在過(guò)去的幾年來(lái)，中國(guó)度過(guò)了全球金融危機(jī)，同時(shí)也是最快經(jīng)濟(jì)復(fù)蘇的國(guó)家，在借鏡國(guó)外金融單位因沒(méi)有做好良好控管與監(jiān)督，而引發(fā)一系列惡性的倒閉事件，我國(guó)財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)等在 2009 年初發(fā)表了《企業(yè)內(nèi)部控制基本規(guī)范》，更在2010年4月26日，聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制配套指引》。該配套指引包括18項(xiàng)《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評(píng)價(jià)指引》和《企業(yè)內(nèi)部控制審計(jì)指引》，連同此前發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》，標(biāo)志著適應(yīng)我國(guó)企業(yè)實(shí)際情況、融合國(guó)際先進(jìn)經(jīng)驗(yàn)的中國(guó)企業(yè)內(nèi)部控制規(guī)范體系基本建成。因此國(guó)內(nèi)的上市公司從各方面開(kāi)始研擬強(qiáng)化管理與配合方案，IT部門(mén)更是企事業(yè)機(jī)構(gòu)首先必需面對(duì)此議題的單位，同時(shí)財(cái)政部等五部門(mén)制定了實(shí)施時(shí)間表：自2011年1月1日起首先在境內(nèi)外同時(shí)上市的公司施行，自2012年1月1日起擴(kuò)大到在上海證券交易所、深圳證券交易所主板上市的公司施行；在此基礎(chǔ)上，擇機(jī)在中小板和創(chuàng)業(yè)板上市公司施行；同時(shí)，鼓勵(lì)非上市大中型企業(yè)提前執(zhí)行。此時(shí)，守內(nèi)安更為客戶關(guān)注的是在這個(gè)“中國(guó)薩班斯”的天平上，有多少金融業(yè)IT治理是夠得上秤的呢？

縱觀各類(lèi)IT 治理中，能符合此規(guī)范要求的主要方向有以下幾個(gè)：

1.歸檔 (包含郵件與文檔歸檔)

2. 審計(jì)或稽核制度與系統(tǒng)的構(gòu)成

3.災(zāi)備及風(fēng)險(xiǎn)管理

4.防范泄密問(wèn)題。

一般來(lái)說(shuō)實(shí)施的優(yōu)先順序建議以郵件歸檔優(yōu)先，難度與整體費(fèi)用評(píng)估后較容易被接受，且可以立竿見(jiàn)影，郵件的歸檔在于郵件的完整備份及保存，當(dāng)然如果系統(tǒng)能自動(dòng)化監(jiān)察某些敏感關(guān)鍵字詞或內(nèi)容，更可以在碰觸到單位規(guī)范的第一時(shí)間，通知稽核單位或領(lǐng)導(dǎo)，以防止不良影響擴(kuò)大。再者，郵件的歸檔可以用于查找歷史“悠久”的郵件，對(duì)于多年前的郵件仍有詳細(xì)記錄，幫助個(gè)人進(jìn)行重要郵件還原，對(duì)企事業(yè)而言，能發(fā)揮證據(jù)舉證與資產(chǎn)保存的重要作用。進(jìn)階的文檔保存及權(quán)限控管，可作為次階段的實(shí)施項(xiàng)目，同時(shí)規(guī)劃實(shí)施ISO規(guī)范，將文件的分權(quán)管理與存放、有涉密要求或更重視安全的單位，參考同時(shí)整合文檔加密與文管系統(tǒng)，可隨時(shí)全文查找所有文檔。

災(zāi)備與風(fēng)險(xiǎn)管理，無(wú)論在系統(tǒng)的建置還是規(guī)劃時(shí)期，都需要全面考慮。從數(shù)據(jù)安全的保存，本機(jī)系統(tǒng)至少備有冗余電源與冗余存儲(chǔ)設(shè)備，硬盤(pán)至少是 Raid-1 以上（Raid-5 / Raid- 6 / Raid-10），雙機(jī)或多機(jī) HA 架構(gòu)，同時(shí)，嚴(yán)緊的系統(tǒng)都必需是雙鏈路及符合異地災(zāi)備，在允許時(shí)間內(nèi)，完成災(zāi)難模擬及還原操作，并有詳盡的演練計(jì)劃與還原操作書(shū)。而審計(jì)又是防范泄密的事先預(yù)防動(dòng)作，但審計(jì)必需與單位的管理方式整合，對(duì)于IT治理而言，提供良好的系統(tǒng)工具，讓相關(guān)法務(wù)或?qū)徲?jì)單位使用，但又能脫離IT部門(mén)窺探機(jī)密的疑慮，因此好的郵件審計(jì)系統(tǒng)必須做到多級(jí)分權(quán)管理，由適當(dāng)單位進(jìn)行正確的審批與稽核，達(dá)到權(quán)重的劃分，各單位各司其職。從過(guò)去輔導(dǎo)許多金融單位與企業(yè)單位的經(jīng)驗(yàn)中，守內(nèi)安信息科技就聽(tīng)到不少客戶有內(nèi)控的困擾，許多機(jī)密的資料被員工通過(guò)郵件發(fā)送到其他單位，造成經(jīng)濟(jì)直接或間接損失，更有即將離職的員工，發(fā)送不良郵件到單位所有收件人，造成輿論威脅，這些問(wèn)題都可以通過(guò)郵件審計(jì)系統(tǒng)改善，將員工附件中的機(jī)密資料過(guò)濾，防止不當(dāng)資料或機(jī)密資料外泄，對(duì)于發(fā)送到全公司的郵件，先通過(guò)領(lǐng)導(dǎo)審批，之后才得以發(fā)送，這些管理措施，守內(nèi)安稱(chēng)之為事前審計(jì)，實(shí)時(shí)阻擋不恰當(dāng)郵件的發(fā)送，防范于未然。

最后整合安全防護(hù)系統(tǒng)—防范資料外泄，也就是數(shù)據(jù)泄漏防護(hù) DLP (Data leakage prevention )，從每一臺(tái)計(jì)算機(jī)與 NB 中實(shí)行部署，通過(guò)AD 或網(wǎng)關(guān)產(chǎn)品安裝用戶端插件，用于防止機(jī)密數(shù)據(jù)外泄，從 File / E-mail / Flash Disk / Internet，整體的實(shí)施動(dòng)輒數(shù)百萬(wàn)的費(fèi)用，適合較大企業(yè)與金融單位采用，當(dāng)然數(shù)據(jù)安全與使用便利性一直是對(duì)等的關(guān)系，越便于使用就越?jīng)]有安全性，越安全就意味著使用上有一定程度的麻煩，因此在選擇方案前，應(yīng)徹底調(diào)研后，選定合適于單位的方案。

守內(nèi)安信息科技，作為一家專(zhuān)業(yè)郵件安全研發(fā)廠家，十多年來(lái)輔助數(shù)千家企業(yè)完成郵件安全的規(guī)劃與建置，從郵件過(guò)濾、郵件審計(jì)到郵件歸檔，全程式安全部署，是值得信賴(lài)的郵件安全廠家。

標(biāo)簽： 安全 金融 權(quán)限 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。