萨班斯,奥克斯利和你

负责Deloitte&Touche北美安全服务业务的Fiona Williams回答了读者有关《萨班斯-奥克斯利法案》的问题。

问:您认为Sarbanes-Oxley与组织的安全计划之间最直接的联系是什么?

答:之间有几个联系 萨班斯·奥克斯利 要求和公司的安全计划。其中包括:确保对公司安全策略和管理层的承诺有适当的认识;设计和实施适当的安全控制;并记录和审核安全策略,并确保管理和最终用户可以理解它们。

问:《萨班斯法案》第302条和第304条要求管理层建立,维护和报告“内部控制”,但证券交易委员会尚未正式定义“内部控制”。是否有与《萨班斯法案》(Sarbanes-Oxley)规定的内部控制有关的信息安全特定章节?

答:第404条规定,每份年度报告均应包含一份内部控制报告,该报告必须阐明管理层的责任,即建立并维持适当的内部控制结构和财务报告程序。在发行人最近一个会计年度结束时,还必须包含对内部控制结构和财务报告程序有效性的评估。审计师必须证明并报告发行人管理层所作的评估。

萨班斯·奥克斯利将要求公司实施已建立的内部控制框架。作为该框架的一部分,将需要实施和记录通用计算机控件。 Infosec控件是通用计算机控件的关键组成部分。没有它们,常规的计算机控制和整体内部控制将无法发挥作用。因此,信息安全控制是确保基于COSO的有效内部控制环境的关键组成部分。 (有关该委员会的更多信息,请访问www.coso.org。)

问:《萨班斯法案》将把公司物理安全计划的哪些内容归类?例如,Sarbanes-Oxley是否需要在数据中心或类似设施中进行一定级别的物理安全控制?如果是,该参考书属于哪一部分?

答:物理安全确实属于Sarbanes-Oxley要求。它是infosec程序以及常规计算机控件的关键组件。它属于部分302和404,要求管理层评估并断言内部控制有效运行。

问:实施《萨班斯-奥克斯利法案》第404条的方法和过程是什么?谁是司机?它纯粹是一个小组审核功能吗? IT的作用是什么?

答:第404节的实施过程应包括项目管理,人员,过程和技术,以及实施的各个阶段,包括范围和计划;评估和定义;识别并记录控制;进行测试和补救;并进行监控和认证。

管理应该是工作的总体动力,需要受影响的利益相关者的参与。审计不应定义和实施控制环境,而应参与监视活动。要求IT部门实施内部控制的自动化方面。

问:我听说SEC建议COSO作为内部控制集成框架。对于物理系统证券(例如应用程序安全性和局域网安全性),IT部门应采取哪些风险评估程序来确保控制措施到位?

答:COSO是公司将实施的建议内部控制框架。它要求执行正式的风险评估,以评估影响组织绩效的内部和外部因素。风险评估的结果将确定需要实施的控制措施。

有关:

版权© 2003 IDG通讯,Inc.