SOX 法案 - 背景和内容
《萨班斯-奥克斯莱法案》是由美国国会于2002年颁布,主要针对一系列丑闻中揭露的公司财务问题。该法案详细规定要求透明和准确的财务披露,以实现公司管理、强有力的内部控制以及合法政策和流程。
为什么应该遵守SOX?
毫无选择余地,必须遵守SOX法案规定。上市公司必须向证券交易委员会(SEC)呈交包括详细的内部会计结构的年度报告。
不遵守SOX规定将面临巨额罚款、取消交易资格,相关人员甚至面临监禁。
SOX 和 IT
当今,公司依靠IT,通过安全的身份识别与存取管理(IAM)方案管理内部控制,以符合SOX规定。它已成为IT的主要功能,保证仅限于授权人员管理所有财务交易和数据。
SOX中第302条款和404条款描述IT如何帮助实现SOX顺应性。一些IT人员看来,第409条款也尤为重要。
AD在执行SOX标准时的作用
AD是运行在Windows机器上的一套安全、分布式目录服务。活动目录帮助公司执行SOX标准,提供存储在Windows机器中的所有财务数据。活动目录提供:
- 有效管理公司内部身份识别与存取管理(IAM)
- 由管理员执行的用户常规和特殊授权
- 委派和提供访问权限让每个用户访问需要的资源
- 集中存储审计日志,跟踪所有访问尝试
除以上功能外,活动目录审计、日志和报表工具有助于符合SOX顺应性审计需求。
使用ADManager Plus实现SOX顺应性
ManageEngine ADManager Plus是基于web的Windows活动目录管理和报表解决方案。利用简单易用和直观的用户界面,更佳有效地管理本地活动目录。ADManager
Plus集成管理和报表模块,为管理员节省大量时间,有助于符合顺应性需求。
ADManager Plus 预置100多种报表,其中许多报表包含有关SOX顺应性的关键数据,对于符合顺应性审计必不可少。
安全策略和流程
若要符合SOX规定,必须执行有效的安全策略和流程。借助ADManager
plus,可建立安全的环境,集中于活动目录安全组和权限。
安全组和成员,对象、文件和文件夹的组/用户权限的报表,通过以下保证安全性 |
 |
- 排除由于多组成员引起的用户权限冲突
- 隔离和删除无成员的组
- 验证用户访问对象/文件和文件夹的访问权限,限制访问诸如财务数据等关键信息
借助于有关操作系统明细的报表,可发现软件非法安装和升级。密码策略
和
帐号锁定策略
报表包含对于SOX审计必要的信息。
ADManager Plus预置质量报表列表满足萨班斯-奥克斯莱法案安全规定。
风险分析和管理
尽管实施标准安全策略,公司仍存在许多风险,这对财务数据的安全性造成潜在威胁。SOX
顺应性强调数据保护,因此必须执行适当的风险分析和管理手段。利用ADManager Plus实时报表
进行风险分析。定期审查不活动/禁用/从未登录的用户帐号和其它活动目录对象的报表,有助于消除由这些帐号引起的风险。
|
 |
| 这些报表帮助执行风险管理行为,例如 |
|
故障恢复
SOX规定要求企业采用正确的故障恢复标准。ADManager Plus具有报表列表,提供指定对象类别的所有成员明细,即当用户/
计算机/
组策略对象(GPO) /
组织单元(OU)数据意外丢失,可借助于这些报表恢复。每个对象类别下的成员明细可从故障发生之前所生成的相应报表中获取。
审计
出于审计目的,必须跟踪公司内所有变更。特定的ADManager Plus报表呈现有关最近创建、编辑和删除的活动目录对象(用户/计算机/组策略对象/组)
的明细。该信息对监视和管理公司内部的变更不可或缺。
利用以上所述ADManager Plus报表,公司可满足企业级安全策略、风险分析、故障恢复、责任分离等SOX/SARBOX顺应性需求,符合SOX审计。
ADManager Plus其它特性
除报表外,ADManager Plus还具备:
- 完全基于web的用户界面
- 基于web的委派
- 详尽的报表列表
- 自动生成报表
- 用户创建模板
- 审计日志
- 低成本
ManageEngine® ADManager Plus提供完全基于web的解决方案,利用有助于SOX顺应性审计的报表,满足活动目录管理所有需求。
