论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 16 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 萨班斯与IT安全
帖子发表于 : 2006-10-14 01:32 
离线
新手

注册: 2006-10-12 23:48
最近: 2011-12-19 20:32
拥有: 310.00 安全币

奖励: 0 安全币
在线: 95 点
帖子: 9
我这有一份介绍萨班斯与IT安全的中文培训文档,有做公司内部控制的同仁可以看看


附件:
文件注释: Sarbanse-Oxely与IT安全
Sarbanse-Oxely与IT安全.rar [1.07 MiB]

注意:所有附件下载均需支付10安全币,不足10安全币不能下载!重复下载以前下载过的附件不再需要安全币。


--------本帖迄今已累计获得10安全币用户奖励--------
回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-10-22 10:24 
离线
高级用户

注册: 2006-10-06 15:23
最近: 2009-02-09 00:36
拥有: 2,138.20 安全币

奖励: 392 安全币
在线: 2488 点
帖子: 217
又没有通过审核!干看着啊!


--------本帖迄今已累计获得1安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 萨班斯与IT安全
帖子发表于 : 2006-10-23 08:07 
离线
顶级用户

注册: 2004-01-18 22:51
最近: 2016-03-06 08:44
拥有: 15,693.50 安全币

奖励: 21073 安全币
在线: 15455 点
帖子: 1956
huawhe 写道:
我这有一份介绍萨班斯与IT安全的中文培训文档,有做公司内部控制的同仁可以看看



http://www.ccw.com.cn/cso/htm2006/20061010_214592.htm

评论:萨班斯法与安全IT机制
计算机世界 程鸿 2006-10-10 13:32:34




IT在被当作实现萨班斯法规遵从的有效工具的同时,其自身又变成了新的风险源。

萨班斯法案(Sarbanes-Oxley Act)是在2002年由美国总统布什签发生效的。该法案的出台主要源于安
然、世界电信公司等美国超大型企业中所发生的一系列财务和管理问题。萨班斯法案对美国上市的公司和会计企业都有监管作用,希望能提高所有报表的财务状态及很多精确信息,能提升企业对自己本身管理方面的架构支持。

萨班斯法案与其他法律有着很大的差别,它要求上市公司的CEO和CFO个人对公司的法规遵从负责任,他们个人必须通过遵守萨班斯法案的相关认证,根据萨班斯法案,他们有任何违反法案的情况,都可以受到刑事处罚。目前,日本、英国、德国、澳大利亚等国都已建立起自己的本地萨班斯法规。尽管新的法规大多来自欧美,其影响力却随其国内跨国公司的全球化发展而不断扩大。例如,一家在美国注册的公司,其亚太区分支机构也同样受到美国公司相关治理法规的制约; 在亚洲,拥有全球扩展计划的公司,以及希望与欧美公司合作的企业,也同样需要制定相应的法规遵从框架。可喜的是,现在有一些人将法规遵从看作一次新的机会,可以建立更有效、更专注、更负责任的企业构架和流程,由此带来丰厚的股息回报给投资者,以满足公司的持续发展计划。

萨班斯法案覆盖了非常全面的管理层面,包括政务管理、风险管理、道德和法规遵从等。在其中的众多条款中,302(公司对财务报表的职责)、404(内部控制的管理评估)、409(实时披露发行人信息)和802(企业资料的保存或归档)等条款与IT有着紧密的关系。

因此IT在萨班斯法案中是一个致关重要的角色,它不仅是萨班斯法案实施的工具,同时也是提高萨班斯运行净利的重要手段。然而,任何事物都将存在其两面性,IT在被当作萨班斯的有效工具的同时,其自身又变成了新的风险源。赛门铁克公司在为客户提供萨班斯部署的相关服务过程中发现,一般萨班斯分为两类服务: 一类是与IT不相关的业务服务,这类服务虽然占据大部分内容,但是它的服务时间仅仅需要295天,而与IT相关的服务虽然内容较少,但却需要264天的服务时间。IT本身的复杂性和安全性问题使法规遵从变得更加复杂。

“现在,越来越多的公司在互联网上进行交易,我们很快发现,仅仅保护企业IT基础架构已经远远不够,因为保存在基础架构中的信息,其价值比基础架构本身还要高,我们必须打造一个可信赖的IT环境,保护企业自身、客户、供应商及合作伙伴的信息。”赛门铁克副总裁大中国区总裁郭尊华说。

那么,怎样才能让企业在顺利实施萨班斯法案的同时能够得到信息的保障,这是非常关键的问题。2005年8月,Gartner在《萨班斯法案的最佳实践指导》中提出,IT遵从投资项目应该包含三大方面: 遵从管理(内部控制、工作流程、数字仪表、报告); 内容管理(记录管理和电子邮件归档、在线学习、策略管理); 应用访问与控制(身份识别和认证、职责分离、持续遵从、变化管理)。根据以往的实施经验,赛门铁克针对萨班斯法案的信息安全提出了四项IT解决方案: 一是针对网络准入控制; 二是针对补丁管理; 三是针对配置管理; 四是终端所遵从的一些检查。而赛门铁克的数据完整性安全解决方案也将从客户端到Messaging Server、File Server、Application Server、Data Server提供完全的措施。

在Gartner提出的三大IT遵从投资方面,赛门铁克的遵从解决方案包含如下内容: 一是遵从管理,包括Enterprise Security Manager、Incident Manager、BindView Compliance Control Suite、Web Based Security Education Program、Sygate Network Access Control。

内容管理方面包括NetBackup、Enterprise Vault、IMLogic、Mail Security。

应用访问与控制包括Sygate Network Access Control、Patch Management、Database Security and Audit。

总之,从企业治理的角度来看,IT遵从和IT系统仅仅遵守某一个法律是远远不够的,IT治理强调的是内部控制,我们应该从企业整体着手,而不是仅依靠遵循法律来制定企业的政策,否则肯定会产生新的疏漏和风险。


--------本帖迄今已累计获得19安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-01-18 15:12 
离线
新手

注册: 2007-01-18 15:04
最近: 2007-10-17 13:04
拥有: 1.00 安全币

奖励: 0 安全币
在线: 292 点
帖子: 2
安全币咱时可挣够呀


--------本帖迄今已累计获得1安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-10-22 17:57 
离线
初级用户

注册: 2005-06-23 15:31
最近: 2010-12-31 13:23
拥有: 74.00 安全币

奖励: 0 安全币
在线: 1191 点
帖子: 26
安去币不够不能下载,能发邮件吗?


--------本帖迄今已累计获得9安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-17 22:49 
离线
高级用户

注册: 2008-06-17 19:37
最近: 2013-11-21 22:50
拥有: 1,343.00 安全币

奖励: 0 安全币
在线: 2175 点
帖子: 243
安全币不够,不能下载。真得好郁闷啊!


--------本帖迄今已累计获得9安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-05-18 14:03 
离线
新手

注册: 2009-05-18 13:45
最近: 2009-05-18 14:04
拥有: 3.00 安全币

奖励: 0 安全币
在线: 7 点
帖子: 4
想要却不够钱,郁闷。顶一下。


--------本帖迄今已累计获得1安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-29 13:53 
离线
中级用户

注册: 2009-07-28 14:30
最近: 2014-03-13 10:16
拥有: 395.00 安全币

奖励: 72 安全币
在线: 267 点
帖子: 71
有无针对C-sox的IT内控解决方案思路?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-29 17:02 
离线
超级用户

注册: 2004-06-14 11:28
最近: 2012-08-01 14:04
拥有: 1,885.00 安全币

奖励: 259 安全币
在线: 3065 点
帖子: 381
楼上的想要啥东东?我觉得C-SOX已经写得挺清楚了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-29 17:10 
离线
超级用户

注册: 2004-06-14 11:28
最近: 2012-08-01 14:04
拥有: 1,885.00 安全币

奖励: 259 安全币
在线: 3065 点
帖子: 381
SOX和IT安全没啥关系,控制点不同。如果从IT风险控制的角度来看,会有些关系。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-30 16:06 
离线
中级用户

注册: 2009-07-28 14:30
最近: 2014-03-13 10:16
拥有: 395.00 安全币

奖励: 72 安全币
在线: 267 点
帖子: 71
http://sec.chinabyte.com/312/8735312.shtml


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-30 16:18 
离线
中级用户

注册: 2009-07-28 14:30
最近: 2014-03-13 10:16
拥有: 395.00 安全币

奖励: 72 安全币
在线: 267 点
帖子: 71
IT内控可参考:
http://sec.chinabyte.com/312/8735312.shtml


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-12-08 14:45 
离线
新手

注册: 2009-12-03 10:37
最近: 2009-12-07 14:32
拥有: 37.00 安全币

奖励: 0 安全币
在线: 34 点
帖子: 10
Sox的实施除了咨询公司的参与,IT部门该如何配合呢


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2010-03-18 16:41 
离线
新手

注册: 2009-09-05 10:01
最近: 2010-03-18 17:22
拥有: 19.00 安全币

奖励: 0 安全币
在线: 46 点
帖子: 19
听说这个东西满不错的。。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2010-03-18 17:52 
离线
初级用户

注册: 2008-11-05 10:08
最近: 2016-05-04 15:41
拥有: 5.60 安全币

奖励: 0 安全币
在线: 2331 点
帖子: 40
下载看了,浪费了资金,内容没什么价值


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 16 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012