电子商务－第17讲附件－SOX法案与信息安全电子教案.ppt

*/36
电 子 商 务
Electronic Commerce
张文新 副教授
电话：62333733，**********
E_mail: ******@
*/36
第17讲（附件）
SOX法案与信息安全
*/36
内容提要
SOX法案背景
SOX法案涉及信息安全的主要内容
针对SOX法案的信息安全方案
SOX法案对信息安全行业的影响
*/36
背景资料
SOX法案的由来：
2001年底美国安然公司在一片哗然中轰然倒台，由此引发的“安然事件”至今令许多人记忆犹新。此后，公司丑闻不断，规模也“屡创新高”，特别是次年6月的世界通信会计丑闻事件，更是雪上加霜，彻底打击了美国投资者对美国资本市场的信心。这一系列丑闻事件的爆发不仅招致包括安达信等五大会计师事务所在投资者中的“诚信危机”，更引发了世界各国对公司治理模式的新一轮思考。
*/36
背景资料
SOX法案的由来：
为改变这一局面，美国国会和政府立即公布了《萨班斯法案》（Sarbanes-Oxley Act，简称SOX法案），
其目的是加强公司责任，以保护公众公司投资者的利益免受公司高管及相关机构的侵害，正如法案的第一句话所说“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。”
按照美国国会网站对SOX法案的介绍，该法案从最初于2002年2月14日提交给国会众议院金融服务委员会(Committee on Financial Services)，到7月25日国会参众两院的最终通过，先后有6个版本。
最后修订完稿的SOX法案共分11章，第1至第6章主要涉及对会计职业及公司行为的监管，第8至第11章主要是提高对公司高管及白领犯罪的刑事责任。
*/36
背景资料
SOX法案主要解决什么问题？
再建立上市公司高管人员责任追究机制 ；
强化内外制衡 ；
加强内部独立监督能力 ；
杜绝注册会计师利益瓜葛 ；
会计师行业由自律改为监管 ；
确保证券分析师的客观性和独立性 ；
加强刑事处罚。
*/36
背景资料
SOX法案主要解决什么问题？
具体内容见SOX法案文档
*/36
SOX法案与信息安全
SOX法案对信息系统控制的要求
以萨班斯-奥克斯利法案为代表的法律对上市公司的内控体系建设提出了明确要求，作为内控体系建设主要内容的信息系统控制由此被提到一个前所未有的高度。
严格地说，SOX法案并没有直接对信息系统提出要求，但法案中404条款对内控体系建设有明确要求: 公司除了有正确完整的财务报表外，还要有确保报表正确而完整的控制体系，公司管理层每年需对内控体系的运行效果进行评估，外部审计师要对内部控制体系和控制效果进行测试并出具审计意见。
由于上市公司的各个与财务数据相关的主要业务流程都有相应的信息系统支持，如果信息系统控制的一致性和有效性方面不足，这将降低数据和自动控制的可依赖性，增加管理层和审计师在测试方面的工作量，从而对整个内控体系的有效性产生负面影响。为此，加强信息系统的控制体系建设成为上市公司IT部门的一个重要工作。
*/36
SOX法案与信息安全
SOX法案对信息系统控制的要求主要包括：
信息系统总体控制（General Computer Control ,简称GCC ）、
应用系统控制（Application Control，简称AC）
电子表格控制三部分。
*/36
SOX法案与信息安全
系统总体控制
信息系统总体控制指的是内部控制中对信息系统相关部分的控制，它保证由信息系统支持的流程控制是可靠的，生成的数据和报告是可信的。信息系统总体控制涵盖了IT管理和运营所涉及的各个方面:
1. 控制环境: 包括信息技术组织、人力资源管理、信息沟通、风险评估、监控等。
2. 信息安全: 包括信息安全组织、逻辑安全、物理安全、网络安全、病毒防护、第三方管理、事件响应等。
3. 项目建设管理: 包括方法论、立项审批、项目启动、需求分析、项目设计、系统开发实施、系统测试、数据移植、用户培训、文档管理、验收和上线后审阅、商业软硬件外购等。
4. 系统变更: 包括日常变更、紧急变更等。
5. 信息系统日常运作: 包括机房环境控制、日常监控、批处理作业调度管理、数据备份与恢复、问题管理等。
6. 最终用户操作: 包括最终用户作安全制度、电子表格管理等。