在過去的幾年來，中國度過了全球金融危機(jī)，同時也是最快經(jīng)濟(jì)復(fù)蘇的國家，在借鏡國外金融單位因沒有做好良好控管與監(jiān)督，而引發(fā)一系列惡性的倒閉事件，我國財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會等在 2009 年初發(fā)表了《企業(yè)內(nèi)部控制基本規(guī)范》，更在2010年4月26日，聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制配套指引》。該配套指引包括18項《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評價指引》和《企業(yè)內(nèi)部控制審計指引》，連同此前發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》，標(biāo)志著適應(yīng)我國企業(yè)實(shí)際情況、融合國際先進(jìn)經(jīng)驗(yàn)的中國企業(yè)內(nèi)部控制規(guī)范體系基本建成。因此國內(nèi)的上市公司從各方面開始研擬強(qiáng)化管理與配合方案，IT部門更是企事業(yè)機(jī)構(gòu)首先必需面對此議題的單位，同時財政部等五部門制定了實(shí)施時間表：自2011年1月1日起首先在境內(nèi)外同時上市的公司施行，自2012年1月1日起擴(kuò)大到在上海證券交易所、深圳證券交易所主板上市的公司施行；在此基礎(chǔ)上，擇機(jī)在中小板和創(chuàng)業(yè)板上市公司施行；同時，鼓勵非上市大中型企業(yè)提前執(zhí)行。此時，守內(nèi)安更為客戶關(guān)注的是在這個“中國薩班斯”的天平上，有多少金融業(yè)IT治理是夠得上秤的呢？

縱觀各類IT 治理中，能符合此規(guī)范要求的主要方向有以下幾個：

1.歸檔 (包含郵件與文檔歸檔)

2. 審計或稽核制度與系統(tǒng)的構(gòu)成

3.災(zāi)備及風(fēng)險管理

4.防范泄密問題。

一般來說實(shí)施的優(yōu)先順序建議以郵件歸檔優(yōu)先，難度與整體費(fèi)用評估后較容易被接受，且可以立竿見影，郵件的歸檔在于郵件的完整備份及保存，當(dāng)然如果系統(tǒng)能自動化監(jiān)察某些敏感關(guān)鍵字詞或內(nèi)容，更可以在碰觸到單位規(guī)范的第一時間，通知稽核單位或領(lǐng)導(dǎo)，以防止不良影響擴(kuò)大。再者，郵件的歸檔可以用于查找歷史“悠久”的郵件，對于多年前的郵件仍有詳細(xì)記錄，幫助個人進(jìn)行重要郵件還原，對企事業(yè)而言，能發(fā)揮證據(jù)舉證與資產(chǎn)保存的重要作用。進(jìn)階的文檔保存及權(quán)限控管，可作為次階段的實(shí)施項目，同時規(guī)劃實(shí)施ISO規(guī)范，將文件的分權(quán)管理與存放、有涉密要求或更重視安全的單位，參考同時整合文檔加密與文管系統(tǒng)，可隨時全文查找所有文檔。

災(zāi)備與風(fēng)險管理，無論在系統(tǒng)的建置還是規(guī)劃時期，都需要全面考慮。從數(shù)據(jù)安全的保存，本機(jī)系統(tǒng)至少備有冗余電源與冗余存儲設(shè)備，硬盤至少是 Raid-1 以上（Raid-5 / Raid- 6 / Raid-10），雙機(jī)或多機(jī) HA 架構(gòu)，同時，嚴(yán)緊的系統(tǒng)都必需是雙鏈路及符合異地災(zāi)備，在允許時間內(nèi)，完成災(zāi)難模擬及還原操作，并有詳盡的演練計劃與還原操作書。而審計又是防范泄密的事先預(yù)防動作，但審計必需與單位的管理方式整合，對于IT治理而言，提供良好的系統(tǒng)工具，讓相關(guān)法務(wù)或?qū)徲媶挝皇褂�，但又能脫離IT部門窺探機(jī)密的疑慮，因此好的郵件審計系統(tǒng)必須做到多級分權(quán)管理，由適當(dāng)單位進(jìn)行正確的審批與稽核，達(dá)到權(quán)重的劃分，各單位各司其職。從過去輔導(dǎo)許多金融單位與企業(yè)單位的經(jīng)驗(yàn)中，守內(nèi)安信息科技就聽到不少客戶有內(nèi)控的困擾，許多機(jī)密的資料被員工通過郵件發(fā)送到其他單位，造成經(jīng)濟(jì)直接或間接損失，更有即將離職的員工，發(fā)送不良郵件到單位所有收件人，造成輿論威脅，這些問題都可以通過郵件審計系統(tǒng)改善，將員工附件中的機(jī)密資料過濾，防止不當(dāng)資料或機(jī)密資料外泄，對于發(fā)送到全公司的郵件，先通過領(lǐng)導(dǎo)審批，之后才得以發(fā)送，這些管理措施，守內(nèi)安稱之為事前審計，實(shí)時阻擋不恰當(dāng)郵件的發(fā)送，防范于未然。

最后整合安全防護(hù)系統(tǒng)—防范資料外泄，也就是數(shù)據(jù)泄漏防護(hù) DLP (Data leakage prevention )，從每一臺計算機(jī)與 NB 中實(shí)行部署，通過AD 或網(wǎng)關(guān)產(chǎn)品安裝用戶端插件，用于防止機(jī)密數(shù)據(jù)外泄，從 File / E-mail / Flash Disk / Internet，整體的實(shí)施動輒數(shù)百萬的費(fèi)用，適合較大企業(yè)與金融單位采用，當(dāng)然數(shù)據(jù)安全與使用便利性一直是對等的關(guān)系，越便于使用就越?jīng)]有安全性，越安全就意味著使用上有一定程度的麻煩，因此在選擇方案前，應(yīng)徹底調(diào)研后，選定合適于單位的方案。

守內(nèi)安信息科技，作為一家專業(yè)郵件安全研發(fā)廠家，十多年來輔助數(shù)千家企業(yè)完成郵件安全的規(guī)劃與建置，從郵件過濾、郵件審計到郵件歸檔，全程式安全部署，是值得信賴的郵件安全廠家。

標(biāo)簽： 安全 金融 權(quán)限 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。