联想网御推出面向国内企业的IT内控解决方案

一、IT内部控制的问题与挑战

当前金融风暴席卷全球，且中国经历了30年跨越式发展，中国企业内部控制不太规范。为防患于未然，2008年6月国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，企业内部控制基本规范以保障财务报告的真实性、可靠性为核心，提出相应内部控制要求，于2009年7月1日在上市公司范围内施行，鼓励非上市的其他大中型企业执行，其作用等同于美国的萨班斯法案（SOX）。

企业内控要达到的目的有三个：一是提高企业资源利用的效率与效果；二是要保证财务报告的真实性和可靠性，三是要保证企业经营符合相关法律和法规。作为业务的支撑，IT系统已被国内大中型企业高度依赖，尤其是会计电算化的普及，要保障财务相关信息的真实有效，就必须对企业的IT系统严格控制。

联想网御借以美国萨班斯法案（SOX）IT内控的实践为基础，结合中国具体国情，并根据我们多年贴近用户的IT治理经验，概括了目前国内企业IT内控面临的主要问题：

如何保证权责的正确分配？

如何保证IT基础平台可靠？

如何保证关键应用安全？

如何进行审计监督？

二、IT内部控制基本原理

美国SOX法案作为成功颁布并实施的一个法案，它的IT内控方法值得我们借鉴。在针对SOX方案中的IT内控要求上，美国上市公司普遍采用COBIT（《信息系统和技术控制目标》）的IT内控思想作为企业内控中的IT内控框架，并结合企业实际情况设计出符合规范要求的IT内控体系；具体控制措施采用ISO17779(信息安全管理体系)、ITIL(IT服务管理)等标准中的最佳实践，整合企业原有的控制措施，落实具体的控制方法。

2.1 联想网御IT内部控制模型

联想网御的IT内控方法是结合我们在IT内控中的最佳实践，并参照《企业内部控制基本规范》的相关要求，开发出了适合中国国情的IT内控模型。联想网御的IT内部控制模型由三个基本面组成：IT内控基本要素，IT内控的基本要求和对应的IT资源，对应关系如下图所示：

联想网御企业IT内控模型

通过对上述三个方面的实现，最终形成了一个立体的、多层次的、科学的联想网御IT内控模型。

2.2 IT内控基本要素的具体内容

根据《企业内部控制应用指引-征求意见稿》的要求和对IT内控的理解，我们认为企业IT内控应该围绕财务及业务系统来进行，具体是通过对财务及业务系统的数据、流程以及相关IT基础设施的控制来实现，重点是完善以下几个方面的控制：

1) 角色管理与授权审批

2) 信息资源访问控制

3) 系统开发、变更与维护控制

4) 硬件及其他配套设备控制

5) 财务相关应用系统的控制

三、IT内部控制解决方案

在联想网御IT内控的方法论的基础上，我们为企业IT内控提供了一揽子解决方案。我们的解决方案在帮助企业达到IT内控要求的过程中，充分利用企业已有资源，努力做到企业的成本/收益最大化。我们认为：严格的权限管理、稳固的信息基础平台、安全的应用系统和全面的审计监控是保证IT内控合规四大核心要素，我们针对这四大要素提出了IT内控解决方案，企业可根据实际情况，选择并组合这些解决方案，最终形成贴合自身需求的IT内控解决方案，如下图所示：

联想网御IT内控解决方案

3.1 权限管理安全解决方案

在企业内部控制中，IT的组织架构及人员控制是保证企业经营管理合法合规、资产安全以及财务报告和相关信息真实完整，提高企业的经营效率和效益的关键组成部分。其核心问题就是“明确权责分配，正确行使职权”。联想网御从产品和服务两种途径帮助企业实现IT内控中的权限管理，解决方案如下：

联想网御IT内控咨询服务

联想网御提供IT内控咨询服务，帮助企业梳理组织架构和区分人员权责，并协助企业建立合理的组织架构，从信息系统的战略设计、人员岗位设置、人员职责范围等方面建立起相关的策略、标准和制度等。

联想网御安全审计系统

帮助企业建立起相关策略和制度后，使用联想网御IT内控安全审计系统，监控各个层面的人员是否越权访问、篡改数据、滥用权利等，联想网御安全审计系统不同与一般审计产品，其特点在于可以实现统一控制、集中审计，并且审计覆盖IT信息系统的绝大多数类型，能满足企业内部控制要求的审计、监督要求。

通过联想网御的解决方案，能帮助企业实现清晰的权责分配和权限管理，达到企业IT内控要求。

3.2 基础平台安全解决方案

信息基础设施是构成信息系统的基础，如果信息平台的安全性得不到保证，那应用和数据安全也无从谈起，我们从信息平台最基本的三个层面来进行分别实现：物理资产、网络系统和主机系统，针对每个层面的具体控制，我们都有相应的产品和服务来支撑，如下表所示：

通过使用我们的产品和服务手段，对物理、主机、网络的权责分配、访问控制等方面的控制，使信息基础平台达到IT内控要求。

3.3 关键应用安全解决方案

业务、财务系统作为IT内控的主要控制目标，其安全性直接影响企业的经营，而财务系统又是IT内控中最主要的控制目标。不管业务系统还是财务系统，我们站在IT系统角度来看，都可以把他们归类为应用系统，对应用系统的控制，需要对其生命周期的各个阶段控制，我们把控制分为三个阶段：系统建立、系统使用和系统变更。

针对应用系统生命周期每个过程的具体控制，我们都有相应的产品和服务来支撑实现，如下表所示：

通过使用我们的产品和服务手段，对应用系统进行开发管控、上线管控、第三方管控、变更管理等实现对关键应用的控制，保证业务、财务数据安全。

3.4 审计监控安全解决方案

为满足企业IT内控需求，规避潜在的安全风险，联想网御除提供有针对性的IT内控咨询、风险评估等安全服务外，还推出了专门针对IT内控的安全审计产品，该产品利用了联想网御安全管理系统为平台，有效的审计、监控企业内部IT资源环境。能够解决企业当前在访问控制及审计措施方面所面临的主要问题，主要功能如下：

1) 日志管理系统

实现网络日志收集、主机日志收集、应用日志收集、数据库日志收集、其他日志收集以及日志的备份及恢复等。

2) 审计系统功能

实现问题识别、问题优先级确定、问题响应流程、问题取证、日志的保留及报表功能等。

3) 安全管理平台

统一安全管理平台是整个系统运行的基础，向其它系统传递配置参数，包括服务运行状态、参数设置、账号数据、审计策略、安全策略设置及报表生成等。

四、IT内部控制方案的价值

联想网御的IT内控解决方案，从业务流程、应用系统与基础设施三个维度，通过IT内控解决方案集，帮助用户打造清晰的权责控制、稳固的信息基础设施、安全的关键应用和全面的安全审计监督，最终帮助用户实现安全可靠、稳定高效、业务连续和符合法规的IT系统，将企业内控的制度、措施通过技术手段加以固化，规范企业内部管理水平，提高企业经营管理水平和风险防范能力，有利于促进企业可持续发展。

总之，IT内控将给国内信息安全行业带来新的发展机遇.当然机会属于有准备的企业。