基于SOX法案权限与资源控制模型的研究

萨班斯法案全称Sarbanes—Oxley法案（SOX）,是美国颁布的一部旨在加强对上市公司监管,提高治理水平,提高投资者信心的法案。该法案中的302条款和404条款需要IT信息系统的配合及适应。现有IT治理规范中,COSO和COBIT规范是被广泛接受的标准化评价规范。该文从上面几点入手,着眼于SOX对企业信息系统在权限控制以及资源管理方面的要求,分析了为遵循SOX而需要达到的这两方面的功能和要求。最后基于分析得出的结论,提出了在SOA架构下的为遵循法案而设计的SOX Complier模型。SOX Complier结合了权限分析和审计监控功能,为企业范围各系统以及管理人员提供一系列服务组件,帮助企业信息系统提高安全性和效率,降低法案遵循成本,已达到更快更好遵循SOX法案的目的。     

SOX法案：点燃IT控制的星火

一个看似只与公司的财务审计活动有关的法案却牵动了全球无数CEO、CFO和CIO的神经—这就是被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”的Sarbanes-Oxley法案(以下简称“SOX法案”)。国外有媒体称,SOX法案是2005年CIO最为关注的几件事情之一。规避风险、完善内部控制,是SOX法案的核心诉求。由于企业的业务运作已经越来越依赖于IT系统,以致于IT控制成为企业内部控制的重要组成部分。也正因为如此,SOX法案与IT结下了不解之缘,成为时常萦绕在很多公司的CIO脑海中的一个新的词汇。自从2002年颁布以来,SOX法案就…     

电信运营商IT系统SOX法案符合性解决方案

在众多的境外融资渠道中，赴英上市、融资因其效果的明显而普遍受到国内企业的青睐。而赴美上市。就必须通过萨班斯法案（Sarbanes-Oxley法案，简称SOX法案）的要求。针对公司治理的SOX法案，虽然主要指向财务管理、经营管理，要求企业保证财务数据的真实性、全面性和及时性，但对于企业来说。这些规则的落脚点。恰恰是IT系统的有效性和可靠性的体现。     

IT运维如何应对SOX挑战？

SOX,一个看似与IT不相关的会计审计法案,一夜之间将公司的IT管理控制推到了风头浪尖之上。调查表明,主要针对SOX的IT合规管理已经成为全球CIO们2005年最为关心的话题。IT的SOX合规审计需要落实到企业对IT的有效管理控制上来,而参照ITIL实践模型建立IT服务管理流程是最好的解决方法之一。     

从SOX法案看IT内控

未来几年中,IT内控体系大大推动企业核心竞争力的现象也将逐步出现,或许这将在经济走出低谷、开始新一轮发展的过程中发挥出无法估量的作用。我国于2008年6月28日发布了《企业内部控制基本规范》(简称基本规范),这个被称为中国版SOX的规范自2009年7月1日起率先在上市公司范围内施行。作为实现企业内部控制的重要组成部分,IT控制体系的构建将是我国上市公司急需解决的问题。为此,我们不妨看看遵从SOX法案的IT内控体系是如何构建的。SOX法案对IT内控体系的要求主要有两个方面:一个是IT应用控制,由于大多数     

助力企业IT治理——卓益迭科技推出电信运营商IT系统SOX法案符合性解决方案

随着经济全球化的发展，很多国内企业正逐渐通过境外融资、上市。进而求得进军国际市场、规模化发展。在众多的境外融资渠道中，赴美上市、融资又因其效果的明显而普遍受到国内企业的膏眯。而赴美上市，就必须达到萨班斯法案（Sarbanes-Oxley法案，简称SOX法案）的要求。针对公司治理的SOX法案。虽然主要指向财务管理、经营管理，要求企业保证财务数据的真实性、全面性和及时性，但对于企业来说，这些规则的落脚点。恰恰是IT系统的有效性和可靠性的体现。     

SOX法案促进IT治理的完善

为符合SOX法案第404条款的要求,相关公司在IT治理的改善上做了很大的努力,主要表现在IT一般性控制和应用系统/业务流程层面的自动控制的改进。所谓IT一般性控制,包括IT的控制环境、对程序和数据的访问、程序开发、程序变更和计算机日常运作和最终用户计算环境。而应用系统/业务     

SOX法案与信息安全建设

2002年美国安然和世通财务丑闻案发生后,美国国会通过了一系列法案,其中包括萨班斯-奥克斯利法案(Sarbaties- Oxley Act,简称SOX法案),该法案特别是其中的404章节,对在美国上市的所有企业具有重大的影响。SOX法案要求在美国上市的公司必须建立一套有效的内部控制制度,并在年报中对内部控制的有效性进行评价,评价结果还需要经过审计师的审计。该法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。SOX法案要求企业针对产生财务交易的所有作业流程,都做到能见度／透明     

华能国际电力牵手慧点科技开启中国SOX法案遵循先河

近日，华能国际电力有限公司正式与慧点科技签订SOX软件实施项目合同，开启了中国SOX法案遵循的先河。SOX发案全称《萨班斯——奥克斯利法案》是安然、世通等财务欺诈事件发生后美国证监会于2002年七月30日颁布并实施的强制所有在美国上市的公司在2005年底前执行的一项内部控制法案。IBM公司针对SOX法案开发了一套集成软件产品IBM Lotus Workplace for Business Controls and Reporting(以下简称为WBCR)。     

InTrust助力企业的内部控制有效性：QuestInTrust事件日志管理解决方案

SOX法案是来自政府法律法规强制执行的典范。它于2005年7月15日开始实施，在美上市的很多中国企业，也同时受到这一法案的制约。目前，这些中国企业的高级管理人员，几乎无一例外，都为一件事忙碌——为企业建立内部控制配套制度。     

Sarbanes-Oxley: Achieving Compliance by Starting with ISO 17799

Compliance with the Sarbanes-Oxley Act of 2002 (SOX) has been hampered by the lack of implementation details. This article argues that IT departments that have implemented ten categories of IT controls provided by the International Standards Organization (ISO 17799) will be well on their way toward SOX compliance. A side-by-side comparison of the 124 control components of the ISO Standard and the published SOX implementation guidelines is provided.     

试谈IT安全运维管理的应用

利用IT安全运维系统能够全面、正确、及时地反映被管系统的运行状态,提高运维的质量和效率,确保信息部门的技术支持服务,以及信息化管理工作更为畅通、透明、完整和有效.提出了将信息安全运维管理应用到工业控制中,应对安全攻击,切实保障工控网络信息安全.     

Sarbanes—Oxley and Enterprise Security: IT Governance — What It Takes to Get the Job Done

Abstract

Several sections of the Sarbanes— Oxley Act of 2002 (SOX) directly affect the governance of the information technology (IT) organization, including potential SOX certification by the chief information officer, Section 404 internal control assessments, “rapid and current” disclosures to the public of material changes, and authentic and immutable record retention. The Securities and Exchange Commission (SEC) requires publicly traded companies to comply with the Treadway Commission's Committee of Sponsoring Organizations (COSO) that defines enterprise risk and places security as a critical variable in enterprise risk assessment. Effective IT and security governance are examined in terms of SOX compliance. Motorola IT security governance demonstrates effective structures, processes, and communications; centralized security leaders participate with Motorola's Management Board to create an enabling security organization to sustain long-term change.     

电力企业IT运维服务管理分析

介绍了电力企业当前的信息运维管理模式及其存在的弊端,在企业日益增长的个性化服务需求下,IT部门的运维管理模式应该逐步从"以应用为中心"向"以服务为中心"转变,从"被动运维"向"主动服务"转变,将ITIL理论运用于企业信息化服务之中,优化IT部门的管理体制、工作流程和服务模式,提高IT运维服务水平。     

When users are IT experts too: the effects of joint IT competence and partnership on satisfaction with enterprise-level systems implementation

Enterprise-level information systems (IS) are fundamental to businesses. Unfortunately, implementing these large-scale systems is a complex and risky endeavor. As a result, these initiatives must tap the expertise and active involvement of both the IS department and the enterprise's functional areas. Past studies focusing on IS implementation teams consistently identify the IS department as the source of technical expertise and leadership, while functional department team members are typically relegated to the role of business experts. However, unlike the past, many business professionals are knowledgeable about information technology (IT) and are increasingly capable of contributing to IS implementations from a technical perspective as well as a business perspective. This study examines how IT competence held by both the IS department and the user department stakeholders contributes to user satisfaction with the enterprise-level system implementation. Specifically, this research introduces a theoretically grounded construct, joint IT competence, which emerges when the IS department and user department stakeholders integrate their individually held IT competences. The study's results empirically demonstrate that joint IT competence is a key driver of user satisfaction in enterprise-level IS implementations. Although not as significant as joint IT competence, results show that partner-based leadership between the IS department and user stakeholders also influences user satisfaction with IS implementations.     

Introducing "Insecure IT"

This article introduces "insecure IT", a new department for IT Professional that will cover security weaknesses in IT systems, ranging from desktops to global e-commerce networks. This regular feature will offer ideas to improve IT security, both by looking at ways it can go wrong as well as by covering good practices.     

市政管理信息化规划的探讨

市政管理部门是城市基础设施、公用事业行业的管理部门,主要业务以市政基础设施的建设、养护与公用事业行业监管为主.市政管理部门的信息化建设由于涉及多个管理专业领域,外部环境与内部环境复杂,因此存在很大的难度.本文从规划的角度,提出市政管理信息化建设的思路,以及主要的建设内容.     

试谈桌面标准化

企业的IT桌面支持服务是企业IT部门的工作内容之一,其技术含量不高,但工作繁重,长期占用IT人员大量的时间和精力。如何提高质量和效率,是实现高质量IT服务管理的关键任务。     

IT危机预警管理系统初探

随着互联网应用的深入,计算机系统安全受到的威胁日益增加,IT危机预警变得日益重要。从IT危机内涵出发,指出建立IT危机预警管理系统的必要性,之后给出IT危机预警管理系统的流程。重点讨论了预警分析的内容及危机预控对策。力求建立可操作性的IT危机预警管理系统,为计算机系统的防护措施提供理论上和对策上的指导。     

Integrating Core it Processes: A Case Study

Because of their growing importance, IT organizations are reexamining how they manage their core processes. Most often, these processes are disconnected, isolated, and barely controlled. the IT organization studied in this article used a holistic approach to evaluate, design, and implement a framework that integrates core IT processes. This integration helped the IT department to gain control of its key activities.