守内安：金融业IT治理在“中国萨班斯”的天平上……

在过去的几年来，中国度过了全球金融危机，同时也是最快经济复苏的国家，在借镜国外金融单位因没有做好良好控管与监督，而引发一系列恶性的倒闭事件，我国财政部、证监会、审计署、银监会、保监会等在 2009 年初发表了《企业内部控制基本规范》，更在2010年4月26日，联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，连同此前发布的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。因此国内的上市公司从各方面开始研拟强化管理与配合方案，IT部门更是企事业机构首先必需面对此议题的单位，同时财政部等五部门制定了实施时间表：自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。此时，守内安更为客户关注的是在这个“中国萨班斯”的天平上，有多少金融业IT治理是够得上秤的呢？

纵观各类IT 治理中，能符合此规范要求的主要方向有以下几个：

1.归档 (包含邮件与文档归档)

2. 审计或稽核制度与系统的构成

3.灾备及风险管理

4.防范泄密问题。

一般来说实施的优先顺序建议以邮件归档优先，难度与整体费用评估后较容易被接受，且可以立竿见影，邮件的归档在于邮件的完整备份及保存，当然如果系统能自动化监察某些敏感关键字词或内容，更可以在碰触到单位规范的第一时间，通知稽核单位或领导，以防止不良影响扩大。再者，邮件的归档可以用于查找历史“悠久”的邮件，对于多年前的邮件仍有详细记录，帮助个人进行重要邮件还原，对企事业而言，能发挥证据举证与资产保存的重要作用。进阶的文档保存及权限控管，可作为次阶段的实施项目，同时规划实施ISO规范，将文件的分权管理与存放、有涉密要求或更重视安全的单位，参考同时整合文档加密与文管系统，可随时全文查找所有文档。

灾备与风险管理，无论在系统的建置还是规划时期，都需要全面考虑。从数据安全的保存，本机系统至少备有冗余电源与冗余存储设备，硬盘至少是 Raid-1 以上（Raid-5 / Raid- 6 / Raid-10），双机或多机 HA 架构，同时，严紧的系统都必需是双链路及符合异地灾备，在允许时间内，完成灾难模拟及还原操作，并有详尽的演练计划与还原操作书。而审计又是防范泄密的事先预防动作，但审计必需与单位的管理方式整合，对于IT治理而言，提供良好的系统工具，让相关法务或审计单位使用，但又能脱离IT部门窥探机密的疑虑，因此好的邮件审计系统必须做到多级分权管理，由适当单位进行正确的审批与稽核，达到权重的划分，各单位各司其职。从过去辅导许多金融单位与企业单位的经验中，守内安信息科技就听到不少客户有内控的困扰，许多机密的资料被员工通过邮件发送到其他单位，造成经济直接或间接损失，更有即将离职的员工，发送不良邮件到单位所有收件人，造成舆论威胁，这些问题都可以通过邮件审计系统改善，将员工附件中的机密资料过滤，防止不当资料或机密资料外泄，对于发送到全公司的邮件，先通过领导审批，之后才得以发送，这些管理措施，守内安称之为事前审计，实时阻挡不恰当邮件的发送，防范于未然。

最后整合安全防护系统—防范资料外泄，也就是数据泄漏防护 DLP (Data leakage prevention )，从每一台计算机与 NB 中实行部署，通过AD 或网关产品安装用户端插件，用于防止机密数据外泄，从 File / E-mail / Flash Disk / Internet，整体的实施动辄数百万的费用，适合较大企业与金融单位采用，当然数据安全与使用便利性一直是对等的关系，越便于使用就越没有安全性，越安全就意味着使用上有一定程度的麻烦，因此在选择方案前，应彻底调研后，选定合适于单位的方案。

守内安信息科技，作为一家专业邮件安全研发厂家，十多年来辅助数千家企业完成邮件安全的规划与建置，从邮件过滤、邮件审计到邮件归档，全程式安全部署，是值得信赖的邮件安全厂家。

标签： 安全 金融 权限 选择

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。