SOX法案：悬于CIO头顶的达摩克利斯之剑（下）（AMT研究院 陈琦）

三、两种有效的信息安全管理方案

SOX法案明确规定，外部审计人员必须检查和证实一个公司的内部财务控制的有效性，这其中就包括信息系统的可靠性。SOX法案强调企业的信息技术策略和企业内控活动（不论是人还是机器）的操作流程都必须明白地定义并保存相关记录，而后才能实施。这样要求是为了让企业管理者了解内部状况，以便在IT审计时提供及时支持。但是，在提高IT审计的效率同时CIO仍需考虑为之投入的成本问题，即在保障信息安全从而提升信息系统可靠性的过程中，CIO需要在时间和成本之间寻找平衡点，采用合理而又经济的IT手段。以下便是两种常用的IT解决方案：

安全身份管理

1．身份准备（Identity provisioning）

l迅速、安全的查看、更改、审核和报告所有用户的身份，并且获得所有用户和部门的权限。

l 取消费时、费力且容易产生错误的操作过程，代替以快速、安全的“一键式”操作，在系统中增加或删除用户。

l系统中允许以群体人员共同参与的批准方式修改用户身份，避免只有管理员享有唯一控制权。

2．基于策略的访问控制（Policy-based access control）

l使用户以单点登录、全网漫游（Single sign－on）的方式登入系统并访问被授权的内容。

l 通过诸如SAML等标准方便的将访问控制扩展到包括Web服务的应用中。

l提供唯一的策略执行点和对所有用户的访问控制点，从而对应用程序和信息的访问实现中央控制。

3．严格的授权机制（Strong authentication）

l 对基于Web的授权采用广泛的认证机制，例如用户名加密码方式、SAML、Microsoft通行证、数字签名等。

l 在客户端－服务器环境下采用更为严格的授权方式，确保只有通过授权的用户能够访问到企业中包含加密文件、电子邮件等敏感信息。

数据加密及完整性控制

l 对员工使用的电脑中的文件和文件夹加密，只有授权的员工才能解密并获得相关信息。

l采用数字签名保证数据的完整性，在此方面可以与诸如Adobe公司等该领域的专门企业合作，保障桌面办公和Web环境下的数据安全。

l 在Web交易方式中增加端到端的加密和数字签名保护敏感数据的传输。

l开发能实现数据加密和数字签名的工具包，用于定制的应用程序。

四、未来CIO关注的5项IT预算

在保证遵循SOX法案的前提下，CIO需要考虑的是结合企业自身的情况把增长的IT投入用到最需要的地方。Forrester Research预测2005年IT投入增加的各项费用可以大致归纳为5个方面：

1.IT人力资源配置。由于所有信息系统中的文档都需要归档保存，IT部门需要投入相应的人力来完成该项复杂的工作，CIO可以考虑重新配置各岗位的人力资源或者招募新的员工。

2.审计成本。当企业有新的业务需求或者流程变革时，需要审计师的参与并监督变革是否符合相应的法规，同样他们也能够对该项变革的必要性做出评估。

3.咨询费用。首先需要明确的是审计师并不能设计他们审计的对象，包括流程的合理性、规范性等，因而咨询顾问的参与必不可少，且相应的预算也是必备的。

4.培训费用。仅仅设计出合理的IT治理框架是不够的，关键还需要员工的有力执行，因此针对这方面的培训能有效的降低实施风险。

5.软件工具。为了应对外界环境的变化和提高企业内部的运作效率，必要的软、硬件投资也是必须的，正如Forrester Research预测的，商业智能将得到广泛运用。

尽管SOX法案针对的是美国的上市公司，但由此可以发现CIO在公司治理中的作用越来越重要，通过有效的IT控制手段能帮助企业规避许多潜在的经营风险，给企业所有者制定正确的战略规划提供技术支持，这对我国企业的CIO也同样具有现实意义。SOX法案如悬在CIO头顶的达摩克利斯之剑，2005年他们面对的除了挑战还有着更多一展身手的良机。（完）

相关链接：

SOX法案：悬于CIO头顶的达摩克利斯之剑(上)（AMT研究院 陈琦）