小议法规遵从性与IT审计的研究.docxVIP

　　摘要最近，在各种方案和产品中频频出现了法规遵从性Ｃｏｍｐｌｉａｎｃｅ，其含义就是企业和组织在业务运作中，不仅要遵守企业自己的各项规章，而且要遵守政府和行业制定的各项法律、法规及各种规章，同时又能证明自己确实达到了相关的要求。 　　而其实现的技术手段与ＩＴ审计又是密切相关的。 　　两者从指南和手段的两个角度为企业的ＩＴ规划划定了一个热点目标。 　　关键词ＩＴ治理；审计；法规遵从一、法规遵从性的含义与影响１．何为遵从性遵从Ｃｏｍｐｌｉａｎｃｅ在词典里的含义是遵照正式或官方的规定。 　　目前ＩＴ领域被广泛研究和谈论的法规遵从性ＡｃｔＣｏｍｐｌｉａｎｃｅ则将这种遵照的标准锁定到了相关的正式法律和法规上。 　　〔1〕这种遵照行为具有多重含义正式或官方规定的强制性；遵守正式规定所能带给遵从者的利益和机会；选择违反、忽视或放弃相关规定可能导致的政策、法律及连带经济风险；遵从者的出发点、意图与策略；遵从者的行动过程及获得的结果比对正式规定的符合度；符合性报告对遵从者未来行为与过程的改进作用；遵从者为此的投入与付出。 　　ＩＴ法规遵从性从系统工程的角度，迫使企业重新检查他们的ＩＴ系统，并要求企业认真做好信息生命周期管理的每一个步骤。 　　〔２〕相关法规和方案直接规定或间接关联了若干与遵从性相关的关键能力项。 　　保护系统和网络需要有效的ＩＴ策略。 　　在很多情况下，拥有周密的安全策略不仅仅是一个明智的选择，有时也是法律要求。 　　相关管理规章和法规如《Ｓａｒｂａｎｅｓ－Ｏｘｌｅｙ法案》和《医疗保险信息交换与保密法案》都为数据保护、保留和隐私制定了严格的标准。 　　保持遵从的关键在于能够统一监控并实施可使企业时刻受到保护的策略。 　　２．相关的法规、方案与要求目前企业在生产经营中经常会涉及的国外法规包括《萨班斯－奥克斯莱法案Ｓａｒｂａｎｅｓ－Ｏｘｌｅｙ》、《健康保险可携性和可纠责性法案ＨＩＰＡＡ》、《格雷姆－里奇－比利雷法ＧＬＢＡ》、《加利福尼亚州参议院第１３８６号议案》、《欧洲共同体数据保密指令》美国食品和药品管理局ＦＤＡ制药规定２１ＣＦＲ第１１篇等。 　　近两年我国颁布实施的《电子签名法》、《中国信息安全产业反不正当竞争公约》以及有关信息安全方面的一系列标准，都是企业在生产经营过程中需要遵循的内容。 　　〔３〕就目前来说，中国企业法规遵从的主要问题集中在信息安全与信息披露等方面，尤其是国外相关管理部门制定的一系列信息安全规定。 　　对于企业的ＣＥＯ、ＣＦＯ、ＣＩＯ以及众多高层管理人员来说，法规遵从已经是他们不可回避的问题。 　　要满足这些法规遵从方面的要求，企业一方面在业务流程上要依据法规要求，做出相应的调整，另一方面由于现代企业中ＩＴ与业务的息息相关，因此，企业的ＩＴ系统也不可避免地需要进行相对应的改变。 　　以美国证券交易委员会ＳＥＣＳｅｃｕｒｉｔｉｅｓ＆ＥｘｃｈａｎｇｅＣｏｍｍｉｓｓｉｏｎ中对交易记录保存所作规定为例。 　　其中规定，如果会员单位、经纪人或经销商使用电子存储介质，则对电子记录有以下要求只能以不可改写、不可擦除的格式保存记录；自动验证存储介质记录过程的质量和准确性；将原存储介质和其副本单元如果合适以及此电子存储介质上存储的信息的保留期的日期和时间序列化；有能力应交易委员会或自律机构的要求随时下载电子存储介质上保存的索引和记录；对电子记录所做出的以不可改写、不可擦除的格式保存的要求是要确保信息的完整性。 　　验证信息质量和准确性实际上也是对信息完整性的要求，在ＳＥＣ所规定的能够及时下载保存在电子存储介质上的索引和记录，是对电子记录的可存取性的具体规定。 　　当然，保密性对所有经济运营来说也是一个重要考虑事项。 　　从上述举例中，我们可以看到其中对电子记录有三个共同的基本要求第一个要求是确保信息的完整性，第二个要求是维护信息的保密性，第三个要求是确保信息能够在适当的时间以适当的格式访问。 　　〔４〕二、ＩＴ审计审计是一个范围、层次和含义很广的概念，如审计软件或系统的定义为对计算机上的通信和操作的内容进行采集、分析、追踪、审查，提出警告信息，并给予日志性记载。 　　而另一方面在更大的角度上，审计的概念可以概括为对管理和控制过程与行动的记录和监控，以判断原始意图是否正确贯彻。 　　随着企业实施信息化进程的不断深入。 　　从信息系统安全性方面我们看到硬件故障、程序故障、操作系统错误、计算机犯罪，设备灾害以及保密数据泄漏等现象发生的可能性愈来愈高。 　　此外，从投资的角度上，随着信息化投资成本的不断增加，投资效果反而不明显。 　　信息系统审计ＩＴ审计正是为了解决上述问题，提高信息系统的安全性、可靠性和开发运营效率，使企业信息化得到健康、全面的发展而引入的预防机制。 　　因此，