Requisiti di politica di Sarbanes-Oxley (SOX)

12

Spero che questa domanda sia appropriata per questo sito. Gli utenti di ServerFault non pensavano che si applicasse agli amministratori di sistema. Certamente penso che si possa rispondere da una prospettiva di sicurezza, se non altro.

Fin dal passaggio di Sarbanes-Oxley (SOX), i dipartimenti IT degli Stati Uniti hanno utilizzato la "conformità SOX" come una ragione estremamente ampia per l'implementazione di tutti i tipi di politiche.

Il fatto è che, a quanto ho capito, non c'è una sola menzione dell'IT nella legge SOX.

I reparti IT mi hanno comunicato che non sono in grado di spedire un laptop sostitutivo al mio indirizzo di casa perché non è consentito da SOX. Mi è stato detto che non sono in grado di avere accesso root su un server Unix a causa di SOX. Mi è stato detto che una società non è stata in grado di utilizzare git o mysql a causa di SOX e ha invece dovuto utilizzare ClearCase e Oracle.

Qualcuno ha provato questo? Ancora più importante, qualcuno ha informazioni definitive sulle restrizioni che il SOX imporrebbe? So che richiede verifiche e certificazioni finanziarie veritiere, precise e tempestive da parte dei dirigenti aziendali, ma al di là di alcuni rigidi controlli dei sistemi finanziari, non riesco a capire perché dovrebbe applicarsi ai server generali, agli archivi di codici o ai laptop degli utenti.

Quali sono le politiche SOX ragionevoli?

Ogni pensiero è stato apprezzato.

    
posta wadesworld 18.12.2011 - 20:40
fonte

2 risposte

9

Vedi Does (J-) SOX Vietare l'uso del software Open Source? . Estratto dalla mia risposta:

Fact is that throwing extra unnecessary requirements onto yourself and claiming they're regulatory doesn't earn you any brownie points, it just costs you more.

L'alterazione dei limiti di SOX è comune e sbagliata . Ora, potrebbe in qualche modo accadere che il tuo codice sia rilevante per la dichiarazione finanziaria annuale della società e non vogliono aggiungere un altro sistema al regno dell'audit, ma probabilmente non è così.

SOX significa che la root sulla macchina che ospita i dati finanziari dell'azienda è strettamente sorvegliata, ma generalmente non ha alcuna connessione con le workstation della maggior parte delle persone. La ragione per cui c'è così tanta pazzia che circonda SOX è perché la legge non la sillaba. Il SEC fornisce "guida", ma l'interpretazione è stata piuttosto dispersiva.

La guida SEC del 2007 è un buon puntatore e ricorda che se quello che sei Non si tratta di controlli interni sul reporting finanziario, non è rilevante per SOX. In questo modo, la modifica delle password ogni 90 giorni può ricadere in SOX (ad esempio, gli account si autenticano nel sistema di contabilità utilizzando account di dominio), ma spedisce un laptop sostitutivo a casa invece di farti entrare e portarlo via dalla scrivania doesn ' t importa .

Inoltre, il SEC incoraggia le aziende a rivedere i controlli basati sul rischio

The Interpretive Guidance reiterates the Commission’s position that management should bring its own experience and informed judgment to bear in order to design an evaluation process that meets the needs of its company and that provides a reasonable basis for its annual assessment of whether ICFR is effective. This allows management sufficient and appropriate flexibility to design such an evaluation process. Smaller public companies, which generally have less complex internal control systems than larger public companies, can use this guidance to scale and tailor their evaluation methods and procedures to fit their own facts and circumstances. We encourage smaller public companies to take advantage of the flexibility and scalability to conduct an evaluation of ICFR that is both efficient and effective at identifying material weaknesses.

Quindi, pensa all'impatto che la tua applicazione potrebbe avere sul reporting finanziario della società. Non crescita finanziaria, profitto o altro - solo la segnalazione. Se non è correlato (un test facile è "ha mai a che fare con dollari e centesimi?"), Poi qualcuno sta portando fuori qualcun altro. Forse puoi segnalarlo a loro, o forse qualcuno sta mentendo perché rende più facile a loro dirti vogliono che vogliano dire e non c'è niente che possano fare al riguardo.

    
risposta data 19.12.2011 - 05:12
fonte
4

Il messaggio principale alla Sezione 404 del Sarbanes-Oxley Act è:

Issuers are required to publish information in their annual reports concerning the scope and adequacy of the internal control structure and procedures for financial reporting. This statement shall also assess the effectiveness of such internal controls and procedures.

The registered accounting firm shall, in the same report, attest to and report on the assessment on the effectiveness of the internal control structure and procedures for financial reporting.

Poiché tutte le aziende registrate SEC (e quasi tutte le aziende in tutto il mondo) si affidano all'IT per i loro dati finanziari, puoi capire perché server, reti e IT sono essenziali.

Sei corretto in quanto l'interpretazione di determinati requisiti SOx può essere variabile, ma alcuni controlli, come solo consentire l'accesso privilegiato ai sistemi (cioè l'accesso root) agli amministratori che lo richiedono, hanno senso in molti ambienti.

Il problema che hanno le aziende è che il requisito proviene dal regolatore che può effettivamente fermare la negoziazione dell'azienda se i requisiti non sono rispettati, quindi a meno che l'azienda abbia un team esperto con abbastanza tempo / risorse per approfondire i requisiti può semplicemente inserire regole generali solo nel caso in cui .

I'm hoping this question will be appropriate for this site. The ServerFault people didn't think it applied to system administrators. Certainly I think it can be answered from a security perspective, if nothing else.

Ever since the passage of Sarbanes-Oxley (SOX), IT departments around the US have used "SOX compliance" as an extremely broad reason for implementing all sorts of policies.

The thing is, as I understand it, there's not one-single mention of IT in the SOX act.

Specificamente per indirizzare i tuoi punti:

  • Non spedire un laptop sostitutivo al tuo indirizzo di casa - questo aiuta a evitare il furto durante il trasporto, la spedizione all'indirizzo sbagliato o la frode (da te che dici di non averlo mai ricevuto ecc.)
  • Accesso root su un server Unix: una strong separazione delle funzioni protegge le aziende dalle frodi
  • Il problema git / mysql Non riesco davvero a definire un requisito SOx. Sembra più probabile che la politica sulle applicazioni in quella società richiedesse un certo livello di supporto.

Le politiche tipiche delle aziende Fortune 100 che coprono SOx sono molto più lunghe di quanto potremmo aggiungere qui. Ho aiutato organizzazioni con oltre 80 politiche, ognuna delle quali ha più di 20 pagine che contengono elementi di controlli relativi a SOx. È possibile ottenere quelli generici da un numero di luoghi online, ma per ottenere valore da essi è necessario adattarli alle esigenze specifiche della propria azienda.

    
risposta data 18.12.2011 - 22:36
fonte

Leggi altre domande sui tag