一、IT内部控制的问题与挑战
当前金融风暴席卷全球,且中国经历了30年跨越式发展,中国企业内部控制不太规范。为防患于未然,2008年6月国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,企业内部控制基本规范以保障财务报告的真实性、可靠性为核心,提出相应内部控制要求,于2009年7月1日在上市公司范围内施行,鼓励非上市的其他大中型企业执行,其作用等同于美国的萨班斯法案(SOX)。
企业内控要达到的目的有三个:一是提高企业资源利用的效率与效果;二是要保证财务报告的真实性和可靠性,三是要保证企业经营符合相关法律和法规。作为业务的支撑,IT系统已被国内大中型企业高度依赖,尤其是会计电算化的普及,要保障财务相关信息的真实有效,就必须对企业的IT系统严格控制。
联想网御借以美国萨班斯法案(SOX)IT内控的实践为基础,结合中国具体国情,并根据我们多年贴近用户的IT治理经验,概括了目前国内企业IT内控面临的主要问题:
如何保证权责的正确分配?
如何保证IT基础平台可靠?
如何保证关键应用安全?
如何进行审计监督?
二、IT内部控制基本原理
美国SOX法案作为成功颁布并实施的一个法案,它的IT内控方法值得我们借鉴。在针对SOX方案中的IT内控要求上,美国上市公司普遍采用COBIT(《信息系统和技术控制目标》)的IT内控思想作为企业内控中的IT内控框架,并结合企业实际情况设计出符合规范要求的IT内控体系;具体控制措施采用ISO17779(信息安全管理体系)、ITIL(IT服务管理)等标准中的最佳实践,整合企业原有的控制措施,落实具体的控制方法。
2.1 联想网御IT内部控制模型
联想网御的IT内控方法是结合我们在IT内控中的最佳实践,并参照《企业内部控制基本规范》的相关要求,开发出了适合中国国情的IT内控模型。联想网御的IT内部控制模型由三个基本面组成:IT内控基本要素,IT内控的基本要求和对应的IT资源,对应关系如下图所示:
联想网御企业IT内控模型 |
通过对上述三个方面的实现,最终形成了一个立体的、多层次的、科学的联想网御IT内控模型。
2.2 IT内控基本要素的具体内容
根据《企业内部控制应用指引-征求意见稿》的要求和对IT内控的理解,我们认为企业IT内控应该围绕财务及业务系统来进行,具体是通过对财务及业务系统的数据、流程以及相关IT基础设施的控制来实现,重点是完善以下几个方面的控制:
1) 角色管理与授权审批
2) 信息资源访问控制
3) 系统开发、变更与维护控制
4) 硬件及其他配套设备控制
5) 财务相关应用系统的控制
三、IT内部控制解决方案
在联想网御IT内控的方法论的基础上,我们为企业IT内控提供了一揽子解决方案。我们的解决方案在帮助企业达到IT内控要求的过程中,充分利用企业已有资源,努力做到企业的成本/收益最大化。我们认为:严格的权限管理、稳固的信息基础平台、安全的应用系统和全面的审计监控是保证IT内控合规四大核心要素,我们针对这四大要素提出了IT内控解决方案,企业可根据实际情况,选择并组合这些解决方案,最终形成贴合自身需求的IT内控解决方案,如下图所示:
联想网御IT内控解决方案 |
3.1 权限管理安全解决方案
在企业内部控制中,IT的组织架构及人员控制是保证企业经营管理合法合规、资产安全以及财务报告和相关信息真实完整,提高企业的经营效率和效益的关键组成部分。其核心问题就是“明确权责分配,正确行使职权”。联想网御从产品和服务两种途径帮助企业实现IT内控中的权限管理,解决方案如下:
联想网御IT内控咨询服务
联想网御提供IT内控咨询服务,帮助企业梳理组织架构和区分人员权责,并协助企业建立合理的组织架构,从信息系统的战略设计、人员岗位设置、人员职责范围等方面建立起相关的策略、标准和制度等。
联想网御安全审计系统
帮助企业建立起相关策略和制度后,使用联想网御IT内控安全审计系统,监控各个层面的人员是否越权访问、篡改数据、滥用权利等,联想网御安全审计系统不同与一般审计产品,其特点在于可以实现统一控制、集中审计,并且审计覆盖IT信息系统的绝大多数类型,能满足企业内部控制要求的审计、监督要求。
通过联想网御的解决方案,能帮助企业实现清晰的权责分配和权限管理,达到企业IT内控要求。
3.2 基础平台安全解决方案
信息基础设施是构成信息系统的基础,如果信息平台的安全性得不到保证,那应用和数据安全也无从谈起,我们从信息平台最基本的三个层面来进行分别实现:物理资产、网络系统和主机系统,针对每个层面的具体控制,我们都有相应的产品和服务来支撑,如下表所示:
通过使用我们的产品和服务手段,对物理、主机、网络的权责分配、访问控制等方面的控制,使信息基础平台达到IT内控要求。
3.3 关键应用安全解决方案
业务、财务系统作为IT内控的主要控制目标,其安全性直接影响企业的经营,而财务系统又是IT内控中最主要的控制目标。不管业务系统还是财务系统,我们站在IT系统角度来看,都可以把他们归类为应用系统,对应用系统的控制,需要对其生命周期的各个阶段控制,我们把控制分为三个阶段:系统建立、系统使用和系统变更。
针对应用系统生命周期每个过程的具体控制,我们都有相应的产品和服务来支撑实现,如下表所示:
通过使用我们的产品和服务手段,对应用系统进行开发管控、上线管控、第三方管控、变更管理等实现对关键应用的控制,保证业务、财务数据安全。
3.4 审计监控安全解决方案
为满足企业IT内控需求,规避潜在的安全风险,联想网御除提供有针对性的IT内控咨询、风险评估等安全服务外,还推出了专门针对IT内控的安全审计产品,该产品利用了联想网御安全管理系统为平台,有效的审计、监控企业内部IT资源环境。能够解决企业当前在访问控制及审计措施方面所面临的主要问题,主要功能如下:
1) 日志管理系统
实现网络日志收集、主机日志收集、应用日志收集、数据库日志收集、其他日志收集以及日志的备份及恢复等。
2) 审计系统功能
实现问题识别、问题优先级确定、问题响应流程、问题取证、日志的保留及报表功能等。
3) 安全管理平台
统一安全管理平台是整个系统运行的基础,向其它系统传递配置参数,包括服务运行状态、参数设置、账号数据、审计策略、安全策略设置及报表生成等。
四、IT内部控制方案的价值
联想网御的IT内控解决方案,从业务流程、应用系统与基础设施三个维度,通过IT内控解决方案集,帮助用户打造清晰的权责控制、稳固的信息基础设施、安全的关键应用和全面的安全审计监督,最终帮助用户实现安全可靠、稳定高效、业务连续和符合法规的IT系统,将企业内控的制度、措施通过技术手段加以固化,规范企业内部管理水平,提高企业经营管理水平和风险防范能力,有利于促进企业可持续发展。
总之,IT内控将给国内信息安全行业带来新的发展机遇.当然机会属于有准备的企业。
转载请注明:IT运维空间 » 安全防护 » 联想网御推出面向国内企业的IT内控解决方案
发表评论