面对企业IT内控 企业该何去何从
[时间:2011-01-20]  [文章来源:上海百络]  [责任编辑:master]
      IT内控与企业内控
    全球化背景下,共享与安全问题并存,越来越多的国家认识到,无论是市场还是企业本身,均存在着对企业内部控制的要求。许多国家均已颁布了相关法案,如美国的《萨班斯法案》(2002年安然、世通舞弊事件)、日本的《金融商品交易法》等。
    有“中国版萨班斯法案”之称的《企业内部控制基本规范》在企业治理、职权控制和信息发布方面提出了极为严格的监管要求。而据有关咨询公司对中国上市公司的一项调查显示,56%的受访公司尚未建立或完善内部控制机制,情况并不乐观。
    现今,国内大中型企业高度依赖IT系统作为业务的支撑,IT内控已成为是企业信息化管理中规避潜在风险的重要方法。使用技术手段实现IT内部控制与IT风险管理,方能帮助企业规避风险、提高管理水平。
    内控方案的五要素
    《企业内部控制基本规范》包含五要素:内部环境、风险评估、控制措施、信息与沟通、监督检查。
    深信服认为,作为企业内控重要组成部分的IT内控方案,也应从如上五方面考虑:
    1. IT环境
    企业IT环境是实施内控的依据。
    所采用的技术方案应适合组织文化、组织架构、已有网络环境、未来网络规划、IT管理制度、信息安全等级要求、信息安全保密要求等。能提供灵活的控制,在管理要求和人性化之间取得平衡;
    2. IT风险评估
    现在,来自网络的安全威胁如:病毒传播、网页/邮件挂马、黑客入侵、网络数据窃贼,来自组织内部的威胁:网络访问权限与职务不匹配、终端安全级别底下、安全防范意识不到位等,甚至系统内部泄密,已经使信息安全成为各行业信息化建设中的首要问题。
    IT管理者需要技术方案,对IT风险进行识别与分析,如信息资产的风险、IT管理制度的风险以及应用权限的风险。
    3. IT控制
    以风险评估为依据,IT管理者需要可实行的IT控制措施。正所谓“三分制度、七分管理”,采用技术手段配合制度已是共识。
    技术类控制措施,如身份管理、权限管理、局域网限速、信息过滤、日志留存、安全防护等,配合管理类控制措施,如各类制度与流程:授权审批、职权匹配、邮件监控、定期报表汇报、提前预估、IT绩效考核等。IT控制措施应符合企业现状,所选方案须有足够的灵活性,兼顾组织架构中各层级人物的需求。
    4. 信息与沟通
    企业应用信息技术促进信息的集成与共享,信息保密显得尤为重要。截至09年9月,我国每年因网络泄密导致的经济损失高达上百亿。其中,因为存在安全漏洞被攻击、入侵导致的被动泄密,因为利益诱惑导致的主动泄密,舞弊事件等,给企业造成商机泄露、客户流失、形象受损等诸多损失。
    IT管理者需要惩防并举、重在预防的技术方案,事前预防,事发拦截,事后追踪。
    5. 内部监督
    企业需要IT审核机制,通过日志监控、行为综合分析、定期专项评审等措施,评估控制的有效性,作为改进依据,并为安全事件的发生做好应急追踪预案。

    [关闭本页]
  关键词:  企业IT内控
首页 |  局域网监控软件 |  局域网管理软件 |  流量监控软件 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证