【51CTO.com 綜合消息】2002年美國國會通過的《2002上市公司會計改革與投資者保護(hù)法案》（簡稱：薩班斯法案）對業(yè)界人士來說已經(jīng)不陌生了，該法案對公司治理、會計師行業(yè)監(jiān)管和證券市場監(jiān)管等方面提出了許多新的嚴(yán)格要求，并設(shè)定了問責(zé)機(jī)制和相應(yīng)的懲罰措施。由于被業(yè)內(nèi)人士看作是20世紀(jì)30年代以來，美國最嚴(yán)厲的財務(wù)法則，加上監(jiān)管的范圍是在美國上市的所有企業(yè)，當(dāng)時這個“時髦”法案的出臺既引起了全世界的關(guān)注也在業(yè)界引起了不小的波瀾。

盡管薩班斯法案2002年就出爐了，但真正在中國的落地與實踐，還是國內(nèi)的大型企業(yè)在美國上市以后。很多在美上市的國內(nèi)大型企業(yè)是從2004年底開始準(zhǔn)備這項工作。

據(jù)悉，為了符合薩班斯法案的標(biāo)準(zhǔn)，尤其是404條款關(guān)于建立內(nèi)部控制體系的要求，無論是美國本土公司還是在美國上市的中國公司都面臨著巨大考驗，可以說花費了大量的人力、財力、時間。在與這項極具挑戰(zhàn)性的法案密切相關(guān)的實踐案例中，國內(nèi)信息安全公司啟明星辰參與的重大客戶項目到目前為止已有幾十項。其中，運營商、央企是啟明星辰很重要的一類客戶，啟明星辰的主要客戶集中在金融、電信、政府、能源……等大型企業(yè)。那么啟明星辰對薩班斯法案有著怎樣的解讀，又為其具體做了哪些貢獻(xiàn)？對此，本刊記者專門采訪了啟明星辰安全服務(wù)總監(jiān)陳洪波博士。

陳博士表示，薩班斯法案的主要要求是針對上市公司財務(wù)的運營、監(jiān)管、審計等等。啟明星辰作為一家專業(yè)的信息安全企業(yè)，在參與薩班斯法案工作中對于自己的角色定位非常明確，與那些全職來做財務(wù)審計的公司不同，啟明星辰更擅長的是基于薩班斯的IT審計要求，為客戶提供專業(yè)的信息安全咨詢與審計服務(wù)。

2005年揭開薩班斯法案安全服務(wù)序幕

啟明星辰參與薩班斯法案工作起始于2005年的下半年，當(dāng)時承擔(dān)了國內(nèi)某知名運營商的一個項目。在2005-2006年，這家運營商財務(wù)部的高層乃至整個運營部的高層都非常重視薩班斯法案的工作，當(dāng)時在國內(nèi)薩班斯法案工作的實踐方面，這家運營商是起步非常早的，在當(dāng)時也是在摸著石頭過河，傳統(tǒng)行業(yè)最開始并沒有接觸到薩班斯這一塊。當(dāng)時一家美國審計公司已經(jīng)幫該客戶做了嚴(yán)格意義上的薩班斯審計，耗費了大量的人力物力財力，也收到了比較明顯的效果。在通過財務(wù)審計之后，客戶仍舊感覺在信息安全方面做得夠不夠，對其核心財務(wù)系統(tǒng)的安全狀況仍舊不能掌握，所以在2005年下半年啟動了一項專門針對薩班斯審計范圍之內(nèi)某財務(wù)系統(tǒng)的全國范圍內(nèi)的風(fēng)險評估與整體咨詢，這個評估更多地是站在信息安全的角度。在經(jīng)過對國內(nèi)安全廠商的深入了解之后，該運營商專門找到啟明星辰公司，由啟明星辰專業(yè)的安全服務(wù)團(tuán)對從基礎(chǔ)技術(shù)、管理運維以及財務(wù)系統(tǒng)自身安全性這三大維度給出全面評估。項目實施后，不但完全符合薩班斯的要求，而且實實在在地從三大維度提升了該應(yīng)用系統(tǒng)的整體安全程度，該運營商對服務(wù)效果表示非常滿意。

“客戶的滿意點在于，確確實實感覺到這個業(yè)務(wù)系統(tǒng)本身的安全管理、運營、基礎(chǔ)設(shè)施的安全性以及財務(wù)系統(tǒng)自身的安全程度得到了顯著提升。”陳洪波說。

啟明星辰在評估中發(fā)現(xiàn)，該運營商的財務(wù)系統(tǒng)從底層的技術(shù)設(shè)備到財務(wù)軟件本身都存在一些問題，并據(jù)此提出了安全方面的建議。在采納了這些建議之后，該運營商針對管理運維、基礎(chǔ)設(shè)施安全以及財務(wù)軟件自身的安全性等幾個方面重新進(jìn)行了安全增強(qiáng)。可以說，這些方面在財務(wù)審計公司的審計范圍都有涉及，但在深度上做的不夠，而IT內(nèi)審中的深度安全風(fēng)險分析恰恰是專業(yè)信息安全廠商的優(yōu)勢。

事實上，薩班斯對IT系統(tǒng)的要求在于運維的安全性、可用性和對財務(wù)制度的符合性。在安全性和可用性方面，尤其是安全性方面，啟明星辰發(fā)現(xiàn)的問題可以說給這家運營商很多提示，帶來的一個直接效果是，項目還沒有結(jié)束，客戶就已經(jīng)開始讓開發(fā)商修改系統(tǒng)進(jìn)行二次開發(fā)，重新定制開發(fā)業(yè)務(wù)系統(tǒng)的安全功能模塊。

薩班斯之惑

啟明星辰在2005年開始為客戶做薩班斯法案方面的安全服務(wù)工作之前，自身已經(jīng)有了4、5年的技術(shù)經(jīng)驗積累，包括風(fēng)險評估、管理咨詢等。啟明星辰是國內(nèi)最早從事專業(yè)安全服務(wù)的公司，包括前文提到的運營商，此前也是啟明星辰的重點客戶，為其做過很多次各種角度的安全服務(wù)。

而在當(dāng)時，針對薩班斯法案的理解，不僅是用戶包括啟明星辰自己也產(chǎn)生過相關(guān)的疑問。第一，已經(jīng)有大型的國外審計公司幫用戶做過IT 審計了，提供了全面的表單和風(fēng)險點、整改項，那么啟明星辰還能為用戶做什么，安全廠商的價值和意義如何體現(xiàn)？第二，啟明星辰所做的工作與薩班斯法案到底有多大的契合度？

眾所周之，薩班斯法案在404條款里面提到了“內(nèi)控體系”，而企業(yè)的內(nèi)控很大程度上就是IT內(nèi)控，IT內(nèi)控包括很多層面：可用性或者對制度的符合程度、內(nèi)部嚴(yán)格的管理流程等。具體到信息安全工作來講，這個外延并不清晰。“當(dāng)然這種內(nèi)控管理，不管是管理制度、管理活動還是相關(guān)的記錄，其實如果從安全視角來看，大部分都跟安全有關(guān)，但是并沒有都標(biāo)明安全的稱號。”陳博士說。

“大家都認(rèn)為404條款是薩班斯法案里面最嚴(yán)厲、最昂貴的一條。所以帶著這兩個疑問，啟明星辰做了很多思考，在已有經(jīng)驗的基礎(chǔ)上，結(jié)合一系列具體的項目實踐，我們對薩班斯有了更高的認(rèn)識，也提升了風(fēng)險管理的能力。可以說，啟明星辰目前在薩班斯的IT內(nèi)控方面的解決方案和經(jīng)驗在業(yè)界是相當(dāng)領(lǐng)先的。”

此后的數(shù)十個成功案例表明，啟明星辰在IT內(nèi)控領(lǐng)域已經(jīng)走在了行業(yè)的最前面。與財務(wù)審計公司相比，啟明星辰在IT風(fēng)險管理方面的專業(yè)性更強(qiáng)，視角更獨到。同時，啟明星辰在這方面的人員投入也非常大，整個公司有將近100人的一個專業(yè)服務(wù)團(tuán)隊。而據(jù)記者了解，專做薩班斯的國外財務(wù)審計公司，他們在IT方面的人員投入，10多個人就算多的了，很多時候是幾個人。

針對薩班斯的產(chǎn)品和解決方案，啟明星辰也陸續(xù)進(jìn)行了完善。狹義的方面，啟明星辰專門針對運營商開發(fā)了4A審計平臺和解決方案，可以說完全是契合薩班斯要求的；另外公司的主打安全產(chǎn)品也針對內(nèi)控內(nèi)審的要求為用戶實現(xiàn)了定制，比如天玥審計產(chǎn)品、天清漢馬UTM（統(tǒng)一威脅管理）、泰合安全管理平臺（SOC）等，都與薩班斯緊密相關(guān)。

啟明星辰專業(yè)安全服務(wù)中心在2008年開始，陸續(xù)推出了六大類安全服務(wù)、17個標(biāo)準(zhǔn)化的產(chǎn)品包，涵蓋安全風(fēng)險評估類、安全管理咨詢類、等級保護(hù)咨詢類、安全審計咨詢類、安全管理監(jiān)控服務(wù)類和綜合安全服務(wù)類等服務(wù)。其中針對境內(nèi)境外上市的中國公司和央企的風(fēng)險管理，重點推出了合規(guī)審計咨詢服務(wù)，包含4個服務(wù)產(chǎn)品包，從服務(wù)內(nèi)容、服務(wù)流程、服務(wù)實施到相關(guān)的表格表單、項目管理都形成了比較成熟的體系。

政策的積極作用與啟明星辰的優(yōu)勢

薩班斯所強(qiáng)調(diào)的風(fēng)險管理，在廣義的理解中，可以稱為企業(yè)運營風(fēng)險管理，涵蓋了信用風(fēng)險、市場風(fēng)險和運營風(fēng)險等。運營風(fēng)險里面很重要的一點就是IT風(fēng)險，近幾年來無論是國家主管機(jī)關(guān)，還是行業(yè)主管以及金融、運營商、央企等各行業(yè)自身，都對風(fēng)險管理工作越來越重視。IT風(fēng)險管理最重要的就是安全風(fēng)險管理，因為IT的風(fēng)險管理，需要解決是IT信息系統(tǒng)停頓、不可用和泄密等問題，尤其要站在業(yè)務(wù)需求的角度考慮IT風(fēng)險管理，所有這些都與信息安全有關(guān)。

陳洪波坦言，薩班斯法案在操作實施的過程中也不乏難點，比如通過長時間的實踐，不少用戶感覺薩班斯法案中的個別要求在執(zhí)行方面顯得力度不足，這是國內(nèi)企業(yè)和美國企業(yè)在自身成長、外部環(huán)境方面的差異造成的，若審計結(jié)果不能提供有效的解決建議或解決辦法，則部分審核內(nèi)容難以落地。另外，財務(wù)審計公司投入的人力資源有限、某些方面容易流于形式等。可以說，薩班斯法案必須結(jié)合中國國情，一步一步來落實，這也需要一個過程。

近年來國家在大力提倡進(jìn)行風(fēng)險管理，薩班斯尤其是國內(nèi)相關(guān)政策的出臺，進(jìn)一步促進(jìn)了各企業(yè)尤其是上市企業(yè)對風(fēng)險管理工作的認(rèn)識，對促使企業(yè)IT風(fēng)險管理更全面更規(guī)范，又非常明顯的積極意義。

陳洪波介紹說，IT風(fēng)險管理主要涵蓋技術(shù)層面、管理運維層面和業(yè)務(wù)系統(tǒng)自身的安全性層面。其中第三方面是啟明星辰在薩班斯實踐中延展出來的很重要的一個視角。有的安全企業(yè)可能看到了這一點，但并不是很重視，有的安全企業(yè)可能更關(guān)注風(fēng)險評估，或者從事專門的安全咨詢，而啟明星辰在這三個方面都具有明顯的優(yōu)勢。

在與用戶的接觸中，啟明星辰發(fā)現(xiàn)用戶在業(yè)務(wù)系統(tǒng)的自身安全性層面往往存在很多問題。很多上市企業(yè)，他們的財務(wù)系統(tǒng)或其它的業(yè)務(wù)系統(tǒng)在開發(fā)、定制或者購買的時候，主要考慮了系統(tǒng)的可用性，但安全性方面做得比較少。比如有很多重要的財務(wù)數(shù)據(jù)，都在網(wǎng)上運行卻沒有加密，有一些重要的系統(tǒng)管理行為甚至包括修改數(shù)據(jù)庫的行為，都沒有審計，用戶權(quán)限的劃分也很不清楚。再比如有些單位的財務(wù)系統(tǒng)是找外包公司開發(fā)的，但有的外包公司后來轉(zhuǎn)做別的業(yè)務(wù)了，這樣系統(tǒng)在運維方面出現(xiàn)問題時就很難及時響應(yīng)和處置。“所以技術(shù)層面以評估為主，管理和運營層面以咨詢和規(guī)劃為主，業(yè)務(wù)系統(tǒng)自身安全性層面以咨詢和整改為主，是啟明星辰在幫上市公司做薩班斯審計時并行的三大項工作。實際中我們給客戶做的服務(wù)可能涉及各種角度，但大致都不外乎這三個方面。”

陳洪波認(rèn)為，啟明星辰的技術(shù)優(yōu)勢在于綜合性，在技術(shù)層面、管理和運維層面、業(yè)務(wù)層面并駕齊驅(qū)、三管齊下。啟明星辰具備很強(qiáng)的專業(yè)咨詢服務(wù)能力，解決方案和產(chǎn)品也秉承啟明星辰一貫的安全思想，這種專業(yè)性和綜合性正是用戶所需要的。

談到今后的工作方向，陳洪波表示，未來無論是美國的薩班斯法案，還是國內(nèi)政策層面或行業(yè)性的要求，都是啟明星辰的契機(jī)，也會在很多方面持續(xù)提升啟明星辰對這一工作的認(rèn)識與實踐。啟明星辰在為用戶提供服務(wù)時，更多的是站在客戶信息化建設(shè)的角度考慮如何把信息安全工作做好，做到實處，通過滿足客戶需求來達(dá)到薩班斯法案或相關(guān)主管單位的政策要求，不能為了“合規(guī)”而“合規(guī)”。啟明星辰愿意依托薩班斯法案、國資委《中央企業(yè)全面風(fēng)險管理指引》、五部委會聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》等政策，立足于客戶業(yè)務(wù)實際安全運維需求，為客戶持續(xù)提供優(yōu)質(zhì)的安全服務(wù)和產(chǎn)品。