aryasec Information Technology Limited 5 背景介绍背景介绍 SOXSOX法案简介法案简介法案简介法案简介 SOXSOX法案与信息安全法案与信息安全 借助借助BS7799BS7799来符合安全需求来符合安全需求 小结小结 议题 议题 2005 Ary
5、asec Information Technology Limited 6 20022002年美国颁布萨班斯法案年美国颁布萨班斯法案年美国颁布萨班斯法案年美国颁布萨班斯法案 ? 针对安然、世通等财务欺诈事件,美国国会出台2002 年公众公司会计改革和投资者保护法案(Public Company Accounting Reform and Investor Protection Act of 2002); ? 该法案由美国众议院金融服务委员会主席奥克斯利 (Oxley)和参议院银行委员会主席萨班斯(Sarbanes) 联合提出,又名萨班斯法案,简写为SOX法; ? 该法案对美国1933年证券法、
6、1934年证券交易 法作了不少修订,在会计职业监管、公司治理、证券市 场监管等方面作出了许多新的规定; ? 2002年7月30日,美国总统布什签署生效。 2005 Aryasec Information Technology Limited 7 ? 法案的目的是 根据美国证券法,通过提高公司信息披露的准确性和可靠性根据美国证券法,通过提高公司信息披露的准确性和可靠性, 增加公司责任,为上市公司会计和审计的不适当行为规定更加严厉的处罚,同时 保护投资者。 , 增加公司责任,为上市公司会计和审计的不适当行为规定更加严厉的处罚,同时 保护投资者。 ? 法案广泛地适用于所有根据美国1934年证券交易法
7、向或者被要求向证券交易 委员会(SEC)递交定期报告的公司,包括美国和非美国公司。 ? 最后修订完稿的SOX法案共分11章: ? 第1至第6章主要涉及对会计职业及公司行为的监管; ? 第8至第11章主要是提高对公司高管及白领犯罪的刑事责任。 ? 其中,法案第302和第404部分,重点关注的是企业内控的问题。 ? SOX 要求,大多数的美国注册上市公司在2004 年12 月31 日前必须符合 SOX404 的要求,而对于小公司和外国公司的最后期限是2005 年12 月31 日。 SOXSOX法案总体介绍法案总体介绍法案总体介绍法案总体介绍 2005 Aryasec Information Tec
8、hnology Limited 8 SOXSOX在中国在中国在中国在中国 2005 Aryasec Information Technology Limited 9 背景介绍背景介绍 SOXSOX法案简介法案简介 SOXSOX法案与信息安全法案与信息安全法案与信息安全法案与信息安全 借助借助BS7799BS7799来符合安全需求来符合安全需求 小结小结 议题 议题 2005 Aryasec Information Technology Limited 10 SOXSOX对公司不同部门的影响程度对公司不同部门的影响程度对公司不同部门的影响程度对公司不同部门的影响程度 2005 Aryasec I
9、nformation Technology Limited 11 ? SOX法案将对财务报告的内部控制内部控制作为关注的具体内容。要求高管报告公司对 财务报告的内部控制,并要求独立审计师证实管理层报告的准确性; ? 内部控制(internal control,IC),被广泛定义为一种过程(process),被企 业董事会、高管及其他人员所实施,用来提供对下列目标达成的合理的保证: ? 运营的效力(effectiveness)和效率(efficiency); ? 财务报告的可靠性(reliability); ? 对适用法律法规的符合性(compliance)。 ? 内部控制包括IT一般性控制和应
10、用控制: ? IT general controls(Entity-Level)针对基本的计算基础设施,包括物理和逻辑 网络安全、DB管理、系统开发、变更控制、灾难恢复等 ? Application controls(Process-Level)针对支持财务报告的特定应用 内部控制成为我们关注的焦点内部控制成为我们关注的焦点内部控制成为我们关注的焦点内部控制成为我们关注的焦点 2005 Aryasec Information Technology Limited 12 ITIT一般性控制撑起了一把保护伞一般性控制撑起了一把保护伞一般性控制撑起了一把保护伞一般性控制撑起了一把保护伞 Weak G
11、eneral Computer ControlsStrong General Computer Controls 自动化的控制程序和使用计算机生成信息的手工控 制程序,有赖于一般性计算机控制的效力 2005 Aryasec Information Technology Limited 13 SOXSOX对对对对ITIT及信息安全的影响及信息安全的影响及信息安全的影响及信息安全的影响 尽管法案或尽管法案或尽管法案或尽管法案或SECSEC规则都没有规则都没有规则都没有规则都没有 直接提及直接提及直接提及直接提及ITIT或者信息安全,但对或者信息安全,但对或者信息安全,但对或者信息安全,但对 绝大多
12、数现代企业来说,财务报绝大多数现代企业来说,财务报绝大多数现代企业来说,财务报绝大多数现代企业来说,财务报 告无可避免地会与信息技术联系告无可避免地会与信息技术联系告无可避免地会与信息技术联系告无可避免地会与信息技术联系 在一起;换句话说,如果某些关在一起;换句话说,如果某些关在一起;换句话说,如果某些关在一起;换句话说,如果某些关 键系统失效了,企业正确报告其键系统失效了,企业正确报告其键系统失效了,企业正确报告其键系统失效了,企业正确报告其 财务状况的能力就可能严重受财务状况的能力就可能严重受财务状况的能力就可能严重受财务状况的能力就可能严重受 限,甚至短期内丧失。限,甚至短期内丧失。限,
13、甚至短期内丧失。限,甚至短期内丧失。 2005 Aryasec Information Technology Limited 14 ? 基础设施安全(基础设施安全(Infrastructure Security) 需要有安全的操作系统、数据库、网络、防火墙和基础设施 ? 访问控制(访问控制(Access Control)和变更控制()和变更控制(Change Control) 需要有程序能控制和确保对生产系统变更的恰当批准 通过技术性控制来限制和控制开发者访问生产系统 审计师会寻找过度访问、缺乏职责分离、不恰当的访问授权的问题,他们也会测试关键过程,以 确定控制的有效性 ? 灾难恢复(灾难恢复
14、(Disaster Recovery) 定位在基本的财务数据备份和恢复上 ? 开发及实施活动(开发及实施活动( Development And Implementation Activities ) 在将新系统或系统变更引入到生产环境之前,需要内建恰当的控制 审计师可能会评估新的财务系统;数据转换和测试是关键 ? IT治理(治理(IT Governance) IT是否存在清晰的策略、程序和沟通?职责分离是否明确?IT组织是否有合适的“上层论调“? TOP5 TOP5 404 IT404 IT控制需求控制需求控制需求控制需求 2005 Aryasec Information Technology
15、 Limited 15 背景介绍背景介绍 SOXSOX法案简介法案简介 SOXSOX法案与信息安全法案与信息安全 借助借助借助借助BS7799BS7799来符合安全需求来符合安全需求来符合安全需求来符合安全需求 小结小结 议题 议题 2005 Aryasec Information Technology Limited 16 BS7799BS7799符合符合符合符合COSOCOSO控制框架控制框架控制框架控制框架 127127项控制措施项控制措施项控制措施项控制措施 2005 Aryasec Information Technology Limited 17 BS7799BS7799满足满足满
16、足满足SOXSOX的安全控制要求的安全控制要求的安全控制要求的安全控制要求 基础设施安全基础设施安全基础设施安全基础设施安全 持续性计划持续性计划持续性计划持续性计划 访问控制访问控制访问控制访问控制 实体级控制流程级控制 应用系统开发应用系统开发应用系统开发应用系统开发 与实施控制与实施控制与实施控制与实施控制 BS7799标准模块 标准模块BS7799BS7799标准模块 标准模块标准模块标准模块 通信与操作管理通信与操作管理 通信与操作管理通信与操作管理通信与操作管理通信与操作管理 访问控制访问控制 访问控制访问控制访问控制访问控制 业务持续性计划业务持续性计划BCP 业务持续性计划业务持续性计划业务持续性计划业务持续性计划BCPBCP 系统开发与维护系统开发与维护 系统开发与维
