【51CTO.com 綜合消息】2002年美國國會通過的《2002上市公司會計改革與投資者保護法案》（簡稱：薩班斯法案）對業界人士來說已經不陌生了，該法案對公司治理、會計師行業監管和證券市場監管等方面提出了許多新的嚴格要求，并設定了問責機制和相應的懲罰措施。由于被業內人士看作是20世紀30年代以來，美國最嚴厲的財務法則，加上監管的范圍是在美國上市的所有企業，當時這個“時髦”法案的出臺既引起了全世界的關注也在業界引起了不小的波瀾。

盡管薩班斯法案2002年就出爐了，但真正在中國的落地與實踐，還是國內的大型企業在美國上市以后。很多在美上市的國內大型企業是從2004年底開始準備這項工作。

據悉，為了符合薩班斯法案的標準，尤其是404條款關于建立內部控制體系的要求，無論是美國本土公司還是在美國上市的中國公司都面臨著巨大考驗，可以說花費了大量的人力、財力、時間。在與這項極具挑戰性的法案密切相關的實踐案例中，國內信息安全公司啟明星辰參與的重大客戶項目到目前為止已有幾十項。其中，運營商、央企是啟明星辰很重要的一類客戶，啟明星辰的主要客戶集中在金融、電信、政府、能源……等大型企業。那么啟明星辰對薩班斯法案有著怎樣的解讀，又為其具體做了哪些貢獻？對此，本刊記者專門采訪了啟明星辰安全服務總監陳洪波博士。

陳博士表示，薩班斯法案的主要要求是針對上市公司財務的運營、監管、審計等等。啟明星辰作為一家專業的信息安全企業，在參與薩班斯法案工作中對于自己的角色定位非常明確，與那些全職來做財務審計的公司不同，啟明星辰更擅長的是基于薩班斯的IT審計要求，為客戶提供專業的信息安全咨詢與審計服務。

2005年揭開薩班斯法案安全服務序幕

啟明星辰參與薩班斯法案工作起始于2005年的下半年，當時承擔了國內某知名運營商的一個項目。在2005-2006年，這家運營商財務部的高層乃至整個運營部的高層都非常重視薩班斯法案的工作，當時在國內薩班斯法案工作的實踐方面，這家運營商是起步非常早的，在當時也是在摸著石頭過河，傳統行業最開始并沒有接觸到薩班斯這一塊。當時一家美國審計公司已經幫該客戶做了嚴格意義上的薩班斯審計，耗費了大量的人力物力財力，也收到了比較明顯的效果。在通過財務審計之后，客戶仍舊感覺在信息安全方面做得夠不夠，對其核心財務系統的安全狀況仍舊不能掌握，所以在2005年下半年啟動了一項專門針對薩班斯審計范圍之內某財務系統的全國范圍內的風險評估與整體咨詢，這個評估更多地是站在信息安全的角度。在經過對國內安全廠商的深入了解之后，該運營商專門找到啟明星辰公司，由啟明星辰專業的安全服務團對從基礎技術、管理運維以及財務系統自身安全性這三大維度給出全面評估。項目實施后，不但完全符合薩班斯的要求，而且實實在在地從三大維度提升了該應用系統的整體安全程度，該運營商對服務效果表示非常滿意。

“客戶的滿意點在于，確確實實感覺到這個業務系統本身的安全管理、運營、基礎設施的安全性以及財務系統自身的安全程度得到了顯著提升。”陳洪波說。

啟明星辰在評估中發現，該運營商的財務系統從底層的技術設備到財務軟件本身都存在一些問題，并據此提出了安全方面的建議。在采納了這些建議之后，該運營商針對管理運維、基礎設施安全以及財務軟件自身的安全性等幾個方面重新進行了安全增強。可以說，這些方面在財務審計公司的審計范圍都有涉及，但在深度上做的不夠，而IT內審中的深度安全風險分析恰恰是專業信息安全廠商的優勢。

事實上，薩班斯對IT系統的要求在于運維的安全性、可用性和對財務制度的符合性。在安全性和可用性方面，尤其是安全性方面，啟明星辰發現的問題可以說給這家運營商很多提示，帶來的一個直接效果是，項目還沒有結束，客戶就已經開始讓開發商修改系統進行二次開發，重新定制開發業務系統的安全功能模塊。

薩班斯之惑

啟明星辰在2005年開始為客戶做薩班斯法案方面的安全服務工作之前，自身已經有了4、5年的技術經驗積累，包括風險評估、管理咨詢等。啟明星辰是國內最早從事專業安全服務的公司，包括前文提到的運營商，此前也是啟明星辰的重點客戶，為其做過很多次各種角度的安全服務。

而在當時，針對薩班斯法案的理解，不僅是用戶包括啟明星辰自己也產生過相關的疑問。第一，已經有大型的國外審計公司幫用戶做過IT 審計了，提供了全面的表單和風險點、整改項，那么啟明星辰還能為用戶做什么，安全廠商的價值和意義如何體現？第二，啟明星辰所做的工作與薩班斯法案到底有多大的契合度？

眾所周之，薩班斯法案在404條款里面提到了“內控體系”，而企業的內控很大程度上就是IT內控，IT內控包括很多層面：可用性或者對制度的符合程度、內部嚴格的管理流程等。具體到信息安全工作來講，這個外延并不清晰。“當然這種內控管理，不管是管理制度、管理活動還是相關的記錄，其實如果從安全視角來看，大部分都跟安全有關，但是并沒有都標明安全的稱號。”陳博士說。

“大家都認為404條款是薩班斯法案里面最嚴厲、最昂貴的一條。所以帶著這兩個疑問，啟明星辰做了很多思考，在已有經驗的基礎上，結合一系列具體的項目實踐，我們對薩班斯有了更高的認識，也提升了風險管理的能力。可以說，啟明星辰目前在薩班斯的IT內控方面的解決方案和經驗在業界是相當領先的。”

此后的數十個成功案例表明，啟明星辰在IT內控領域已經走在了行業的最前面。與財務審計公司相比，啟明星辰在IT風險管理方面的專業性更強，視角更獨到。同時，啟明星辰在這方面的人員投入也非常大，整個公司有將近100人的一個專業服務團隊。而據記者了解，專做薩班斯的國外財務審計公司，他們在IT方面的人員投入，10多個人就算多的了，很多時候是幾個人。

針對薩班斯的產品和解決方案，啟明星辰也陸續進行了完善。狹義的方面，啟明星辰專門針對運營商開發了4A審計平臺和解決方案，可以說完全是契合薩班斯要求的；另外公司的主打安全產品也針對內控內審的要求為用戶實現了定制，比如天玥審計產品、天清漢馬UTM（統一威脅管理）、泰合安全管理平臺（SOC）等，都與薩班斯緊密相關。

啟明星辰專業安全服務中心在2008年開始，陸續推出了六大類安全服務、17個標準化的產品包，涵蓋安全風險評估類、安全管理咨詢類、等級保護咨詢類、安全審計咨詢類、安全管理監控服務類和綜合安全服務類等服務。其中針對境內境外上市的中國公司和央企的風險管理，重點推出了合規審計咨詢服務，包含4個服務產品包，從服務內容、服務流程、服務實施到相關的表格表單、項目管理都形成了比較成熟的體系。

政策的積極作用與啟明星辰的優勢

薩班斯所強調的風險管理，在廣義的理解中，可以稱為企業運營風險管理，涵蓋了信用風險、市場風險和運營風險等。運營風險里面很重要的一點就是IT風險，近幾年來無論是國家主管機關，還是行業主管以及金融、運營商、央企等各行業自身，都對風險管理工作越來越重視。IT風險管理最重要的就是安全風險管理，因為IT的風險管理，需要解決是IT信息系統停頓、不可用和泄密等問題，尤其要站在業務需求的角度考慮IT風險管理，所有這些都與信息安全有關。

陳洪波坦言，薩班斯法案在操作實施的過程中也不乏難點，比如通過長時間的實踐，不少用戶感覺薩班斯法案中的個別要求在執行方面顯得力度不足，這是國內企業和美國企業在自身成長、外部環境方面的差異造成的，若審計結果不能提供有效的解決建議或解決辦法，則部分審核內容難以落地。另外，財務審計公司投入的人力資源有限、某些方面容易流于形式等。可以說，薩班斯法案必須結合中國國情，一步一步來落實，這也需要一個過程。

近年來國家在大力提倡進行風險管理，薩班斯尤其是國內相關政策的出臺，進一步促進了各企業尤其是上市企業對風險管理工作的認識，對促使企業IT風險管理更全面更規范，又非常明顯的積極意義。

陳洪波介紹說，IT風險管理主要涵蓋技術層面、管理運維層面和業務系統自身的安全性層面。其中第三方面是啟明星辰在薩班斯實踐中延展出來的很重要的一個視角。有的安全企業可能看到了這一點，但并不是很重視，有的安全企業可能更關注風險評估，或者從事專門的安全咨詢，而啟明星辰在這三個方面都具有明顯的優勢。

在與用戶的接觸中，啟明星辰發現用戶在業務系統的自身安全性層面往往存在很多問題。很多上市企業，他們的財務系統或其它的業務系統在開發、定制或者購買的時候，主要考慮了系統的可用性，但安全性方面做得比較少。比如有很多重要的財務數據，都在網上運行卻沒有加密，有一些重要的系統管理行為甚至包括修改數據庫的行為，都沒有審計，用戶權限的劃分也很不清楚。再比如有些單位的財務系統是找外包公司開發的，但有的外包公司后來轉做別的業務了，這樣系統在運維方面出現問題時就很難及時響應和處置。“所以技術層面以評估為主，管理和運營層面以咨詢和規劃為主，業務系統自身安全性層面以咨詢和整改為主，是啟明星辰在幫上市公司做薩班斯審計時并行的三大項工作。實際中我們給客戶做的服務可能涉及各種角度，但大致都不外乎這三個方面。”

陳洪波認為，啟明星辰的技術優勢在于綜合性，在技術層面、管理和運維層面、業務層面并駕齊驅、三管齊下。啟明星辰具備很強的專業咨詢服務能力，解決方案和產品也秉承啟明星辰一貫的安全思想，這種專業性和綜合性正是用戶所需要的。

談到今后的工作方向，陳洪波表示，未來無論是美國的薩班斯法案，還是國內政策層面或行業性的要求，都是啟明星辰的契機，也會在很多方面持續提升啟明星辰對這一工作的認識與實踐。啟明星辰在為用戶提供服務時，更多的是站在客戶信息化建設的角度考慮如何把信息安全工作做好，做到實處，通過滿足客戶需求來達到薩班斯法案或相關主管單位的政策要求，不能為了“合規”而“合規”。啟明星辰愿意依托薩班斯法案、國資委《中央企業全面風險管理指引》、五部委會聯合發布的《企業內部控制基本規范》等政策，立足于客戶業務實際安全運維需求，為客戶持續提供優質的安全服務和產品。