论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 15 篇帖子 ] 
作者 内容
 文章标题 : 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-06-02 00:46 
离线
初级用户

注册: 2011-05-27 17:07
最近: 2017-06-08 22:41
拥有: 77.00 安全币

奖励: 89 安全币
在线: 481 点
帖子: 31
萨班斯·奥克利法案(Sarbanes-Oxley Act)
要求上市公司保留所有业务记录,包括电子记录和邮件在内,不少于5年。另外上市公司和注册会计师事务所必须保留构成审计或评估基础的审计工作报告、文档和证明其结论的信息至少7年时间,即与审计工作报告和财务管理有关的电子邮件通讯业至少要保留7年。这意味着企业必须很好地管理和保留企业所有的电子邮件,以应付未来的电子邮件查询需求,不然很可能使企业处于风险中。



以上内容摘抄至互联网,小弟不才,找了很多SOX,COSO,ISO27001:2005的资料竟然没有查看出是哪一个条款要求邮件归档是5年或者7年。请教各位大能对归档年限要求具体体现在哪里?SOX还对邮件有其他的要求吗?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-06-02 08:26 
离线
顶级用户

关注按钮

注册: 2007-01-08 13:25
最近: 2014-07-21 09:07
拥有: 5,843.10 安全币

奖励: 7602 安全币
在线: 7329 点
帖子: 796
上面说的是保留所有业务记录,但有些是个人的mail。怎么区分啊?


--------本帖迄今已累计获得1安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-06-02 09:46 
离线
初级用户

注册: 2011-05-27 17:07
最近: 2017-06-08 22:41
拥有: 77.00 安全币

奖励: 89 安全币
在线: 481 点
帖子: 31
flb_2001 写道:
上面说的是保留所有业务记录,但有些是个人的mail。怎么区分啊?



终于有人回答,"业务"记录在ISO27001:2005中有定义:

注1:本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动

我觉得一般指公司的邮箱


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-06-02 10:17 
离线
顶级用户

关注按钮

注册: 2007-01-08 13:25
最近: 2014-07-21 09:07
拥有: 5,843.10 安全币

奖励: 7602 安全币
在线: 7329 点
帖子: 796
linxi 写道:
flb_2001 写道:
上面说的是保留所有业务记录,但有些是个人的mail。怎么区分啊?



终于有人回答,"业务"记录在ISO27001:2005中有定义:

注1:本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动

我觉得一般指公司的邮箱

我指的是员工利用公司的邮箱发送个人邮件


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-06-02 10:48 
离线
中级用户

注册: 2008-03-06 17:01
最近: 2013-09-12 11:59
拥有: 459.50 安全币

奖励: 0 安全币
在线: 755 点
帖子: 71
对于mail的要求,反着看。看MAIL不控制会有什么风险,然后根据审计的周期看保存时间就行了,没必要搞的这么麻烦。


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-06-03 15:18 
离线
顶级用户

关注按钮

注册: 2007-01-08 13:25
最近: 2014-07-21 09:07
拥有: 5,843.10 安全币

奖励: 7602 安全币
在线: 7329 点
帖子: 796
ggnbest 写道:
对于mail的要求,反着看。看MAIL不控制会有什么风险,然后根据审计的周期看保存时间就行了,没必要搞的这么麻烦。

你说的控制指mail的保留呢还是关键字过滤等的控制?


--------本帖迄今已累计获得1安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-06-05 11:44 
离线
中级用户

注册: 2008-03-06 17:01
最近: 2013-09-12 11:59
拥有: 459.50 安全币

奖励: 0 安全币
在线: 755 点
帖子: 71
sox的主要目的是看财务报表的准确程度,跟过滤有什么关系?


--------本帖迄今已累计获得1安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-06-15 17:50 
离线
初级用户

注册: 2011-05-27 17:07
最近: 2017-06-08 22:41
拥有: 77.00 安全币

奖励: 89 安全币
在线: 481 点
帖子: 31
flb_2001 写道:
ggnbest 写道:
对于mail的要求,反着看。看MAIL不控制会有什么风险,然后根据审计的周期看保存时间就行了,没必要搞的这么麻烦。

你说的控制指mail的保留呢还是关键字过滤等的控制?



应该是邮件归档吧,原来是根据审计的周期来看保存的时间,谢谢


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-07-14 20:09 
离线
初级用户

注册: 2011-05-27 17:07
最近: 2017-06-08 22:41
拥有: 77.00 安全币

奖励: 89 安全币
在线: 481 点
帖子: 31
ggnbest 写道:
对于mail的要求,反着看。看MAIL不控制会有什么风险,然后根据审计的周期看保存时间就行了,没必要搞的这么麻烦。



Thanks!其实我想知道的是这个“5年”从何而来,按照您的意思就是说该公司的审计周期是5年了?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-07-18 16:44 
离线
中级用户

注册: 2008-03-06 17:01
最近: 2013-09-12 11:59
拥有: 459.50 安全币

奖励: 0 安全币
在线: 755 点
帖子: 71
5年是个泛指,不一定非要5年。主要是看你上市后的记录。保证你的财务行为和关键业务的变化得到了授权审批,以确保你财务报表的准确性和真实性。
比如说你公司成立了2年就上市了,那这个5年对于你们的企业来说就基本上不适用了。
我个人的理解,邮件保存的话,应该从IPO开始就都应该保存。
具体保存的周期,还是要看你公司的上市的时间和会计师事务所要求的时间段看。
对于审计的话,一般年审就1年就够,但如果sox审计的话,应该就要保留3年左右,具体根据实际情况和风险分析后的取样标准来确定。


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-11-03 10:49 
离线
初级用户

注册: 2011-05-27 17:07
最近: 2017-06-08 22:41
拥有: 77.00 安全币

奖励: 89 安全币
在线: 481 点
帖子: 31
ggnbest 写道:
5年是个泛指,不一定非要5年。主要是看你上市后的记录。保证你的财务行为和关键业务的变化得到了授权审批,以确保你财务报表的准确性和真实性。
比如说你公司成立了2年就上市了,那这个5年对于你们的企业来说就基本上不适用了。
我个人的理解,邮件保存的话,应该从IPO开始就都应该保存。
具体保存的周期,还是要看你公司的上市的时间和会计师事务所要求的时间段看。
对于审计的话,一般年审就1年就够,但如果sox审计的话,应该就要保留3年左右,具体根据实际情况和风险分析后的取样标准来确定。

这个回答非常清晰明了,谢谢


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-11-03 17:55 
离线
超级用户

注册: 2005-02-01 12:56
最近: 2015-09-16 19:05
拥有: 8,005.80 安全币

奖励: 84 安全币
在线: 6414 点
帖子: 340
地址: Beijing
linxi 写道:
ggnbest 写道:
5年是个泛指,不一定非要5年。主要是看你上市后的记录。保证你的财务行为和关键业务的变化得到了授权审批,以确保你财务报表的准确性和真实性。
比如说你公司成立了2年就上市了,那这个5年对于你们的企业来说就基本上不适用了。
我个人的理解,邮件保存的话,应该从IPO开始就都应该保存。
具体保存的周期,还是要看你公司的上市的时间和会计师事务所要求的时间段看。
对于审计的话,一般年审就1年就够,但如果sox审计的话,应该就要保留3年左右,具体根据实际情况和风险分析后的取样标准来确定。

这个回答非常清晰明了,谢谢


给点实操经验:公司规模大的话,所有往来邮件保存甭管几年,那存储备份设备的投入,运营的折腾。。。
1. 重要业务决策、财务相关的关键行为审批不要用电子邮件,需要有其它辅助系统留底,比如工作流什么的。公司出政策定义邮件的使用范围及规范。这样审计的时候能知道邮件系统官方的定义不是用来做授权的。
2. 重要邮件需另外留底的,需要有策略支持,同时配套另外一个策略:定期删除邮件以防信息泄露。这样省不少事,审计那边也能义正言辞的说得通。
3. 个人邮箱设最大容量限制,尽量不在服务器上保存,同时定义备份和恢复策略,明文说明什么情况下用户可以指望找回丢失的邮件,什么情况下不成,作为IT的SLA宣告。

这样,审计没法指责你邮件记录未保全,也没法说你sox过不去。

私下说,这么着对付美国司法部的司法调查俺都说得通,甭说sox审计了。。。


--------本帖迄今已累计获得33安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2011-11-08 09:06 
离线
中级用户

关注按钮

注册: 2010-11-08 11:23
最近: 2015-08-18 08:52
拥有: 4,101.00 安全币

奖励: 0 安全币
在线: 1613 点
帖子: 87
感谢各位的分享


--------本帖迄今已累计获得1安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2012-04-10 22:39 
离线
初级用户

注册: 2011-05-27 17:07
最近: 2017-06-08 22:41
拥有: 77.00 安全币

奖励: 89 安全币
在线: 481 点
帖子: 31
RayWang 写道:
linxi 写道:
ggnbest 写道:
5年是个泛指,不一定非要5年。主要是看你上市后的记录。保证你的财务行为和关键业务的变化得到了授权审批,以确保你财务报表的准确性和真实性。
比如说你公司成立了2年就上市了,那这个5年对于你们的企业来说就基本上不适用了。
我个人的理解,邮件保存的话,应该从IPO开始就都应该保存。
具体保存的周期,还是要看你公司的上市的时间和会计师事务所要求的时间段看。
对于审计的话,一般年审就1年就够,但如果sox审计的话,应该就要保留3年左右,具体根据实际情况和风险分析后的取样标准来确定。

这个回答非常清晰明了,谢谢


给点实操经验:公司规模大的话,所有往来邮件保存甭管几年,那存储备份设备的投入,运营的折腾。。。
1. 重要业务决策、财务相关的关键行为审批不要用电子邮件,需要有其它辅助系统留底,比如工作流什么的。公司出政策定义邮件的使用范围及规范。这样审计的时候能知道邮件系统官方的定义不是用来做授权的。
2. 重要邮件需另外留底的,需要有策略支持,同时配套另外一个策略:定期删除邮件以防信息泄露。这样省不少事,审计那边也能义正言辞的说得通。
3. 个人邮箱设最大容量限制,尽量不在服务器上保存,同时定义备份和恢复策略,明文说明什么情况下用户可以指望找回丢失的邮件,什么情况下不成,作为IT的SLA宣告。

这样,审计没法指责你邮件记录未保全,也没法说你sox过不去。

私下说,这么着对付美国司法部的司法调查俺都说得通,甭说sox审计了。。。


非常感谢!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于:SOX法案对于Mail的要求
帖子发表于 : 2012-09-17 09:29 
离线
高级用户

注册: 2007-07-11 15:33
最近: 2016-04-01 11:09
拥有: 549.20 安全币

奖励: 1 安全币
在线: 2450 点
帖子: 144
RayWang 写道:
linxi 写道:
ggnbest 写道:
5年是个泛指,不一定非要5年。主要是看你上市后的记录。保证你的财务行为和关键业务的变化得到了授权审批,以确保你财务报表的准确性和真实性。
比如说你公司成立了2年就上市了,那这个5年对于你们的企业来说就基本上不适用了。
我个人的理解,邮件保存的话,应该从IPO开始就都应该保存。
具体保存的周期,还是要看你公司的上市的时间和会计师事务所要求的时间段看。
对于审计的话,一般年审就1年就够,但如果sox审计的话,应该就要保留3年左右,具体根据实际情况和风险分析后的取样标准来确定。

这个回答非常清晰明了,谢谢


给点实操经验:公司规模大的话,所有往来邮件保存甭管几年,那存储备份设备的投入,运营的折腾。。。
1. 重要业务决策、财务相关的关键行为审批不要用电子邮件,需要有其它辅助系统留底,比如工作流什么的。公司出政策定义邮件的使用范围及规范。这样审计的时候能知道邮件系统官方的定义不是用来做授权的。
2. 重要邮件需另外留底的,需要有策略支持,同时配套另外一个策略:定期删除邮件以防信息泄露。这样省不少事,审计那边也能义正言辞的说得通。
3. 个人邮箱设最大容量限制,尽量不在服务器上保存,同时定义备份和恢复策略,明文说明什么情况下用户可以指望找回丢失的邮件,什么情况下不成,作为IT的SLA宣告。

这样,审计没法指责你邮件记录未保全,也没法说你sox过不去。

私下说,这么着对付美国司法部的司法调查俺都说得通,甭说sox审计了。。。



很有借鉴价值,谢谢分享。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 15 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012