电子商务-第17讲附件-SOX法案与信息安全

电子商务-第17讲附件-SOX法案与信息安全

ID:38397882

大小:510.55 KB

页数:36页

时间:2019-06-11

电子商务-第17讲附件-SOX法案与信息安全_第1页
电子商务-第17讲附件-SOX法案与信息安全_第2页
电子商务-第17讲附件-SOX法案与信息安全_第3页
电子商务-第17讲附件-SOX法案与信息安全_第4页
电子商务-第17讲附件-SOX法案与信息安全_第5页
资源描述:

《电子商务-第17讲附件-SOX法案与信息安全》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、1/36电子商务ElectronicCommerce张文新副教授电话:62333733,13910623512E_mail:zhangwx@manage.ustb.edu.cn2/36第17讲(附件)SOX法案与信息安全3/36内容提要SOX法案背景SOX法案涉及信息安全的主要内容针对SOX法案的信息安全方案SOX法案对信息安全行业的影响4/36背景资料什么是SOX法案:SOX法案即《萨班斯-奥克斯莱法案(Sarbanes-OxleyAct)》,又称《2002年公众公司会计改革和投资者保护法》;该

2、法案于2002年7月由美国总统布什签署发布;是美国政府对公司监管的重要法律;美国总统布什在签署“SOX法案”的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。5/36背景资料SOX法案的由来:2001年底美国安然公司在一片哗然中轰然倒台,由此引发的“安然事件”至今令许多人记忆犹新。此后,公司丑闻不断,规模也“屡创新高”,特别是次年6月的世界通信会计丑闻事件,更是雪上加霜,彻底打击了美国投资者对美国资本市场的信心。这一系列丑闻事件的爆发不仅招致包括安达信等五大会计师事务所在投

3、资者中的“诚信危机”,更引发了世界各国对公司治理模式的新一轮思考。6/36背景资料SOX法案的由来:为改变这一局面,美国国会和政府立即公布了《萨班斯法案》(Sarbanes-OxleyAct,简称SOX法案),其目的是加强公司责任,以保护公众公司投资者的利益免受公司高管及相关机构的侵害,正如法案的第一句话所说“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。”按照美国国会网站对SOX法案的介绍,该法案从最初于2002年2月14日提交给国会众议院金融服务委员会(Committe

4、eonFinancialServices),到7月25日国会参众两院的最终通过,先后有6个版本。最后修订完稿的SOX法案共分11章,第1至第6章主要涉及对会计职业及公司行为的监管,第8至第11章主要是提高对公司高管及白领犯罪的刑事责任。7/36背景资料SOX法案主要解决什么问题?再建立上市公司高管人员责任追究机制;强化内外制衡;加强内部独立监督能力;杜绝注册会计师利益瓜葛;会计师行业由自律改为监管;确保证券分析师的客观性和独立性;加强刑事处罚。8/36背景资料SOX法案主要解决什么问题?具体内容见

5、SOX法案文档9/36SOX法案与信息安全SOX法案对信息系统控制的要求以萨班斯-奥克斯利法案为代表的法律对上市公司的内控体系建设提出了明确要求,作为内控体系建设主要内容的信息系统控制由此被提到一个前所未有的高度。严格地说,SOX法案并没有直接对信息系统提出要求,但法案中404条款对内控体系建设有明确要求:公司除了有正确完整的财务报表外,还要有确保报表正确而完整的控制体系,公司管理层每年需对内控体系的运行效果进行评估,外部审计师要对内部控制体系和控制效果进行测试并出具审计意见。由于上市公司的各个与

6、财务数据相关的主要业务流程都有相应的信息系统支持,如果信息系统控制的一致性和有效性方面不足,这将降低数据和自动控制的可依赖性,增加管理层和审计师在测试方面的工作量,从而对整个内控体系的有效性产生负面影响。为此,加强信息系统的控制体系建设成为上市公司IT部门的一个重要工作。10/36SOX法案与信息安全SOX法案对信息系统控制的要求主要包括:信息系统总体控制(GeneralComputerControl,简称GCC)、应用系统控制(ApplicationControl,简称AC)电子表格控制三部分。

7、11/36SOX法案与信息安全系统总体控制信息系统总体控制指的是内部控制中对信息系统相关部分的控制,它保证由信息系统支持的流程控制是可靠的,生成的数据和报告是可信的。信息系统总体控制涵盖了IT管理和运营所涉及的各个方面:1.控制环境:包括信息技术组织、人力资源管理、信息沟通、风险评估、监控等。2.信息安全:包括信息安全组织、逻辑安全、物理安全、网络安全、病毒防护、第三方管理、事件响应等。3.项目建设管理:包括方法论、立项审批、项目启动、需求分析、项目设计、系统开发实施、系统测试、数据移植、用户培训

8、、文档管理、验收和上线后审阅、商业软硬件外购等。4.系统变更:包括日常变更、紧急变更等。5.信息系统日常运作:包括机房环境控制、日常监控、批处理作业调度管理、数据备份与恢复、问题管理等。6.最终用户操作:包括最终用户作安全制度、电子表格管理等。12/36SOX法案与信息安全应用系统控制应用系统控制指的是业务流程中内嵌的信息系统相关控制,信息系统应用的潜在风险直接影响业务流程中的信息控制目标:1.完整性:所有的交易都经过处理,且只处理一次;不允许数据的重复录入和处理;例外情况的发现和

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。