www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 法規(guī)遵從性與IT審計(jì)的研究

    2014-11-08 21:59:32 大云網(wǎng)  點(diǎn)擊量: 評(píng)論 (0)
    一、法規(guī)遵從性的含義與影響  1.何為遵從性  遵從(Compliance)在詞典里的含義是遵照正式或官方的規(guī)定。目前IT領(lǐng)域被廣泛研究和談?wù)摰姆ㄒ?guī)遵從性(Act Compliance)則將這種遵
    一、法規(guī)遵從性的含義與影響
      1.何為遵從性
      遵從(Compliance)在詞典里的含義是遵照正式或官方的規(guī)定。目前IT領(lǐng)域被廣泛研究和談?wù)摰姆ㄒ?guī)遵從性(Act Compliance)則將這種遵照的標(biāo)準(zhǔn)鎖定到了相關(guān)的正式法律和法規(guī)上。〔1 〕這種遵照行為具有多重含義:
      正式或官方規(guī)定的強(qiáng)制性;遵守正式規(guī)定所能帶給遵從者的利益和機(jī)會(huì);選擇違反、忽視或放棄相關(guān)規(guī)定可能導(dǎo)致的政策、法律及連帶經(jīng)濟(jì)風(fēng)險(xiǎn);遵從者的出發(fā)點(diǎn)、意圖與策略;遵從者的行動(dòng)過(guò)程及獲得的結(jié)果比對(duì)正式規(guī)定的符合度;符合性報(bào)告對(duì)遵從者未來(lái)行為與過(guò)程的改進(jìn)作用;遵從者為此的投入與付出。
      IT法規(guī)遵從性從系統(tǒng)工程的角度,迫使企業(yè)重新檢查他們的IT系統(tǒng),并要求企業(yè)認(rèn)真做好信息生命周期管理的每一個(gè)步驟。〔2 〕相關(guān)法規(guī)和方案直接規(guī)定或間接關(guān)聯(lián)了若干與遵從性相關(guān)的關(guān)鍵能力項(xiàng)。保護(hù)系統(tǒng)和網(wǎng)絡(luò)需要有效的IT策略。在很多情況下,擁有周密的安全策略不僅僅是一個(gè)明智的選擇,有時(shí)也是法律要求。相關(guān)管理規(guī)章和法規(guī)(如《Sarbanes-Oxley法案》和《醫(yī)療保險(xiǎn)信息交換與保密法案》)都為數(shù)據(jù)保護(hù)、保留和隱私制定了嚴(yán)格的標(biāo)準(zhǔn)。
      保持遵從的關(guān)鍵在于能夠統(tǒng)一監(jiān)控并實(shí)施可使企業(yè)時(shí)刻受到保護(hù)的策略。
      2.相關(guān)的法規(guī)、方案與要求
      目前企業(yè)在生產(chǎn)經(jīng)營(yíng)中經(jīng)常會(huì)涉及的國(guó)外法規(guī)包括《薩班斯-奧克斯萊法案(Sarbanes-Oxley)》、《健康保險(xiǎn)可攜性和可糾責(zé)性法案(HIPAA)》、《格雷姆-里奇-比利雷法(GLBA)》、《加利福尼亞州參議院第1386號(hào)議案》、《歐洲共同體數(shù)據(jù)保密指令》美國(guó)食品和藥品管理局(FDA)制藥規(guī)定21CFR第11篇等。近兩年我國(guó)頒布實(shí)施的《電子簽名法》、《中國(guó)信息安全產(chǎn)業(yè)反不正當(dāng)競(jìng)爭(zhēng)公約》以及有關(guān)信息安全方面的一系列標(biāo)準(zhǔn),都是企業(yè)在生產(chǎn)經(jīng)營(yíng)過(guò)程中需要遵循的內(nèi)容。〔3 〕
      就目前來(lái)說(shuō),中國(guó)企業(yè)法規(guī)遵從的主要問(wèn)題集中在信息安全與信息披露等方面,尤其是國(guó)外相關(guān)管理部門(mén)制定的一系列信息安全規(guī)定。對(duì)于企業(yè)的CEO、CFO、CIO以及眾多高層管理人員來(lái)說(shuō),法規(guī)遵從已經(jīng)是他們不可回避的問(wèn)題。要滿足這些法規(guī)遵從方面的要求,企業(yè)一方面在業(yè)務(wù)流程上要依據(jù)法規(guī)要求,做出相應(yīng)的調(diào)整,另一方面由于現(xiàn)代企業(yè)中IT與業(yè)務(wù)的息息相關(guān),因此,企業(yè)的IT系統(tǒng)也不可避免地需要進(jìn)行相對(duì)應(yīng)的改變。
      以美國(guó)證券交易委員會(huì)SEC(Securities & Exchange Commission)中對(duì)交易記錄保存所作規(guī)定為例。其中規(guī)定,如果會(huì)員單位、經(jīng)紀(jì)人或經(jīng)銷(xiāo)商使用電子存儲(chǔ)介質(zhì),則對(duì)電子記錄有以下要求:只能以不可改寫(xiě)、不可擦除的格式保存記錄;自動(dòng)驗(yàn)證存儲(chǔ)介質(zhì)記錄過(guò)程的質(zhì)量和準(zhǔn)確性;將原存儲(chǔ)介質(zhì)和其副本單元(如果合適)以及此電子存儲(chǔ)介質(zhì)上存儲(chǔ)的信息的保留期的日期和時(shí)間序列化;有能力應(yīng)交易委員會(huì)或自律機(jī)構(gòu)的要求隨時(shí)下載電子存儲(chǔ)介質(zhì)上保存的索引和記錄;對(duì)電子記錄所做出的以不可改寫(xiě)、不可擦除的格式保存的要求是要確保信息的完整性。
      驗(yàn)證信息質(zhì)量和準(zhǔn)確性實(shí)際上也是對(duì)信息完整性的要求,在SEC所規(guī)定的“能夠及時(shí)下載保存在電子存儲(chǔ)介質(zhì)上的索引和記錄”,是對(duì)電子記錄的可存取性的具體規(guī)定。當(dāng)然,保密性對(duì)所有經(jīng)濟(jì)運(yùn)營(yíng)來(lái)說(shuō)也是一個(gè)重要考慮事項(xiàng)。
      從上述舉例中,我們可以看到其中對(duì)電子記錄有三個(gè)共同的基本要求:第一個(gè)要求是確保信息的完整性,第二個(gè)要求是維護(hù)信息的保密性,第三個(gè)要求是確保信息能夠在適當(dāng)?shù)臅r(shí)間以適當(dāng)?shù)母袷皆L問(wèn)。〔4 〕
      二、IT審計(jì)
      審計(jì)是一個(gè)范圍、層次和含義很廣的概念,如審計(jì)軟件或系統(tǒng)的定義為:對(duì)計(jì)算機(jī)上的通信和操作的內(nèi)容進(jìn)行采集、分析、追蹤、審查,提出警告信息,并給予日志性記載。而另一方面在更大的角度上,審計(jì)的概念可以概括為對(duì)管理和控制過(guò)程與行動(dòng)的記錄和監(jiān)控,以判斷原始意圖是否正確貫徹。
      隨著企業(yè)實(shí)施信息化進(jìn)程的不斷深入。從信息系統(tǒng)安全性方面我們看到硬件故障、程序故障、操作系統(tǒng)錯(cuò)誤、計(jì)算機(jī)犯罪,設(shè)備災(zāi)害以及保密數(shù)據(jù)泄漏等現(xiàn)象發(fā)生的可能性愈來(lái)愈高。此外,從投資的角度上,隨著信息化投資成本的不斷增加,投資效果反而不明顯。信息系統(tǒng)審計(jì)(IT審計(jì))正是為了解決上述問(wèn)題,提高信息系統(tǒng)的安全性、可靠性和開(kāi)發(fā)運(yùn)營(yíng)效率,使企業(yè)信息化得到健康、全面的發(fā)展而引入的預(yù)防機(jī)制。
      因此,不難看出IT審計(jì)是實(shí)現(xiàn)法規(guī)遵從性的必然和必要工具和手段,同時(shí)遵從性法規(guī)的內(nèi)容在技術(shù)層面也是對(duì)企業(yè)IT系統(tǒng)及管理的要求和指南。信息系統(tǒng)審計(jì)的對(duì)象包括:由計(jì)算機(jī)硬件和軟件結(jié)合而成的信息系統(tǒng)以及與信息系統(tǒng)的輸入、輸出相關(guān)的活動(dòng)。廣義的講,即信息系統(tǒng)以及信息系統(tǒng)生命周期的所有活動(dòng);因此,信息系統(tǒng)審計(jì)并不局限于業(yè)務(wù)運(yùn)營(yíng)時(shí)期,與信息系統(tǒng)相關(guān)的開(kāi)發(fā)活動(dòng),包括企業(yè)信息化戰(zhàn)略企劃、信息系統(tǒng)計(jì)劃、開(kāi)發(fā)、實(shí)施和維護(hù)等相關(guān)的開(kāi)發(fā)方面的活動(dòng)也是信息系統(tǒng)審計(jì)的內(nèi)容之一。
      實(shí)施信息系統(tǒng)審計(jì),可以從如下幾個(gè)方面著手提高信息系統(tǒng)的安全性:對(duì)自然災(zāi)害及不可抗拒災(zāi)害的應(yīng)對(duì)措施進(jìn)行審核和評(píng)價(jià),一旦發(fā)生時(shí)能使損失和影響降至最低;從安全方面對(duì)信息系統(tǒng)進(jìn)行審核和評(píng)價(jià),防止數(shù)據(jù)的外泄、破壞或修改、非法入侵等情況發(fā)生,保證企業(yè)機(jī)密不外泄。
      實(shí)施信息系統(tǒng)審計(jì),可以從如下幾個(gè)方面著手提高信息系統(tǒng)的效率:從信息系統(tǒng)的資源是否最大限度地被利用為落腳點(diǎn)進(jìn)行核查、評(píng)價(jià),實(shí)現(xiàn)信息系統(tǒng)在業(yè)務(wù)和負(fù)載方面的均衡;對(duì)信息系統(tǒng)的計(jì)劃、開(kāi)發(fā)、實(shí)施和運(yùn)營(yíng)各階段的(費(fèi)用/效果)指標(biāo)進(jìn)行定性或定量的核查、評(píng)價(jià),確保信息系統(tǒng)利益最大化。
      三、法規(guī)遵從對(duì)企業(yè)IT建設(shè)的導(dǎo)向性作用
      1.集中的安全風(fēng)險(xiǎn)管理
      以技術(shù)為中心的專(zhuān)門(mén)方法來(lái)解決安全和法規(guī)遵從問(wèn)題,是一種直接和自然的應(yīng)對(duì)措施。然而,試圖靠單個(gè)產(chǎn)品的力量來(lái)解決新威脅和遵從新法規(guī)正變得越來(lái)越困難,成本也日益高昂。將廣泛分散的單點(diǎn)解決方案的信息集成起來(lái)并采取行動(dòng),也需要耗費(fèi)大量的人力。另外,隨著解決方案的復(fù)雜性和數(shù)量的增加,人們出錯(cuò)或疏忽的幾率也會(huì)上升。
      集中的安全風(fēng)險(xiǎn)管理方法將包括了威脅防護(hù)功能(防病毒、入侵防護(hù)以及防間諜軟件)、策略增強(qiáng)、漏洞修復(fù)、接入控制、審計(jì)和數(shù)據(jù)損失防護(hù)等安全功能和機(jī)制的服務(wù)進(jìn)行集成,通過(guò)統(tǒng)一和集中的管理機(jī)制來(lái)自動(dòng)化地增強(qiáng)企業(yè)的整體防護(hù)并將遵從性的IT安全策略從紙面策略變?yōu)樾袆?dòng),通過(guò)利用合并的管理點(diǎn)提高公司運(yùn)營(yíng)效率。
      集中安全風(fēng)險(xiǎn)管理解決能夠幫助企業(yè)優(yōu)化其安全風(fēng)險(xiǎn)和法規(guī)遵從管理流程的同時(shí),也很大程度地提高了其業(yè)務(wù)可用性和數(shù)據(jù)保護(hù)級(jí)別。統(tǒng)一的知識(shí)庫(kù)可以包含風(fēng)險(xiǎn)以及前瞻性地配置和管理該環(huán)境所需的全部信息。威脅防護(hù)和法規(guī)遵從管理系統(tǒng)成為聯(lián)系業(yè)務(wù)流程和現(xiàn)實(shí)世界的紐帶,它能確保人們及其所用的技術(shù)與安全策略和諧相處,有效地抵御各種威脅。
      2.人員、流程、技術(shù)
      從信息技術(shù)的角度去審視法規(guī)遵從性,除了以上三個(gè)基本要求外,還涉及到人員、流程和技術(shù)三個(gè)重要環(huán)節(jié)。這些環(huán)節(jié)一定要與企業(yè)或組織的業(yè)務(wù)目標(biāo)和管理政策相結(jié)合,具體結(jié)合的情況可歸結(jié)為以下三個(gè)方面:
      (1)信息和記錄管理政策和程序。企業(yè)和組織應(yīng)當(dāng)對(duì)其信息和記錄管理政策和做法加以定期審查,使所記錄的信息和數(shù)據(jù)能夠反映該企業(yè)和組織當(dāng)前的運(yùn)營(yíng)結(jié)構(gòu)、法律和法規(guī)環(huán)境、訴訟歷史以及業(yè)務(wù)目標(biāo)。
      (2)領(lǐng)導(dǎo)支持和組織架構(gòu)。企業(yè)和組織高層主管應(yīng)當(dāng)認(rèn)識(shí)到信息和記錄管理的重要性,而且他們?cè)陂_(kāi)發(fā)、管理和推動(dòng)各項(xiàng)計(jì)劃中能夠發(fā)揮積極作用。此外,高層管理人員必須經(jīng)常向所有員工和雇員明確信息和記錄管理的策略和內(nèi)部的規(guī)定,并且還配備必要的管理和監(jiān)督人員。
      (3)技術(shù)環(huán)境。從大量案例看,許多信息和記錄管理的失敗源于企業(yè)在業(yè)務(wù)記錄創(chuàng)建、保存和管理所用信息技術(shù)方面的不當(dāng)投資和管理。電子郵件和其他形式的電子信息等的存儲(chǔ)和處理應(yīng)引起企業(yè)和組織的認(rèn)真對(duì)待,以便確保這些以電子形式存在的記錄能夠像紙質(zhì)信息那樣得到同等的照顧和關(guān)注。
      3.信息生命周期的角色
      值得注意的是,在技術(shù)的采用、過(guò)程的執(zhí)行和人員的協(xié)調(diào)中,業(yè)務(wù)記錄是其核心和焦點(diǎn)。業(yè)務(wù)記錄是有生命的,每一條信息和每一份業(yè)務(wù)文檔都有一個(gè)生命周期,從創(chuàng)建或捕獲起,歷經(jīng)多次修改、轉(zhuǎn)發(fā)和批準(zhǔn),接觸許多不同的應(yīng)用程序,直至最后被處置掉。
      經(jīng)歷了一個(gè)生命周期的過(guò)程,我們可以將業(yè)務(wù)記錄的管理納入到整個(gè)業(yè)務(wù)記錄生命周期管理中來(lái)考慮,這就是信息生命周期管理的觀點(diǎn)。
      因而協(xié)調(diào)人員、過(guò)程和技術(shù)來(lái)實(shí)現(xiàn)法規(guī)遵從性,第一步是理解業(yè)務(wù)記錄的生命周期,并對(duì)所有業(yè)務(wù)記錄按照其重要性和價(jià)值進(jìn)行很好的分類(lèi)。然后,按照業(yè)務(wù)流程中所制定的各項(xiàng)策略選擇業(yè)務(wù)記錄的存儲(chǔ)環(huán)境,確保在做到法規(guī)遵從性的同時(shí),降低業(yè)務(wù)記錄的存儲(chǔ)和管理的費(fèi)用和成本。
      這就是以信息生命周期管理的策略來(lái)強(qiáng)化法規(guī)遵從性的一個(gè)重要目的,也是當(dāng)前信息系統(tǒng)主管為滿足法規(guī)遵從性的需要所尋求的新的信息管理的策略。
      總之,面對(duì)經(jīng)濟(jì)和技術(shù)快速發(fā)展的今天,要做好法規(guī)遵從性,確實(shí)是一個(gè)巨大的挑戰(zhàn),但同時(shí)又是一個(gè)極好的機(jī)遇,它促使我們的企業(yè)和組織去認(rèn)真思考和審視當(dāng)前信息管理的策略及各項(xiàng)工作,把我們的信息技術(shù)用得更好、更加安全和有效,幫助我們?cè)谛乱惠喌娜蚋?jìng)爭(zhēng)環(huán)境中取勝。
    大云網(wǎng)官方微信售電那點(diǎn)事兒
    免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
    我要收藏
    個(gè)贊
    ?
    国产精华最好的产品人V中文| 看免费真人直播网站| 国产女人好爽| 欧美日韩国产VA在线观看免费| 动漫精品中文字幕制服一区| 午夜精品久久久久久久无码| 精品国产一区二区三区免费看| 亚洲一线产区二线产区精华| 亚洲AV无码日韩精品影片| 国产精品久久久久久久|