【正文】 ess Consulting Services工具、 Tivoli管理解決方案和 Lotus Workplace進(jìn)行了集成，用來(lái)指導(dǎo)公司遵守法案并且完善內(nèi)部控制。違反該法案可能導(dǎo)致高達(dá) 500萬(wàn)美元的罰款或 20年刑期。 Electronic Commerce 電子商務(wù) 第 17講 附件 19/36 針對(duì) SOX法案的信息安全方案 ? 啟明星辰公司的解決方案 Electronic Commerce 電子商務(wù) 第 17講 附件 20/36 針對(duì) SOX法案的信息安全方案 ? 啟明星辰公司的解決方案 ?安全管理監(jiān)控服務(wù)是網(wǎng)絡(luò)與信息安全系統(tǒng)的委托管理與服務(wù)，是風(fēng)險(xiǎn)管理的過(guò)程化實(shí)施，是啟明星辰公司為企業(yè)提供的專(zhuān)家級(jí)服務(wù)體系。 Electronic Commerce 電子商務(wù) 第 17講 附件 16/36 SOX法案與信息安全 ? 電子表格控制 ?在 SOX法案中需評(píng)價(jià)的電子表格是指由用戶(hù)程序（如Excel、 Access、 Lotus等）編制的各種支持財(cái)務(wù)報(bào)告及披露的電子表格或文本文件，包括直接或間接作為財(cái)務(wù)記賬依據(jù)的電子表格、用于財(cái)務(wù)相關(guān)信息核對(duì)的電子表格、以及支持財(cái)務(wù)信息披露的電子表格，所涉及的使用部門(mén)通常包括財(cái)務(wù)部門(mén)編制及使用的電子表格以及由其他業(yè)務(wù)部門(mén)傳遞至財(cái)務(wù)部門(mén)供其作為會(huì)計(jì)核算及報(bào)告披露依據(jù)的電子表格。如 2022年 1月 11日的 Compliance Week的報(bào)道，在 2022年 SEC上登記的上市公司最典型的問(wèn)題之一就是 SoD。 物理設(shè)備的保護(hù)。 例外情況的發(fā)現(xiàn)和解決。信息系統(tǒng)總體控制涵蓋了 IT管理和運(yùn)營(yíng)所涉及的各個(gè)方面 : ① 1. 控制環(huán)境 : 包括信息技術(shù)組織、人力資源管理、信息溝通、風(fēng)險(xiǎn)評(píng)估、監(jiān)控等。 ?最后修訂完稿的 SOX法案共分 11章，第 1至第 6章主要涉及對(duì)會(huì)計(jì)職業(yè)及公司行為的監(jiān)管，第 8至第 11章主要是提高對(duì)公司高管及白領(lǐng)犯罪的刑事責(zé)任。 Electronic Commerce 電子商務(wù) 第 17講 附件 5/36 背景資料 ?SOX法案的由來(lái)： ?2022年底美國(guó)安然公司在一片嘩然中轟然倒臺(tái)，由此引發(fā)的“安然事件”至今令許多人記憶猶新。 ?嚴(yán)格地說(shuō)， SOX法案并沒(méi)有直接對(duì)信息系統(tǒng)提出要求，但法案中 404條款 對(duì)內(nèi)控體系建設(shè)有明確要求 : 公司除了有正確完整的財(cái)務(wù)報(bào)表外，還要有確保報(bào)表正確而完整的控制體系，公司管理層每年需對(duì)內(nèi)控體系的運(yùn)行效果進(jìn)行評(píng)估，外部審計(jì)師要對(duì)內(nèi)部控制體系和控制效果進(jìn)行測(cè)試并出具審計(jì)意見(jiàn)。 ④ 4. 系統(tǒng)變更 : 包括日常變更、緊急變更等。 ③ 3. 有效性 :交易被適當(dāng)授權(quán) 。 ③ 3. 該系統(tǒng)是否生成關(guān)鍵的表單和數(shù)據(jù)為其他作為記賬依據(jù)或生成財(cái)務(wù)報(bào)表的系統(tǒng)使用 。 ?電子表格中的公式、宏及表間鏈接等功能增加了電子表格計(jì)算的復(fù)雜程度，同時(shí)也增加了電子表格數(shù)據(jù)完整性及計(jì)算準(zhǔn)確性的風(fēng)險(xiǎn)。 ?對(duì)電子表格的控制包括開(kāi)發(fā)控制、變更控制、版本控制、存取控制、輸入控制、安全控制、存儲(chǔ)歸檔控制、備份控制、文檔記錄、權(quán)限控制、邏輯檢查。 ? 此外，在整個(gè)管理監(jiān)控過(guò)程中，對(duì)企業(yè)相關(guān)人員進(jìn)行安全實(shí)踐培訓(xùn)。 Electronic Commerce 電子商務(wù) 第 17講 附件 26/36 針對(duì) SOX法案的信息安全方案 ? IBM公司的解決方案： ?明智的公司不會(huì)僅僅遵守該法案，而是利用這個(gè)機(jī)會(huì)來(lái)設(shè)計(jì)內(nèi)部系統(tǒng)，以便提高效率。本產(chǎn)品幫助公司提供一個(gè)公共的平臺(tái)，用來(lái)記錄、評(píng)估和報(bào)告整個(gè)企業(yè)的控制管理狀態(tài)。 ?Tivoli Access Manager在該零售商的整個(gè)財(cái)務(wù)系統(tǒng)中實(shí)現(xiàn)了一個(gè)一致且通用的訪問(wèn)策略。 ② 系統(tǒng)授權(quán)及認(rèn)證管理 —— 提供：基于角色的訪問(wèn)控制；基于策略的訪問(wèn)控制；系統(tǒng)用戶(hù)登錄管理；支持多種認(rèn)證方式。 Electronic Commerce 電子商務(wù) 第 17講 附件 35/36 SOX法案對(duì)信息安全行業(yè)的影響 ? SOX對(duì)我國(guó)的影響 ?我們首先看一組數(shù)據(jù)： IDC的最新報(bào)告顯示： ? 2022年，我國(guó) IT總體投資為 ，而信息安全的總體投資才區(qū)區(qū) ，僅占總體投資的 %！ ? 2022年網(wǎng)絡(luò)安全預(yù)期的投資增長(zhǎng)率為 %的，但實(shí)際只達(dá)到了%，嚴(yán)重低于預(yù)期！ ? 再?gòu)闹袊?guó)和韓國(guó)的數(shù)據(jù)比較看， 2022年，韓國(guó)的信息安全投資達(dá)到了 ，是中國(guó)的 ！ ? 由此可見(jiàn)中國(guó)的信息安全投入處于怎樣一個(gè)低下的水平！ Electronic Commerce 電子商務(wù) 第 17講 附件 36/36 本講結(jié)束 謝謝 ！