法规遵从性与IT审计的研究

2014-11-08 21:59:32 大云网　点击量：评论 (0)

一、法规遵从性的含义与影响　　１．何为遵从性　　遵从（Ｃｏｍｐｌｉａｎｃｅ）在词典里的含义是遵照正式或官方的规定。目前ＩＴ领域被广泛研究和谈论的法规遵从性（ＡｃｔＣｏｍｐｌｉａｎｃｅ）则将这种遵

一、法规遵从性的含义与影响

　　１．何为遵从性

　　遵从（Ｃｏｍｐｌｉａｎｃｅ）在词典里的含义是遵照正式或官方的规定。目前ＩＴ领域被广泛研究和谈论的法规遵从性（ＡｃｔＣｏｍｐｌｉａｎｃｅ）则将这种遵照的标准锁定到了相关的正式法律和法规上。〔1 〕这种遵照行为具有多重含义：

　　正式或官方规定的强制性；遵守正式规定所能带给遵从者的利益和机会；选择违反、忽视或放弃相关规定可能导致的政策、法律及连带经济风险；遵从者的出发点、意图与策略；遵从者的行动过程及获得的结果比对正式规定的符合度；符合性报告对遵从者未来行为与过程的改进作用；遵从者为此的投入与付出。

　　ＩＴ法规遵从性从系统工程的角度，迫使企业重新检查他们的ＩＴ系统，并要求企业认真做好信息生命周期管理的每一个步骤。〔２〕相关法规和方案直接规定或间接关联了若干与遵从性相关的关键能力项。保护系统和网络需要有效的ＩＴ策略。在很多情况下，拥有周密的安全策略不仅仅是一个明智的选择，有时也是法律要求。相关管理规章和法规（如《Ｓａｒｂａｎｅｓ－Ｏｘｌｅｙ法案》和《医疗保险信息交换与保密法案》）都为数据保护、保留和隐私制定了严格的标准。

　　保持遵从的关键在于能够统一监控并实施可使企业时刻受到保护的策略。

　　２．相关的法规、方案与要求

　　目前企业在生产经营中经常会涉及的国外法规包括《萨班斯－奥克斯莱法案（Ｓａｒｂａｎｅｓ－Ｏｘｌｅｙ）》、《健康保险可携性和可纠责性法案（ＨＩＰＡＡ）》、《格雷姆－里奇－比利雷法（ＧＬＢＡ）》、《加利福尼亚州参议院第１３８６号议案》、《欧洲共同体数据保密指令》美国食品和药品管理局（ＦＤＡ）制药规定２１ＣＦＲ第１１篇等。近两年我国颁布实施的《电子签名法》、《中国信息安全产业反不正当竞争公约》以及有关信息安全方面的一系列标准，都是企业在生产经营过程中需要遵循的内容。〔３〕

　　就目前来说，中国企业法规遵从的主要问题集中在信息安全与信息披露等方面，尤其是国外相关管理部门制定的一系列信息安全规定。对于企业的ＣＥＯ、ＣＦＯ、ＣＩＯ以及众多高层管理人员来说，法规遵从已经是他们不可回避的问题。要满足这些法规遵从方面的要求，企业一方面在业务流程上要依据法规要求，做出相应的调整，另一方面由于现代企业中ＩＴ与业务的息息相关，因此，企业的ＩＴ系统也不可避免地需要进行相对应的改变。

　　以美国证券交易委员会ＳＥＣ（Ｓｅｃｕｒｉｔｉｅｓ＆ＥｘｃｈａｎｇｅＣｏｍｍｉｓｓｉｏｎ）中对交易记录保存所作规定为例。其中规定，如果会员单位、经纪人或经销商使用电子存储介质，则对电子记录有以下要求：只能以不可改写、不可擦除的格式保存记录；自动验证存储介质记录过程的质量和准确性；将原存储介质和其副本单元（如果合适）以及此电子存储介质上存储的信息的保留期的日期和时间序列化；有能力应交易委员会或自律机构的要求随时下载电子存储介质上保存的索引和记录；对电子记录所做出的以不可改写、不可擦除的格式保存的要求是要确保信息的完整性。

　　验证信息质量和准确性实际上也是对信息完整性的要求，在ＳＥＣ所规定的“能够及时下载保存在电子存储介质上的索引和记录”，是对电子记录的可存取性的具体规定。当然，保密性对所有经济运营来说也是一个重要考虑事项。

　　从上述举例中，我们可以看到其中对电子记录有三个共同的基本要求：第一个要求是确保信息的完整性，第二个要求是维护信息的保密性，第三个要求是确保信息能够在适当的时间以适当的格式访问。〔４〕

　　二、ＩＴ审计

　　审计是一个范围、层次和含义很广的概念，如审计软件或系统的定义为：对计算机上的通信和操作的内容进行采集、分析、追踪、审查，提出警告信息，并给予日志性记载。而另一方面在更大的角度上，审计的概念可以概括为对管理和控制过程与行动的记录和监控，以判断原始意图是否正确贯彻。

　　随着企业实施信息化进程的不断深入。从信息系统安全性方面我们看到硬件故障、程序故障、操作系统错误、计算机犯罪，设备灾害以及保密数据泄漏等现象发生的可能性愈来愈高。此外，从投资的角度上，随着信息化投资成本的不断增加，投资效果反而不明显。信息系统审计（ＩＴ审计）正是为了解决上述问题，提高信息系统的安全性、可靠性和开发运营效率，使企业信息化得到健康、全面的发展而引入的预防机制。

　　因此，不难看出ＩＴ审计是实现法规遵从性的必然和必要工具和手段，同时遵从性法规的内容在技术层面也是对企业ＩＴ系统及管理的要求和指南。信息系统审计的对象包括：由计算机硬件和软件结合而成的信息系统以及与信息系统的输入、输出相关的活动。广义的讲，即信息系统以及信息系统生命周期的所有活动；因此，信息系统审计并不局限于业务运营时期，与信息系统相关的开发活动，包括企业信息化战略企划、信息系统计划、开发、实施和维护等相关的开发方面的活动也是信息系统审计的内容之一。

　　实施信息系统审计，可以从如下几个方面着手提高信息系统的安全性：对自然灾害及不可抗拒灾害的应对措施进行审核和评价，一旦发生时能使损失和影响降至最低；从安全方面对信息系统进行审核和评价，防止数据的外泄、破坏或修改、非法入侵等情况发生，保证企业机密不外泄。

　　实施信息系统审计，可以从如下几个方面着手提高信息系统的效率：从信息系统的资源是否最大限度地被利用为落脚点进行核查、评价，实现信息系统在业务和负载方面的均衡；对信息系统的计划、开发、实施和运营各阶段的（费用／效果）指标进行定性或定量的核查、评价，确保信息系统利益最大化。

　　三、法规遵从对企业ＩＴ建设的导向性作用

　　１．集中的安全风险管理

　　以技术为中心的专门方法来解决安全和法规遵从问题，是一种直接和自然的应对措施。然而，试图靠单个产品的力量来解决新威胁和遵从新法规正变得越来越困难，成本也日益高昂。将广泛分散的单点解决方案的信息集成起来并采取行动，也需要耗费大量的人力。另外，随着解决方案的复杂性和数量的增加，人们出错或疏忽的几率也会上升。

　　集中的安全风险管理方法将包括了威胁防护功能（防病毒、入侵防护以及防间谍软件）、策略增强、漏洞修复、接入控制、审计和数据损失防护等安全功能和机制的服务进行集成，通过统一和集中的管理机制来自动化地增强企业的整体防护并将遵从性的ＩＴ安全策略从纸面策略变为行动，通过利用合并的管理点提高公司运营效率。

　　集中安全风险管理解决能够帮助企业优化其安全风险和法规遵从管理流程的同时，也很大程度地提高了其业务可用性和数据保护级别。统一的知识库可以包含风险以及前瞻性地配置和管理该环境所需的全部信息。威胁防护和法规遵从管理系统成为联系业务流程和现实世界的纽带，它能确保人们及其所用的技术与安全策略和谐相处，有效地抵御各种威胁。

　　２．人员、流程、技术

　　从信息技术的角度去审视法规遵从性，除了以上三个基本要求外，还涉及到人员、流程和技术三个重要环节。这些环节一定要与企业或组织的业务目标和管理政策相结合，具体结合的情况可归结为以下三个方面：

　　（１）信息和记录管理政策和程序。企业和组织应当对其信息和记录管理政策和做法加以定期审查，使所记录的信息和数据能够反映该企业和组织当前的运营结构、法律和法规环境、诉讼历史以及业务目标。

　　（２）领导支持和组织架构。企业和组织高层主管应当认识到信息和记录管理的重要性，而且他们在开发、管理和推动各项计划中能够发挥积极作用。此外，高层管理人员必须经常向所有员工和雇员明确信息和记录管理的策略和内部的规定，并且还配备必要的管理和监督人员。

　　（３）技术环境。从大量案例看，许多信息和记录管理的失败源于企业在业务记录创建、保存和管理所用信息技术方面的不当投资和管理。电子邮件和其他形式的电子信息等的存储和处理应引起企业和组织的认真对待，以便确保这些以电子形式存在的记录能够像纸质信息那样得到同等的照顾和关注。

　　３．信息生命周期的角色

　　值得注意的是，在技术的采用、过程的执行和人员的协调中，业务记录是其核心和焦点。业务记录是有生命的，每一条信息和每一份业务文档都有一个生命周期，从创建或捕获起，历经多次修改、转发和批准，接触许多不同的应用程序，直至最后被处置掉。

　　经历了一个生命周期的过程，我们可以将业务记录的管理纳入到整个业务记录生命周期管理中来考虑，这就是信息生命周期管理的观点。

　　因而协调人员、过程和技术来实现法规遵从性，第一步是理解业务记录的生命周期，并对所有业务记录按照其重要性和价值进行很好的分类。然后，按照业务流程中所制定的各项策略选择业务记录的存储环境，确保在做到法规遵从性的同时，降低业务记录的存储和管理的费用和成本。

　　这就是以信息生命周期管理的策略来强化法规遵从性的一个重要目的，也是当前信息系统主管为满足法规遵从性的需要所寻求的新的信息管理的策略。

　　总之，面对经济和技术快速发展的今天，要做好法规遵从性，确实是一个巨大的挑战，但同时又是一个极好的机遇，它促使我们的企业和组织去认真思考和审视当前信息管理的策略及各项工作，把我们的信息技术用得更好、更加安全和有效，帮助我们在新一轮的全球竞争环境中取胜。