【正文】 404條要求上市公司的管理層提交一份內(nèi)部控制效率年度報(bào)告。 ?對電子表格的控制包括開發(fā)控制、變更控制、版本控制、存取控制、輸入控制、安全控制、存儲(chǔ)歸檔控制、備份控制、文檔記錄、權(quán)限控制、邏輯檢查。 Electronic Commerce 電子商務(wù) 第 17講 附件 13/36 SOX法案與信息安全 ? 應(yīng)用系統(tǒng)控制 ?上市公司內(nèi)部可能應(yīng)用各類信息系統(tǒng)，進(jìn)行應(yīng)用系統(tǒng)控制之前，首先應(yīng)對公司應(yīng)用的信息系統(tǒng)進(jìn)行判斷，界定是否屬于與財(cái)務(wù)報(bào)告相關(guān)的關(guān)鍵應(yīng)用系統(tǒng)，判定原則包括 : ① 1. 該應(yīng)用系統(tǒng)是否用于進(jìn)行有關(guān)重要交易事項(xiàng)的生成、授權(quán)、記錄、處理或報(bào)告 。 ② 2. 信息安全 : 包括信息安全組織、邏輯安全、物理安全、網(wǎng)絡(luò)安全、病毒防護(hù)、第三方管理、事件響應(yīng)等。Electronic Commerce 電子商務(wù) 第 17講 附件 1/36 電 子 商 務(wù) Electronic Commerce 張文新 副教授 電話 ： 62333733， 13910623512 E_mail: Electronic Commerce 電子商務(wù) 第 17講 附件 2/36 第 17講（附件） SOX法案與信息安全 Electronic Commerce 電子商務(wù) 第 17講 附件 3/36 內(nèi)容提要 ?SOX法案背景 ?SOX法案涉及信息安全的主要內(nèi)容 ?針對 SOX法案的信息安全方案 ?SOX法案對信息安全行業(yè)的影響 Electronic Commerce 電子商務(wù) 第 17講 附件 4/36 背景資料 ?什么是 SOX法案： ?SOX法案即 《 薩班斯 奧克斯萊法案（ SarbanesOxley Act） 》 ，又稱 《 2022年公眾公司會(huì)計(jì)改革和投資者保護(hù)法 》 ； ?該法案于 2022年 7月由美國總統(tǒng)布什簽署發(fā)布； ?是美國政府對公司監(jiān)管的重要法律； ?美國總統(tǒng)布什在簽署“ SOX法案”的新聞發(fā)布會(huì)上稱“ 這是自羅斯?？偨y(tǒng)以來美國商業(yè)界影響最為深遠(yuǎn)的改革法案 ”。 ③ 3. 項(xiàng)目建設(shè)管理 : 包括方法論、立項(xiàng)審批、項(xiàng)目啟動(dòng)、需求分析、項(xiàng)目設(shè)計(jì)、系統(tǒng)開發(fā)實(shí)施、系統(tǒng)測試、數(shù)據(jù)移植、用戶培訓(xùn)、文檔管理、驗(yàn)收和上線后審閱、商業(yè)軟硬件外購等。 ② 2. 該系統(tǒng)是否生成關(guān)鍵的表單和數(shù)據(jù)供財(cái)務(wù)部門使用，直接作為記賬依據(jù)或生成財(cái)務(wù)報(bào)表 。 Electronic Commerce 電子商務(wù) 第 17講 附件 17/36 SOX法案與信息安全 ? 電子表格控制 ?在 SOX法案中需評價(jià)的電子表格是指由用戶程序（如Excel、 Access、 Lotus等）編制的各種支持財(cái)務(wù)報(bào)告及披露的電子表格或文本文件，包括直接或間接作為財(cái)務(wù)記賬依據(jù)的電子表格、用于財(cái)務(wù)相關(guān)信息核對的電子表格、以及支持財(cái)務(wù)信息披露的電子表格，所涉及的使用部門通常包括財(cái)務(wù)部門編制及使用的電子表格以及由其他業(yè)務(wù)部門傳遞至財(cái)務(wù)部門供其作為會(huì)計(jì)核算及報(bào)告披露依據(jù)的電子表格。據(jù)新聞報(bào)導(dǎo)預(yù)測， 2022年供應(yīng)商在幫助公司遵守法案第 404條上的收入額度將達(dá)到數(shù)十億美元，其中技術(shù)公司將囊括 15億以上的收入。 并且該用戶可以通過Microsoft Excel這樣的應(yīng)用程序?qū)?shù)據(jù)庫進(jìn)行更新，而日志不會(huì)記錄他們的行為。 ?因此，實(shí)際上是要求企業(yè) CEO必須對信息的存儲(chǔ)、保密性、真實(shí)性、可用性負(fù)責(zé)，這些正是信息安全技術(shù)和產(chǎn)品涵蓋的主要內(nèi)容，企業(yè) CEO不得不加大對信息安全技術(shù)和產(chǎn)品投入，以讓自己免于刑事責(zé)任！ ?由此，極大地刺激了信息安全產(chǎn)業(yè)在美國的發(fā)展。 Tivoli Privacy Manager形成了一道圍繞關(guān)鍵數(shù)據(jù)庫的保護(hù) 屏障 ，它能夠截獲所有系統(tǒng)調(diào)用。這對于 IBM來說是一次絕佳的機(jī)會(huì)，因?yàn)?SarbanesOxley 法案的意圖恰好與 IBM創(chuàng)建隨需應(yīng)變的目標(biāo)和獲益不謀而合。 Electronic Commerce 電子商務(wù) 第 17講 附件 18/36 針對 SOX法案的信息安全方案 ? 啟明星辰公司的解決方案 ?依據(jù)： 根據(jù)國際安全領(lǐng)域權(quán)威的 ISO 17799/27001和最符合薩班斯（ SOX）法案要求的 COBIT等標(biāo)準(zhǔn)，推出了全新的貼近電信市場需求的新一代業(yè)務(wù)系統(tǒng)安全解決方案 —— 面向業(yè)務(wù)保障的安全服務(wù)體系。 ④ 4. 對應(yīng)用系統(tǒng)的依賴程度，即是否有來自系統(tǒng)的計(jì)算結(jié)果，應(yīng)用系統(tǒng)中是否存在相應(yīng)的計(jì)算、檢查、核對過程的控制 。 ⑤ 5. 信息系統(tǒng)日常運(yùn)作 : 包括機(jī)房環(huán)境控制、日常監(jiān)控、批處理作業(yè)調(diào)