法規遵從性與IT審計的研究

2014-11-08 21:59:32 大云網　點擊量：評論 (0)

一、法規遵從性的含義與影響　　１．何為遵從性　　遵從（Ｃｏｍｐｌｉａｎｃｅ）在詞典里的含義是遵照正式或官方的規定。目前ＩＴ領域被廣泛研究和談論的法規遵從性（ＡｃｔＣｏｍｐｌｉａｎｃｅ）則將這種遵

一、法規遵從性的含義與影響

　　１．何為遵從性

　　遵從（Ｃｏｍｐｌｉａｎｃｅ）在詞典里的含義是遵照正式或官方的規定。目前ＩＴ領域被廣泛研究和談論的法規遵從性（ＡｃｔＣｏｍｐｌｉａｎｃｅ）則將這種遵照的標準鎖定到了相關的正式法律和法規上。〔1 〕這種遵照行為具有多重含義：

　　正式或官方規定的強制性；遵守正式規定所能帶給遵從者的利益和機會；選擇違反、忽視或放棄相關規定可能導致的政策、法律及連帶經濟風險；遵從者的出發點、意圖與策略；遵從者的行動過程及獲得的結果比對正式規定的符合度；符合性報告對遵從者未來行為與過程的改進作用；遵從者為此的投入與付出。

　　ＩＴ法規遵從性從系統工程的角度，迫使企業重新檢查他們的ＩＴ系統，并要求企業認真做好信息生命周期管理的每一個步驟。〔２〕相關法規和方案直接規定或間接關聯了若干與遵從性相關的關鍵能力項。保護系統和網絡需要有效的ＩＴ策略。在很多情況下，擁有周密的安全策略不僅僅是一個明智的選擇，有時也是法律要求。相關管理規章和法規（如《Ｓａｒｂａｎｅｓ－Ｏｘｌｅｙ法案》和《醫療保險信息交換與保密法案》）都為數據保護、保留和隱私制定了嚴格的標準。

　　保持遵從的關鍵在于能夠統一監控并實施可使企業時刻受到保護的策略。

　　２．相關的法規、方案與要求

　　目前企業在生產經營中經常會涉及的國外法規包括《薩班斯－奧克斯萊法案（Ｓａｒｂａｎｅｓ－Ｏｘｌｅｙ）》、《健康保險可攜性和可糾責性法案（ＨＩＰＡＡ）》、《格雷姆－里奇－比利雷法（ＧＬＢＡ）》、《加利福尼亞州參議院第１３８６號議案》、《歐洲共同體數據保密指令》美國食品和藥品管理局（ＦＤＡ）制藥規定２１ＣＦＲ第１１篇等。近兩年我國頒布實施的《電子簽名法》、《中國信息安全產業反不正當競爭公約》以及有關信息安全方面的一系列標準，都是企業在生產經營過程中需要遵循的內容。〔３〕

　　就目前來說，中國企業法規遵從的主要問題集中在信息安全與信息披露等方面，尤其是國外相關管理部門制定的一系列信息安全規定。對于企業的ＣＥＯ、ＣＦＯ、ＣＩＯ以及眾多高層管理人員來說，法規遵從已經是他們不可回避的問題。要滿足這些法規遵從方面的要求，企業一方面在業務流程上要依據法規要求，做出相應的調整，另一方面由于現代企業中ＩＴ與業務的息息相關，因此，企業的ＩＴ系統也不可避免地需要進行相對應的改變。

　　以美國證券交易委員會ＳＥＣ（Ｓｅｃｕｒｉｔｉｅｓ＆ＥｘｃｈａｎｇｅＣｏｍｍｉｓｓｉｏｎ）中對交易記錄保存所作規定為例。其中規定，如果會員單位、經紀人或經銷商使用電子存儲介質，則對電子記錄有以下要求：只能以不可改寫、不可擦除的格式保存記錄；自動驗證存儲介質記錄過程的質量和準確性；將原存儲介質和其副本單元（如果合適）以及此電子存儲介質上存儲的信息的保留期的日期和時間序列化；有能力應交易委員會或自律機構的要求隨時下載電子存儲介質上保存的索引和記錄；對電子記錄所做出的以不可改寫、不可擦除的格式保存的要求是要確保信息的完整性。

　　驗證信息質量和準確性實際上也是對信息完整性的要求，在ＳＥＣ所規定的“能夠及時下載保存在電子存儲介質上的索引和記錄”，是對電子記錄的可存取性的具體規定。當然，保密性對所有經濟運營來說也是一個重要考慮事項。

　　從上述舉例中，我們可以看到其中對電子記錄有三個共同的基本要求：第一個要求是確保信息的完整性，第二個要求是維護信息的保密性，第三個要求是確保信息能夠在適當的時間以適當的格式訪問。〔４〕

　　二、ＩＴ審計

　　審計是一個范圍、層次和含義很廣的概念，如審計軟件或系統的定義為：對計算機上的通信和操作的內容進行采集、分析、追蹤、審查，提出警告信息，并給予日志性記載。而另一方面在更大的角度上，審計的概念可以概括為對管理和控制過程與行動的記錄和監控，以判斷原始意圖是否正確貫徹。

　　隨著企業實施信息化進程的不斷深入。從信息系統安全性方面我們看到硬件故障、程序故障、操作系統錯誤、計算機犯罪，設備災害以及保密數據泄漏等現象發生的可能性愈來愈高。此外，從投資的角度上，隨著信息化投資成本的不斷增加，投資效果反而不明顯。信息系統審計（ＩＴ審計）正是為了解決上述問題，提高信息系統的安全性、可靠性和開發運營效率，使企業信息化得到健康、全面的發展而引入的預防機制。

　　因此，不難看出ＩＴ審計是實現法規遵從性的必然和必要工具和手段，同時遵從性法規的內容在技術層面也是對企業ＩＴ系統及管理的要求和指南。信息系統審計的對象包括：由計算機硬件和軟件結合而成的信息系統以及與信息系統的輸入、輸出相關的活動。廣義的講，即信息系統以及信息系統生命周期的所有活動；因此，信息系統審計并不局限于業務運營時期，與信息系統相關的開發活動，包括企業信息化戰略企劃、信息系統計劃、開發、實施和維護等相關的開發方面的活動也是信息系統審計的內容之一。

　　實施信息系統審計，可以從如下幾個方面著手提高信息系統的安全性：對自然災害及不可抗拒災害的應對措施進行審核和評價，一旦發生時能使損失和影響降至最低；從安全方面對信息系統進行審核和評價，防止數據的外泄、破壞或修改、非法入侵等情況發生，保證企業機密不外泄。

　　實施信息系統審計，可以從如下幾個方面著手提高信息系統的效率：從信息系統的資源是否最大限度地被利用為落腳點進行核查、評價，實現信息系統在業務和負載方面的均衡；對信息系統的計劃、開發、實施和運營各階段的（費用／效果）指標進行定性或定量的核查、評價，確保信息系統利益最大化。

　　三、法規遵從對企業ＩＴ建設的導向性作用

　　１．集中的安全風險管理

　　以技術為中心的專門方法來解決安全和法規遵從問題，是一種直接和自然的應對措施。然而，試圖靠單個產品的力量來解決新威脅和遵從新法規正變得越來越困難，成本也日益高昂。將廣泛分散的單點解決方案的信息集成起來并采取行動，也需要耗費大量的人力。另外，隨著解決方案的復雜性和數量的增加，人們出錯或疏忽的幾率也會上升。

　　集中的安全風險管理方法將包括了威脅防護功能（防病毒、入侵防護以及防間諜軟件）、策略增強、漏洞修復、接入控制、審計和數據損失防護等安全功能和機制的服務進行集成，通過統一和集中的管理機制來自動化地增強企業的整體防護并將遵從性的ＩＴ安全策略從紙面策略變為行動，通過利用合并的管理點提高公司運營效率。

　　集中安全風險管理解決能夠幫助企業優化其安全風險和法規遵從管理流程的同時，也很大程度地提高了其業務可用性和數據保護級別。統一的知識庫可以包含風險以及前瞻性地配置和管理該環境所需的全部信息。威脅防護和法規遵從管理系統成為聯系業務流程和現實世界的紐帶，它能確保人們及其所用的技術與安全策略和諧相處，有效地抵御各種威脅。

　　２．人員、流程、技術

　　從信息技術的角度去審視法規遵從性，除了以上三個基本要求外，還涉及到人員、流程和技術三個重要環節。這些環節一定要與企業或組織的業務目標和管理政策相結合，具體結合的情況可歸結為以下三個方面：

　　（１）信息和記錄管理政策和程序。企業和組織應當對其信息和記錄管理政策和做法加以定期審查，使所記錄的信息和數據能夠反映該企業和組織當前的運營結構、法律和法規環境、訴訟歷史以及業務目標。

　　（２）領導支持和組織架構。企業和組織高層主管應當認識到信息和記錄管理的重要性，而且他們在開發、管理和推動各項計劃中能夠發揮積極作用。此外，高層管理人員必須經常向所有員工和雇員明確信息和記錄管理的策略和內部的規定，并且還配備必要的管理和監督人員。

　　（３）技術環境。從大量案例看，許多信息和記錄管理的失敗源于企業在業務記錄創建、保存和管理所用信息技術方面的不當投資和管理。電子郵件和其他形式的電子信息等的存儲和處理應引起企業和組織的認真對待，以便確保這些以電子形式存在的記錄能夠像紙質信息那樣得到同等的照顧和關注。

　　３．信息生命周期的角色

　　值得注意的是，在技術的采用、過程的執行和人員的協調中，業務記錄是其核心和焦點。業務記錄是有生命的，每一條信息和每一份業務文檔都有一個生命周期，從創建或捕獲起，歷經多次修改、轉發和批準，接觸許多不同的應用程序，直至最后被處置掉。

　　經歷了一個生命周期的過程，我們可以將業務記錄的管理納入到整個業務記錄生命周期管理中來考慮，這就是信息生命周期管理的觀點。

　　因而協調人員、過程和技術來實現法規遵從性，第一步是理解業務記錄的生命周期，并對所有業務記錄按照其重要性和價值進行很好的分類。然后，按照業務流程中所制定的各項策略選擇業務記錄的存儲環境，確保在做到法規遵從性的同時，降低業務記錄的存儲和管理的費用和成本。

　　這就是以信息生命周期管理的策略來強化法規遵從性的一個重要目的，也是當前信息系統主管為滿足法規遵從性的需要所尋求的新的信息管理的策略。

　　總之，面對經濟和技術快速發展的今天，要做好法規遵從性，確實是一個巨大的挑戰，但同時又是一個極好的機遇，它促使我們的企業和組織去認真思考和審視當前信息管理的策略及各項工作，把我們的信息技術用得更好、更加安全和有效，幫助我們在新一輪的全球競爭環境中取勝。