萨班斯对IT系统的要求在于运维的安全性、可用性和对财务制度的符合性。
萨班斯之惑
萨班斯之惑
启明星辰在2005年开始为客户做萨班斯法案方面的安全服务工作之前,自身已经有了4、5年的技术经验积累,包括风险评估、管理咨询等。启明星辰是国内最早从事专业安全服务的公司,包括前文提到的运营商,此前也是启明星辰的重点客户,为其做过很多次各种角度的安全服务。
而在当时,针对萨班斯法案的理解,不仅是用户包括启明星辰自己也产生过相关的疑问。第一,已经有大型的国外审计公司帮用户做过IT 审计了,提供了全面的表单和风险点、整改项,那么启明星辰还能为用户做什么,安全厂商的价值和意义如何体现?第二,启明星辰所做的工作与萨班斯法案到底有多大的契合度?
众所周之,萨班斯法案在404条款里面提到了“内控体系”,而企业的内控很大程度上就是IT内控,IT内控包括很多层面:可用性或者对制度的符合程度、内部严格的管理流程等。具体到信息安全工作来讲,这个外延并不清晰。“当然这种内控管理,不管是管理制度、管理活动还是相关的记录,其实如果从安全视角来看,大部分都跟安全有关,但是并没有都标明安全的称号。”陈博士说。
“大家都认为404条款是萨班斯法案里面最严厉、最昂贵的一条。所以带着这两个疑问,启明星辰做了很多思考,在已有经验的基础上,结合一系列具体的项目实践,我们对萨班斯有了更高的认识,也提升了风险管理的能力。可以说,启明星辰目前在萨班斯的IT内控方面的解决方案和经验在业界是相当领先的。”
此后的数十个成功案例表明,启明星辰在IT内控领域已经走在了行业的最前面。与财务审计公司相比,启明星辰在IT风险管理方面的专业性更强,视角更独到。同时,启明星辰在这方面的人员投入也非常大,整个公司有将近100人的一个专业服务团队。而据记者了解,专做萨班斯的国外财务审计公司,他们在IT方面的人员投入,10多个人就算多的了,很多时候是几个人。
针对萨班斯的产品和解决方案,启明星辰也陆续进行了完善。狭义的方面,启明星辰专门针对运营商开发了4A审计平台和解决方案,可以说完全是契合萨班斯要求的;另外公司的主打安全产品也针对内控内审的要求为用户实现了定制,比如天玥审计产品、天清汉马UTM(统一威胁管理)、泰合安全管理平台(SOC)等,都与萨班斯紧密相关。
启明星辰专业安全服务中心在2008年开始,陆续推出了六大类安全服务、17个标准化的产品包,涵盖安全风险评估类、安全管理咨询类、等级保护咨询类、安全审计咨询类、安全管理监控服务类和综合安全服务类等服务。其中针对境内境外上市的中国公司和央企的风险管理,重点推出了合规审计咨询服务,包含4个服务产品包,从服务内容、服务流程、服务实施到相关的表格表单、项目管理都形成了比较成熟的体系。
网友评论