【51CTO.com 綜合消息】2002年美國國會(huì)通過的《2002上市公司會(huì)計(jì)改革與投資者保護(hù)法案》（簡稱：薩班斯法案）對業(yè)界人士來說已經(jīng)不陌生了，該法案對公司治理、會(huì)計(jì)師行業(yè)監(jiān)管和證券市場監(jiān)管等方面提出了許多新的嚴(yán)格要求，并設(shè)定了問責(zé)機(jī)制和相應(yīng)的懲罰措施。由于被業(yè)內(nèi)人士看作是20世紀(jì)30年代以來，美國最嚴(yán)厲的財(cái)務(wù)法則，加上監(jiān)管的范圍是在美國上市的所有企業(yè)，當(dāng)時(shí)這個(gè)“時(shí)髦”法案的出臺(tái)既引起了全世界的關(guān)注也在業(yè)界引起了不小的波瀾。

盡管薩班斯法案2002年就出爐了，但真正在中國的落地與實(shí)踐，還是國內(nèi)的大型企業(yè)在美國上市以后。很多在美上市的國內(nèi)大型企業(yè)是從2004年底開始準(zhǔn)備這項(xiàng)工作。

據(jù)悉，為了符合薩班斯法案的標(biāo)準(zhǔn)，尤其是404條款關(guān)于建立內(nèi)部控制體系的要求，無論是美國本土公司還是在美國上市的中國公司都面臨著巨大考驗(yàn)，可以說花費(fèi)了大量的人力、財(cái)力、時(shí)間。在與這項(xiàng)極具挑戰(zhàn)性的法案密切相關(guān)的實(shí)踐案例中，國內(nèi)信息安全公司啟明星辰參與的重大客戶項(xiàng)目到目前為止已有幾十項(xiàng)。其中，運(yùn)營商、央企是啟明星辰很重要的一類客戶，啟明星辰的主要客戶集中在金融、電信、政府、能源……等大型企業(yè)。那么啟明星辰對薩班斯法案有著怎樣的解讀，又為其具體做了哪些貢獻(xiàn)？對此，本刊記者專門采訪了啟明星辰安全服務(wù)總監(jiān)陳洪波博士。

陳博士表示，薩班斯法案的主要要求是針對上市公司財(cái)務(wù)的運(yùn)營、監(jiān)管、審計(jì)等等。啟明星辰作為一家專業(yè)的信息安全企業(yè)，在參與薩班斯法案工作中對于自己的角色定位非常明確，與那些全職來做財(cái)務(wù)審計(jì)的公司不同，啟明星辰更擅長的是基于薩班斯的IT審計(jì)要求，為客戶提供專業(yè)的信息安全咨詢與審計(jì)服務(wù)。

2005年揭開薩班斯法案安全服務(wù)序幕

啟明星辰參與薩班斯法案工作起始于2005年的下半年，當(dāng)時(shí)承擔(dān)了國內(nèi)某知名運(yùn)營商的一個(gè)項(xiàng)目。在2005-2006年，這家運(yùn)營商財(cái)務(wù)部的高層乃至整個(gè)運(yùn)營部的高層都非常重視薩班斯法案的工作，當(dāng)時(shí)在國內(nèi)薩班斯法案工作的實(shí)踐方面，這家運(yùn)營商是起步非常早的，在當(dāng)時(shí)也是在摸著石頭過河，傳統(tǒng)行業(yè)最開始并沒有接觸到薩班斯這一塊。當(dāng)時(shí)一家美國審計(jì)公司已經(jīng)幫該客戶做了嚴(yán)格意義上的薩班斯審計(jì)，耗費(fèi)了大量的人力物力財(cái)力，也收到了比較明顯的效果。在通過財(cái)務(wù)審計(jì)之后，客戶仍舊感覺在信息安全方面做得夠不夠，對其核心財(cái)務(wù)系統(tǒng)的安全狀況仍舊不能掌握，所以在2005年下半年啟動(dòng)了一項(xiàng)專門針對薩班斯審計(jì)范圍之內(nèi)某財(cái)務(wù)系統(tǒng)的全國范圍內(nèi)的風(fēng)險(xiǎn)評(píng)估與整體咨詢，這個(gè)評(píng)估更多地是站在信息安全的角度。在經(jīng)過對國內(nèi)安全廠商的深入了解之后，該運(yùn)營商專門找到啟明星辰公司，由啟明星辰專業(yè)的安全服務(wù)團(tuán)對從基礎(chǔ)技術(shù)、管理運(yùn)維以及財(cái)務(wù)系統(tǒng)自身安全性這三大維度給出全面評(píng)估。項(xiàng)目實(shí)施后，不但完全符合薩班斯的要求，而且實(shí)實(shí)在在地從三大維度提升了該應(yīng)用系統(tǒng)的整體安全程度，該運(yùn)營商對服務(wù)效果表示非常滿意。

“客戶的滿意點(diǎn)在于，確確實(shí)實(shí)感覺到這個(gè)業(yè)務(wù)系統(tǒng)本身的安全管理、運(yùn)營、基礎(chǔ)設(shè)施的安全性以及財(cái)務(wù)系統(tǒng)自身的安全程度得到了顯著提升?！标惡椴ㄕf。

啟明星辰在評(píng)估中發(fā)現(xiàn)，該運(yùn)營商的財(cái)務(wù)系統(tǒng)從底層的技術(shù)設(shè)備到財(cái)務(wù)軟件本身都存在一些問題，并據(jù)此提出了安全方面的建議。在采納了這些建議之后，該運(yùn)營商針對管理運(yùn)維、基礎(chǔ)設(shè)施安全以及財(cái)務(wù)軟件自身的安全性等幾個(gè)方面重新進(jìn)行了安全增強(qiáng)?？梢哉f，這些方面在財(cái)務(wù)審計(jì)公司的審計(jì)范圍都有涉及，但在深度上做的不夠，而IT內(nèi)審中的深度安全風(fēng)險(xiǎn)分析恰恰是專業(yè)信息安全廠商的優(yōu)勢。

事實(shí)上，薩班斯對IT系統(tǒng)的要求在于運(yùn)維的安全性、可用性和對財(cái)務(wù)制度的符合性。在安全性和可用性方面，尤其是安全性方面，啟明星辰發(fā)現(xiàn)的問題可以說給這家運(yùn)營商很多提示，帶來的一個(gè)直接效果是，項(xiàng)目還沒有結(jié)束，客戶就已經(jīng)開始讓開發(fā)商修改系統(tǒng)進(jìn)行二次開發(fā)，重新定制開發(fā)業(yè)務(wù)系統(tǒng)的安全功能模塊。

薩班斯之惑

啟明星辰在2005年開始為客戶做薩班斯法案方面的安全服務(wù)工作之前，自身已經(jīng)有了4、5年的技術(shù)經(jīng)驗(yàn)積累，包括風(fēng)險(xiǎn)評(píng)估、管理咨詢等。啟明星辰是國內(nèi)最早從事專業(yè)安全服務(wù)的公司，包括前文提到的運(yùn)營商，此前也是啟明星辰的重點(diǎn)客戶，為其做過很多次各種角度的安全服務(wù)。

而在當(dāng)時(shí)，針對薩班斯法案的理解，不僅是用戶包括啟明星辰自己也產(chǎn)生過相關(guān)的疑問。第一，已經(jīng)有大型的國外審計(jì)公司幫用戶做過IT 審計(jì)了，提供了全面的表單和風(fēng)險(xiǎn)點(diǎn)、整改項(xiàng)，那么啟明星辰還能為用戶做什么，安全廠商的價(jià)值和意義如何體現(xiàn)？第二，啟明星辰所做的工作與薩班斯法案到底有多大的契合度？

眾所周之，薩班斯法案在404條款里面提到了“內(nèi)控體系”，而企業(yè)的內(nèi)控很大程度上就是IT內(nèi)控，IT內(nèi)控包括很多層面：可用性或者對制度的符合程度、內(nèi)部嚴(yán)格的管理流程等。具體到信息安全工作來講，這個(gè)外延并不清晰?！爱?dāng)然這種內(nèi)控管理，不管是管理制度、管理活動(dòng)還是相關(guān)的記錄，其實(shí)如果從安全視角來看，大部分都跟安全有關(guān)，但是并沒有都標(biāo)明安全的稱號(hào)?！标惒┦空f。

“大家都認(rèn)為404條款是薩班斯法案里面最嚴(yán)厲、最昂貴的一條。所以帶著這兩個(gè)疑問，啟明星辰做了很多思考，在已有經(jīng)驗(yàn)的基礎(chǔ)上，結(jié)合一系列具體的項(xiàng)目實(shí)踐，我們對薩班斯有了更高的認(rèn)識(shí)，也提升了風(fēng)險(xiǎn)管理的能力?？梢哉f，啟明星辰目前在薩班斯的IT內(nèi)控方面的解決方案和經(jīng)驗(yàn)在業(yè)界是相當(dāng)領(lǐng)先的?！?/P>

此后的數(shù)十個(gè)成功案例表明，啟明星辰在IT內(nèi)控領(lǐng)域已經(jīng)走在了行業(yè)的最前面。與財(cái)務(wù)審計(jì)公司相比，啟明星辰在IT風(fēng)險(xiǎn)管理方面的專業(yè)性更強(qiáng)，視角更獨(dú)到。同時(shí)，啟明星辰在這方面的人員投入也非常大，整個(gè)公司有將近100人的一個(gè)專業(yè)服務(wù)團(tuán)隊(duì)。而據(jù)記者了解，專做薩班斯的國外財(cái)務(wù)審計(jì)公司，他們在IT方面的人員投入，10多個(gè)人就算多的了，很多時(shí)候是幾個(gè)人。

針對薩班斯的產(chǎn)品和解決方案，啟明星辰也陸續(xù)進(jìn)行了完善。狹義的方面，啟明星辰專門針對運(yùn)營商開發(fā)了4A審計(jì)平臺(tái)和解決方案，可以說完全是契合薩班斯要求的；另外公司的主打安全產(chǎn)品也針對內(nèi)控內(nèi)審的要求為用戶實(shí)現(xiàn)了定制，比如天玥審計(jì)產(chǎn)品、天清漢馬UTM（統(tǒng)一威脅管理）、泰合安全管理平臺(tái)（SOC）等，都與薩班斯緊密相關(guān)。

啟明星辰專業(yè)安全服務(wù)中心在2008年開始，陸續(xù)推出了六大類安全服務(wù)、17個(gè)標(biāo)準(zhǔn)化的產(chǎn)品包，涵蓋安全風(fēng)險(xiǎn)評(píng)估類、安全管理咨詢類、等級(jí)保護(hù)咨詢類、安全審計(jì)咨詢類、安全管理監(jiān)控服務(wù)類和綜合安全服務(wù)類等服務(wù)。其中針對境內(nèi)境外上市的中國公司和央企的風(fēng)險(xiǎn)管理，重點(diǎn)推出了合規(guī)審計(jì)咨詢服務(wù)，包含4個(gè)服務(wù)產(chǎn)品包，從服務(wù)內(nèi)容、服務(wù)流程、服務(wù)實(shí)施到相關(guān)的表格表單、項(xiàng)目管理都形成了比較成熟的體系。

政策的積極作用與啟明星辰的優(yōu)勢

薩班斯所強(qiáng)調(diào)的風(fēng)險(xiǎn)管理，在廣義的理解中，可以稱為企業(yè)運(yùn)營風(fēng)險(xiǎn)管理，涵蓋了信用風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)和運(yùn)營風(fēng)險(xiǎn)等。運(yùn)營風(fēng)險(xiǎn)里面很重要的一點(diǎn)就是IT風(fēng)險(xiǎn)，近幾年來無論是國家主管機(jī)關(guān)，還是行業(yè)主管以及金融、運(yùn)營商、央企等各行業(yè)自身，都對風(fēng)險(xiǎn)管理工作越來越重視。IT風(fēng)險(xiǎn)管理最重要的就是安全風(fēng)險(xiǎn)管理，因?yàn)镮T的風(fēng)險(xiǎn)管理，需要解決是IT信息系統(tǒng)停頓、不可用和泄密等問題，尤其要站在業(yè)務(wù)需求的角度考慮IT風(fēng)險(xiǎn)管理，所有這些都與信息安全有關(guān)。

陳洪波坦言，薩班斯法案在操作實(shí)施的過程中也不乏難點(diǎn)，比如通過長時(shí)間的實(shí)踐，不少用戶感覺薩班斯法案中的個(gè)別要求在執(zhí)行方面顯得力度不足，這是國內(nèi)企業(yè)和美國企業(yè)在自身成長、外部環(huán)境方面的差異造成的，若審計(jì)結(jié)果不能提供有效的解決建議或解決辦法，則部分審核內(nèi)容難以落地。另外，財(cái)務(wù)審計(jì)公司投入的人力資源有限、某些方面容易流于形式等。可以說，薩班斯法案必須結(jié)合中國國情，一步一步來落實(shí)，這也需要一個(gè)過程。

近年來國家在大力提倡進(jìn)行風(fēng)險(xiǎn)管理，薩班斯尤其是國內(nèi)相關(guān)政策的出臺(tái)，進(jìn)一步促進(jìn)了各企業(yè)尤其是上市企業(yè)對風(fēng)險(xiǎn)管理工作的認(rèn)識(shí)，對促使企業(yè)IT風(fēng)險(xiǎn)管理更全面更規(guī)范，又非常明顯的積極意義。

陳洪波介紹說，IT風(fēng)險(xiǎn)管理主要涵蓋技術(shù)層面、管理運(yùn)維層面和業(yè)務(wù)系統(tǒng)自身的安全性層面。其中第三方面是啟明星辰在薩班斯實(shí)踐中延展出來的很重要的一個(gè)視角。有的安全企業(yè)可能看到了這一點(diǎn)，但并不是很重視，有的安全企業(yè)可能更關(guān)注風(fēng)險(xiǎn)評(píng)估，或者從事專門的安全咨詢，而啟明星辰在這三個(gè)方面都具有明顯的優(yōu)勢。

在與用戶的接觸中，啟明星辰發(fā)現(xiàn)用戶在業(yè)務(wù)系統(tǒng)的自身安全性層面往往存在很多問題。很多上市企業(yè)，他們的財(cái)務(wù)系統(tǒng)或其它的業(yè)務(wù)系統(tǒng)在開發(fā)、定制或者購買的時(shí)候，主要考慮了系統(tǒng)的可用性，但安全性方面做得比較少。比如有很多重要的財(cái)務(wù)數(shù)據(jù)，都在網(wǎng)上運(yùn)行卻沒有加密，有一些重要的系統(tǒng)管理行為甚至包括修改數(shù)據(jù)庫的行為，都沒有審計(jì)，用戶權(quán)限的劃分也很不清楚。再比如有些單位的財(cái)務(wù)系統(tǒng)是找外包公司開發(fā)的，但有的外包公司后來轉(zhuǎn)做別的業(yè)務(wù)了，這樣系統(tǒng)在運(yùn)維方面出現(xiàn)問題時(shí)就很難及時(shí)響應(yīng)和處置?！八约夹g(shù)層面以評(píng)估為主，管理和運(yùn)營層面以咨詢和規(guī)劃為主，業(yè)務(wù)系統(tǒng)自身安全性層面以咨詢和整改為主，是啟明星辰在幫上市公司做薩班斯審計(jì)時(shí)并行的三大項(xiàng)工作。實(shí)際中我們給客戶做的服務(wù)可能涉及各種角度，但大致都不外乎這三個(gè)方面。”

陳洪波認(rèn)為，啟明星辰的技術(shù)優(yōu)勢在于綜合性，在技術(shù)層面、管理和運(yùn)維層面、業(yè)務(wù)層面并駕齊驅(qū)、三管齊下。啟明星辰具備很強(qiáng)的專業(yè)咨詢服務(wù)能力，解決方案和產(chǎn)品也秉承啟明星辰一貫的安全思想，這種專業(yè)性和綜合性正是用戶所需要的。

談到今后的工作方向，陳洪波表示，未來無論是美國的薩班斯法案，還是國內(nèi)政策層面或行業(yè)性的要求，都是啟明星辰的契機(jī)，也會(huì)在很多方面持續(xù)提升啟明星辰對這一工作的認(rèn)識(shí)與實(shí)踐。啟明星辰在為用戶提供服務(wù)時(shí)，更多的是站在客戶信息化建設(shè)的角度考慮如何把信息安全工作做好，做到實(shí)處，通過滿足客戶需求來達(dá)到薩班斯法案或相關(guān)主管單位的政策要求，不能為了“合規(guī)”而“合規(guī)”。啟明星辰愿意依托薩班斯法案、國資委《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》、五部委會(huì)聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》等政策，立足于客戶業(yè)務(wù)實(shí)際安全運(yùn)維需求，為客戶持續(xù)提供優(yōu)質(zhì)的安全服務(wù)和產(chǎn)品。