我希望这个问题适合这个网站。ServerFault 的人认为它不适用于系统管理员。当然,如果没有别的,我认为可以从安全的角度来回答。
自从Sarbanes-Oxley (SOX) 通过以来,美国各地的IT 部门都将“SOX 合规”作为实施各种政策的极其广泛的理由。
问题是,据我了解,SOX 法案中没有一次提到 IT。
我让 IT 部门告诉我,他们无法将替换笔记本电脑运送到我的家庭地址,因为 SOX 不允许这样做。有人告诉我,由于 SOX,我无法在 Unix 服务器上获得 root 访问权限。有人告诉我,一家公司因为 SOX 而无法使用 git 或 mysql,而不得不使用 ClearCase 和 Oracle。
有没有人经历过这个?更重要的是,是否有人对 SOX 将施加的限制有任何明确的信息?我知道它需要企业高管提供真实、准确和及时的财务报告和认证,但除了对财务系统的一些严格控制之外,我不明白为什么它应该适用于通用服务器、代码存储库或用户笔记本电脑。
什么是合理的 SOX 政策?
任何想法表示赞赏。
请参阅(J-)SOX 是否禁止使用开源软件?. 摘自我在那里的回答:
事实是,对自己提出额外不必要的要求并声称它们是合规的,并不会为您赢得任何加分,只会让您付出更多。
夸大 SOX 的界限是常见且错误的。现在,您的代码可能以某种方式对公司的年度财务报表很重要,并且他们不想在审计领域添加另一个系统,但情况可能并非如此。
SOX 意味着存放公司财务的机器上的 root 受到严密保护,但它通常与大多数人的工作站没有任何联系。围绕 SOX 有这么多疯狂的原因是法律没有明确规定。美国证券交易委员会提供“指导”,但解释相当分散。
SEC 2007 年的指导是一个很好的提示和提醒,如果您所说的与财务报告的内部控制无关,那么它与 SOX 无关。因此,每 90 天更改一次密码可能属于 SOX(例如,会计师使用域帐户对分类帐系统进行身份验证),但是将替换的笔记本电脑运送到家里而不是让您进来并把它从办公桌上拿下来并不重要。
此外,SEC 鼓励公司根据风险审查控制
解释性指南重申了委员会的立场,即管理层应运用自己的经验和知情判断来设计满足其公司需求的评估流程,并为其年度评估 ICFR 是否有效提供合理基础。这允许管理层有足够和适当的灵活性来设计这样的评估过程。与大型上市公司相比,内部控制系统通常不太复杂的小型上市公司可以使用该指南来调整和调整其评估方法和程序,以适应其自身的事实和情况。
因此,请考虑您的应用程序可能对公司的财务报告产生的影响。不是财务增长、利润或其他任何东西——只是报告。如果它不相关(一个简单的测试是“它曾经处理过美元和美分吗?”),那么有人将其他人引入歧途。也许你可以向他们指出这一点,或者也许有人在撒谎,因为这让他们更容易告诉你他们想说的话,而他们对此无能为力。
《萨班斯-奥克斯利法案》第 404 条的核心信息是:
发行人须在其年报中公布有关内部控制结构和财务报告程序的范围和充分性的信息。本声明还应评估此类内部控制和程序的有效性。
注册会计师事务所应当在同一份报告中证明并报告对内部控制结构和财务报告程序的有效性的评估。
由于所有 SEC 注册公司(以及全球几乎所有公司)的财务都依赖 IT,因此您可以了解为什么服务器、网络和 IT 至关重要。
您是正确的,对某些 SOx 要求的解释可以是可变的,但是某些控制,例如只允许需要它的管理员对系统进行特权访问(即 root 访问),在许多环境中是有意义的。
公司面临的问题是,要求来自监管机构,如果不遵守要求,他们可以有效地阻止公司交易,因此除非公司拥有经验丰富的团队,有足够的时间/资源深入研究他们可能提出的要求一揽子规则以防万一。
我希望这个问题适合这个网站。ServerFault 的人认为它不适用于系统管理员。当然,如果没有别的,我认为可以从安全的角度来回答。
自从Sarbanes-Oxley (SOX) 通过以来,美国各地的IT 部门都将“SOX 合规”作为实施各种政策的极其广泛的理由。
问题是,据我了解,SOX 法案中没有一次提到 IT。
专门针对您的观点:
涵盖 SOx 的财富 100 强公司的典型保单比我们在这里添加的要长得多。我帮助组织制定了超过 80 项政策,每项政策都有 20 多页,其中贯穿始终包含与 SOx 相关的控制元素。您可以从网上的许多地方获得通用的,但要从它们那里获得价值,您需要根据公司的特定需求对其进行定制。