守内安:金融业IT治理在“中国萨班斯”的天平上……
2018-06-15 来源:
在过去的几年来,中国度过了全球金融危机,同时也是最快经济复苏的国家,在借镜国外金融单位因没有做好良好控管与监督,而引发一系列恶性的倒闭事件,我国财政部、证监会、审计署、银监会、保监会等在 2009 年初发表了《企业内部控制基本规范》,更在2010年4月26日,联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。因此国内的上市公司从各方面开始研拟强化管理与配合方案,IT部门更是企事业机构首先必需面对此议题的单位,同时财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。此时,守内安更为客户关注的是在这个“中国萨班斯”的天平上,有多少金融业IT治理是够得上秤的呢?
纵观各类IT 治理中,能符合此规范要求的主要方向有以下几个:
1.归档 (包含邮件与文档归档)
2. 审计或稽核制度与系统的构成
3.灾备及风险管理
4.防范泄密问题。
一般来说实施的优先顺序建议以邮件归档优先,难度与整体费用评估后较容易被接受,且可以立竿见影,邮件的归档在于邮件的完整备份及保存,当然如果系统能自动化监察某些敏感关键字词或内容,更可以在碰触到单位规范的第一时间,通知稽核单位或领导,以防止不良影响扩大。再者,邮件的归档可以用于查找历史“悠久”的邮件,对于多年前的邮件仍有详细记录,帮助个人进行重要邮件还原,对企事业而言,能发挥证据举证与资产保存的重要作用。进阶的文档保存及权限控管,可作为次阶段的实施项目,同时规划实施ISO规范,将文件的分权管理与存放、有涉密要求或更重视安全的单位,参考同时整合文档加密与文管系统,可随时全文查找所有文档。
灾备与风险管理,无论在系统的建置还是规划时期,都需要全面考虑。从数据安全的保存,本机系统至少备有冗余电源与冗余存储设备,硬盘至少是 Raid-1 以上(Raid-5 / Raid- 6 / Raid-10),双机或多机 HA 架构,同时,严紧的系统都必需是双链路及符合异地灾备,在允许时间内,完成灾难模拟及还原操作,并有详尽的演练计划与还原操作书。而审计又是防范泄密的事先预防动作,但审计必需与单位的管理方式整合,对于IT治理而言,提供良好的系统工具,让相关法务或审计单位使用,但又能脱离IT部门窥探机密的疑虑,因此好的邮件审计系统必须做到多级分权管理,由适当单位进行正确的审批与稽核,达到权重的划分,各单位各司其职。从过去辅导许多金融单位与企业单位的经验中,守内安信息科技就听到不少客户有内控的困扰,许多机密的资料被员工通过邮件发送到其他单位,造成经济直接或间接损失,更有即将离职的员工,发送不良邮件到单位所有收件人,造成舆论威胁,这些问题都可以通过邮件审计系统改善,将员工附件中的机密资料过滤,防止不当资料或机密资料外泄,对于发送到全公司的邮件,先通过领导审批,之后才得以发送,这些管理措施,守内安称之为事前审计,实时阻挡不恰当邮件的发送,防范于未然。
最后整合安全防护系统—防范资料外泄,也就是数据泄漏防护 DLP (Data leakage prevention ),从每一台计算机与 NB 中实行部署,通过AD 或网关产品安装用户端插件,用于防止机密数据外泄,从 File / E-mail / Flash Disk / Internet,整体的实施动辄数百万的费用,适合较大企业与金融单位采用,当然数据安全与使用便利性一直是对等的关系,越便于使用就越没有安全性,越安全就意味着使用上有一定程度的麻烦,因此在选择方案前,应彻底调研后,选定合适于单位的方案。
守内安信息科技,作为一家专业邮件安全研发厂家,十多年来辅助数千家企业完成邮件安全的规划与建置,从邮件过滤、邮件审计到邮件归档,全程式安全部署,是值得信赖的邮件安全厂家。
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:网络安全:端点安全的四大支柱