去年,上市似乎成为了IT界的焦点。10月9日,金山软件在香港联交所上市;11月1日,巨人网络集团在纽约交易所上市;11月6日阿里巴巴集团B2B子公司在香港挂牌上市。三家知名IT公司在一个月内陆续上市,且股价都一路走高,让身处全民炒股热情中的中国IT界更加狂热。
大家都在关注每天的股票上涨情况以及创造出了多少个千万富翁,却忽视了上市公司背后的压力和责任。
就在7月5日,中国第一家海外上市公司—华晨中国汽车控股有限公司从美国纽约证券交易所退市了!华晨汽车在香港发布的英文公告显示:鉴于公司的美国存托股票交易量萎缩和维持美国报告和登记义务的管理成本增长,公司董事会重新评估了维持纽交所挂牌的价值,并决定终止这一挂牌。
业界专家指出,让华晨不堪重负的,正是为了遵循《萨班斯—奥克斯利法案》而不得不向审计公司支付的巨额咨询、审计费用,以及高昂的内部遵循成本。与这笔支出相比,华晨在纽约交易所融到的资金却非常有限。
华晨的退市让中国的海外上市企业又一次切身的感受到了萨班斯法案的威力,严格审计的背后是企业成本的巨额增加。
法规遵从和IT治理相结合
对于上市企业来说,需要遵循的何止是萨班斯法案,除此之外,还有很多的法案需要企业遵循。巴塞尔协议、GLBA法案、FISMA、PCI DSS等等,根据企业性质的不同,遵循的法案也有所区分。但是这些法案的遵循都是需要一笔不费的执行成本。
对于企业来说,遵循法规都是没有商量的,这些费用的支出也都是无法回避的。但是企业可以选择把这笔费用的效益发挥到最大,让法规遵从所要求的内部控制不仅仅是做给监管部门看的,更重要的是以此提高企业的管理水平,创造更大的效益,切实保证企业健康、快速地成长。
这就需要把法规遵从和IT治理联系起来。IT治理的专家David Thompson认为,当把法规遵从与IT治理联结在一起时,企业就会拥有一个新的框架,这不仅能产生战术上的结果,而且还能带来战略上的重大利益。
不可忽略的日志管理
《萨班斯法案》强调企业的信息技术策略和企业内控活动(不论是人还是机器)的操作流程都必须进行明白的定义并保存相关记录,而后才能实施。而操作记录在IT系统中一般都是以日志的方式进行保存的。
“日志管理是安全防范的基础,同时在法规遵从上也有着重要的作用。” RSA的高级技术顾问冯崇彪说。
同时美国的许多法规还明确要求搜集、保存、维护及检查日志。尤其是FISMA、HIPAA和PCI-DSS这三项法规同时影响着事件响应流程和日志管理,因为它们既要求检查日志,还要求具备日志功能。
但是,现在,不同类型的日志正在从不同来源以惊人的速度生成。对这些日志的管理给企业造成了巨大的负担,如何在整个企业的IT架构下对所有的系统日志进行统一的管理成为日志管理中最紧迫的任务。
“不仅要对不同来源、不同格式的日志进行整合,同时还要在其中进行相关性分析,从而在相互联系中找到可能的安全隐患。同时集中地收集、整合使得应对法规遵从更加容易,而不用陷入每一个系统的日志维护中而疲惫不堪。”冯崇彪说。
而作为网络安全领域历史悠久的企业,RSA也提供了相应的产品—enVision来帮助企业从容应对繁琐的日志管理,同时它还可以轻松生成新巴塞尔协议、萨班斯法案等法规要要求的安全性风险报告。这种集中的管理降低了企业的成本,同时使内部的安全控制更加严密。
