重读萨班斯法案：IT治理强调的是内部控制

    客观而言，IT在被当作实现萨班斯法规遵从的有效工具的同时，其自身又变成了新的风险源。
    萨班斯法案(Sarbanes-Oxley Act)是在2002年由美国总统布什签发生效的。该法案的出台主要源于安然、世界电信公司等美国超大型企业中所发生的一系列财务和管理问题。萨班斯法案对美国上市的公司和会计企业都有监管作用，希望能提高所有报表的财务状态及很多精确信息，能提升企业对自己本身管理方面的架构支持。 萨班斯法案与其他法律有着很大的差别，它要求上市公司的CEO和CFO个人对公司的法规遵从负责任，他们个人必须通过遵守萨班斯法案的相关认证，根据萨班斯法案，他们有任何违反法案的情况，都可以受到刑事处罚。
    萨班斯法案同时也覆盖了非常全面的安全管理层面，包括政务管理、风险管理、道德和法规遵从等。在其中的众多条款中，302（公司对财务报表的职责）、404（内部控制的管理评估）、409（实时披露发行人信息）和802（企业资料的保存或归档）等条款与IT有着紧密的关系。
    因此IT在萨班斯法案中是一个致关重要的角色，它不仅是萨班斯法案实施的工具，同时也是提高萨班斯运行净利的重要手段。然而，任何事物都将存在其两面性，IT在被当作萨班斯的有效工具的同时，其自身又变成了新的风险源。
    据悉，赛门铁克公司在为客户提供萨班斯部署的相关服务过程中发现，一般萨班斯分为两类服务: 一类是与IT不相关的业务服务，这类服务虽然占据大部分内容，但是它的服务时间仅仅需要295天，而与IT相关的服务虽然内容较少，但却需要264天的服务时间。IT本身的复杂性和安全性问题使法规遵从变得更加复杂。
    那么，怎样才能让企业在顺利实施萨班斯法案的同时能够得到信息的保障，这是非常关键的问题。
    2005年8月，Gartner在《萨班斯法案的最佳实践指导》中提出，IT遵从投资项目应该包含三大方面: 遵从管理（内部控制、工作流程、数字仪表、报告）; 内容管理（记录管理和电子邮件归档、在线学习、策略管理）; 应用访问与控制（身份识别和认证、职责分离、持续遵从、变化管理）。
    而根据以往的实施经验，赛门铁克针对萨班斯法案的信息安全提出了四项IT解决方案: 首先是针对网络准入控制;二是针对补丁管理;三是针对配置管理;四是终端所遵从的一些检查。
    据了解赛门铁克的数据完整性安全解决方案也将从客户端到Messaging Server、File Server、Application Server、Data Server提供完全的措施。
    如果从企业治理的角度来看，IT遵从和IT系统仅仅遵守某一个法律是远远不够的，IT治理强调的是内部控制，安全架构师应该从企业整体着手，而不是仅依靠遵循法律来制定企业的政策，否则肯定会产生新的疏漏和风险。