قانون ساکس
این مقاله نیازمند تمیزکاری است. لطفاً تا جای امکان آنرا از نظر املا، انشا، چیدمان و درستی بهتر کنید، سپس این برچسب را بردارید. محتویات این مقاله ممکن است غیر قابل اعتماد و نادرست یا جانبدارانه باشد یا قوانین حقوق پدیدآورندگان را نقض کرده باشد. |
قانون ساربینس-آکسلی سال ۲۰۰۲، همینطور مشهور به «اصلاح عمومی حسابداری شرکتها» و «قانون حفاظت از سرمایهگذار»، و عموماً به نام «ساکس» یا «سارب-اّکس»، یک قانون فدرال ایالات متحده در ارتباط با نظارت بر شرکتهای سهامی و بی پرده گویی مالی است. پیشبینیها و تدارکات ساکس، با ارایهٔ بزرگترین تغییر در قوانین فدرال در مورد سهام و اوراق بهادار طی دههها، بتفصیل مجازات جزایی و مدنی برای سرپیچی (عدم مطلوبیت)، گواهی ممیزی پنهانی داخلی، و گزافه گویی مالی را شرح میدهد.
این مصوبهٔ قانونگذاری دارای طیف گستردهای ست، و استاندههایی تازه یا پیشرفته را برای تمام شرکتهای سهامی عام آمریکایی، مؤسسات حسابداری عمومی، و مؤسسات عرضهکنندهٔ خدمات ممیزی، نیز کمپانیهای غیر آمریکایی که آمریکا در آن حضور دارد، الزامی میکند. بخشهایی از ساکس که بیشترین ارتباط را با حرفهایهای آی تی دارند شامل موارد پیرو میباشد:
- بخش ۳۰۲ – مسوولیت شرکت سهامی برای گزارشهای مالی. متصدیان شرکتهای سهامی عام باید قابلیت اطمینان اظهارات سالیانه و فصلی مالی را تأیید کنند.
- بخش ۴۰۴ – ارزیابی مدیریتی کنترلهای داخلی- تمامی شرکتهای دارایِ (برگِ) سهامِ داد و ستد شونده بهطور عام باید یک گزارش سالیانه در مورد کارایی کنترل داخلی حسابرسی شان به SEC تسلیم کنند. همچنین ممیز مستقل شرکت باید دقت گزارش را رسماً تصدیق و امضا کند.
- بخش ۴۰۹ – بی پرده گوییهای منتشرهٔ مطابق با گذشت زمان - شرکتهای سهامی عام از لحاظ گزارش دهی مالی باید بروز باشند؛ و تغییرات در شرایط یا عملیات مالی شان را در عرض ۴۸ ساعت از وقوع علل مادی آن بیان کنند.
- بخشهای ۸۰۲ و ۱۱۰۲ - شرکت سهامی و جوابگویی جزایی در کلاهبرداری- شرکتهای سهامی عام میتوانند برای تغییرِ محتوی یا تخریبِ اسناد مالی با مجازاتهای جزایی مواجه گردند.
میانِ این بخشها، سازمانهای آی تی بهطور گستردهای تلاشهای مطلوبیت ساکس اشان را بر برآوردن ملزومات بخش ۴۰۴ متمرکز میکنند. گروههای آی تی با کار کردن در تشریک مساعی با مدیریت اجرایی، باید اطمینان حاصل کنند که یک چارچوب کنترل داخلی میتواند بحد کفایت ساختارهای کنترل داخلی و پروسههای گزارش دهی مالی را ارزیابی کند، تا بدین صورت دادههای مالی حساس و حیاتی را محافظت و پشتیبانی کنند.
مبارزه طلبی یا چالشِ ساکس: اصلاح و پیشرفت در دقت و صحتِ گزارش دهی مالی
[ویرایش]ساکس بتفصیل موارد قانونی ای برای شرکتهای سهامی در نظر میگیرد، از آن جملهاند: یک هیئت سرکشی (برد اورسایت) برای حسابداری شرکت سهامی عام، استقلال ممیزی، پاسخگویی و مسوولیتِ (CEO/CFO) مدیر مالی و مدیر عامل، و پیشرفت در بی پرده گویی مالی. مخصوصاً، قانون ساکس تصدیق و تصریح میکند که شرکتهای سهامی عام نیازمندِ سیستمهای کنترل داخلی وسیع برای مدیریت کردن و گزارشِ دادههای مالی، در محل میباشند، همانطور که دیده بانی و محافظتِ فعالیتهای کاربر حول داده و حصول اطمینان از امنیت خودِ داده، نیز از ملزومات است. گرچه ساکس میتواند تأثیر مثبتی بر نظارت و تحکم بر شرکتهای سهامی از طریق پیشبرد و اصلاح دقت و صحت و قابلیت اطمینانِ دادههای مالی داشته باشد، مطلوبیت ساکس چالشهای عمدهای برای سازمانها و مخصوصاً سازمانهای آی تی تولید میکند. از آنجا که اکثر دادههای مالی یک کمپانی روی سرورهای شبکهاست، نیازمندیهای کنترل داخلی بعهدهٔ گروههای آی تی میافتد؛ لذا دپارتمانهای آی تی باید اطلاعات مفصلی برای ممیزین داخلی و خارجی در مورد روالهای گزارشگیری مالی و ساختارهای کنترلی اشان تهیه کنند. مدیران شبکه (ادمینها) لازم است بتواننداز قدرت تکنولوژی و ابزارهای موجود بهره ببرند تا کنترلهای دسترسی در سرتاسر تجارتخانه را مدیریت کرده و در موردشان گزارش دهی کنند و مدارک و شواهد ملموسِ کوششهای امنیتی شان را تهیه کنند. ساکس مسوولیتپذیری میطلبد و برای هر سازمان لازم میدارد تا شایستگی و مؤثر بودن کل شیوهشان را در برقراری امنیت اطلاعات بیازمایند. یک راه حل امنیت اطلاعات ی برای مؤثر بودن لازم است بتواند در هر نقطه از زمان نشان دهد که سیاستها و حراستهای امنیتی در جای صحیح خود بوده و صحیح عمل میکنند. راه حل همچنان باید تضمین کند که تمام برنامههای کاربردی و پایگاههای دادهای که بر موقعیت مالی یک شرکت تأثیر میگذارند، امن هستند. حفاظت اطلاعات مالی وظیفهٔ پیچیده ایست که یک استراتژی گسترده میطلبد. سازمانها با وظیفهٔ پیچیدهٔ نه تنها دستیابی به مطلوبیت ساکس – بل که مراقبت و نگهداری سال به سالِ آن مواجهاند. از دیدگاه نظارت بر امنیت، سازمانها برای برآوردن {انتظارات قانون} ساکس، باید بهطور فعال در موارد زیر مشارکت نمایند:
- تعیین این که آیا یک مسیر ممیزی در مورد تمام فعالیتهای اضطراری وجود دارد و این که{در صورت وجود} بهطور مستقل بازنگری و بررسی شدهاست...
- حصول اطمینان از {این که} مدیریت امنیت آی تی عملیات و تخطیات امنیتی تشخیص داده شده را دیده بانی و ثبت وقایع میکند...
- بررسیِ یک نمونه از مشکلات یا «شرحِ ماوقع» ها، برای ملاحظه کردن اینکه آیا مطالب از لحاظ زمانی به خوبی مقصد دهی شدهاند یا نه. این مقصدرسانی شامل «ثبت و ضبط»، «تجزیه و تحلیل» و «رفع مشکل» میباشد.
- تعیین این که آیا روالهای سازمان شامل تسهیلات و امکانات دنبالهگیری ممیزی برای پیگیری رویدادها هستند یا خیر؟
- بررسی یک نمونه از مساِیل ضبط شده در سیستم مدیریت مشکلات، برای ملاحظه کردن این که آیا یک «دنبالهگیری ممیزی» مناسب وجود دارد و بکار برده میشود؟
- حصول اطمینان از اینکه دادههای حوادث درون سیستم بحد کافی احراز شدهاند تا بتوان اطلاعات وثبت وقایع را به ترتیب تاریخی گرد هم آورد تا بازنگری، امتحان و بازسازیِ سیستم و داده پردازی ممکن گردد.
- تعیین این که آیا اطلاعات و ثبت وقایع در ترتیب زمانی بقدر کافی ضبط گشته و ذخیره شدهاند و قابل استفاده برای بازسازی سیستم در صورت ضرورت میباشند-. نمونهای از وقایع ثبت شده را اختیار کنید تا تعیین کنید آنها بحد کافی امکان بازسازی میدهند یا نه؟
هرچند هیچ محصول نرمافزاری بتنهایی نمیتواند تمامی مطلوبیت ساکس را ایجاد کند، تکنولوژی صحیح SIM میتواند به شرکتها کمک کند تا کنترلهای داخلی را مدیریت کنند. یک راه حل مدیریت امنیتی مؤثر برای شرکتهای سهامی عام ابزارهای پیادهسازی، مراقبت و نگهداری، و گزارش در بابِ دستیابی داخلی و کنترلهای امنیتی را با حد اقل استفادهٔ منابع فراهم مینماید.
مدیریت اطلاعات امنیتی: بنیادی که مطلوبیت ساکس را ممکن میسازد
[ویرایش]امروزه، پروسههای گزارشِ مالی اکثر سازمانها توسط سیستمهای آی تی راه اندازی میشوند. گرچه قوانین و مقررات فدرال تکنولوژیهای بخصوصی راکه یک کمپانی باید بخدمت بگیرد تا محظورات مطلوبیت ساکس را برآورده سازد، جبرا تعیین نمیکنند، بوضوح آی تی نقش حساسی در مطلوبیت و مخصوصاً در کنترل داخلی بازی میکند. بورد (هیئت) سرکشی بر حسابداری شرکتهای سهامی عام (The Public Company Accounting Oversight Board)، که یک شرکت غیرانتفاعی بخش خصوصی، ایجاد شده بواسطهٔ ساکس برای مباشرت ممیزان شرکتهای سهامی عام است، خاطرنشان میکند: «طبیعت و خصوصیات استفادهٔ یک شرکت از آی تی در سیستم اطلاعاتی اش بر کنترل داخلی آن شرکت نسبت به گزارش دهی مالی تأثیر میگذارد.»
یک رویکرد جامع و مخصوص برای تطابق مطلوبیت با ملزومات ساکس باید با بکارگیری راه حل صحیح SIM آغاز گردد- راه حلی که دیده بانی در زمانِ حقیقی و گزارش دهی تاریخی و در حال تکوین را ممکن سازد. اما تکنولوژی بتنهایی پاسخ نیست. یک اقدام جامع و کامل که سرمایههای موجود را – شامل پرسنل، پروسهها، و سیاستها- با تکنولوژی یکسانسازی کند ماندگارترین ابزار برای نایل شدن موفقیتآمیز به مطلوبیت ساکس میباشد. در نظر گرفتنِ مسوولیتهای پی آیند به منظور تثبیتِ کوشش در مدیریت خطر امنیتی اطلاعات، به سازمانها کمک میکند تا ملزومات ساکس را، همانند ملزومات دیگر قوانین و مقررات امنیتی و محرمانه پوشش دهند:
- ِ تعریف کردن یک برنامه یِ مدیریت امنیتِ مشتق از سیاست که میتوان در مورد آن به وحدت نظر رسید، در پروسههای تجاری – پرسنل و کنترلهای تکنولوژیک مورد نیاز برای انجام عملیات امنیتی سازمان را مشخص کرده و از مطلوبیت ساکس اطمینان حاصل کنید. همچنین، اطمینان حاصل کنید که تمهیدات امنیتی با پروسههای تجاری ترجیحاً در همان آغاز متحد شدهاند و نه پس از آن..
- کنترلهای امنیتی راتنفیذ کنید – در مورد فعالیتها و تصمیمهای انسانی، کنترلهای پروسه، و کنترلهای فناوری اطلاعات، برای دیده بانی و گزارش کنترلها آمادگی حاصل کنید.
- پیادهسازی راه-کار بسوی امنیت اطلاعات بر اساس مدیریت خطر –دیده بانی فعالِ خطر را آنگونه که توسط نمایشگرهای کلیدی کنترل (KCIs) و نمایشگرهای کلیدی ریسک (KRIs) تعریف و اندازهگیری میشود، همبسته کردنِ ارزش نسبی داراییهای اطلاعات، تهدیدات متوجه قابلیت اطمینان، یکپارچگی، و در دسترس بودن داراییها، و آسیبپذیری ِ سیستمها و معماری ای را که داراییها را ذخیره و حمل میکنند، در نظر گیرید.
- نمایش دادن جدیت مقتضی دربرنامه کاربردی کنترل داخلی – از طریق ضبط کردن تمام حوادث امنیتی از تمام هاست (میزبان)های شبکه، دستگاهها، و داراییها در یک پایگاه دادهٔ قابل ممیزی کردن، بین زیرساخت امنیتی و «سیاست» پیوند ایجاد کنید.
- ساختن و پیادهسازی پروسهٔ مؤثر مدیریتی امنیت-رویداد (رویدادِ امنیتی) – نشان دهید که گامهای صحیح برای تصحیح سیستمها برداشته شده و تنظیم سیاست نمایید، اگر یک موقعیت نا مطلوبیت مشاهده شود.
- فعال کنید گزارشهایی را که میتواند به نشان دادن مطلوبیت کمک کند – امنیت مدام در حال پیشرفتِ داراییهای مرتبط با مطلوبیت دریک بازهٔ زمانی، بازسازی وضع امنیتیِ سازمان در هنگام وقوعِ یک ممیزی، و فعال کردنِ مدیریت کارایی امنیت مقابل معیارهایی که میتوانند برای تمهیدات و ابتکارات نظارت بر شرکتها تقویت شوند: همه اینها را نشان دهید.
- ایجادِ قابلیتهایی برای آرشیو کردن و صیانتِ داده- حفظِ دادهٔ کوتاه مدت و بلند مدت در بیغشترین شکل برای ارایهٔ شواهد و مدارک قا نونی و استفاده از تکنیکهای دادگاهی و وکالتی. (forensics and evidentiary presentation)
با پیادهسازی سیاستهای مؤثر جامع و مانع و روالهایی برای دایر کردن جوابگویی و عملیات گزارش دهی سازگار، سازمانها میتوانند بهطور موفقیتآمیزی با رهنمودهای تنظیم مطلوبیت ساکس تطابق یابند.
مورد نمونه برای مدیریت اطلاعات امنیتی
[ویرایش]شرکت آموزش حرفه (CEC)، در هافمن استیتس، ایلینِویس، وظیفهٔ مدیریت اطلاعات امنیتی در ۸۰ مدرسهٔ توزیع شده از نظر جغرافیایی را بر عهده دارد. تهیهکنندهٔ ۱٫۵ میلیارد دلاریِ آموزش پسا دبیرستانی نیاز داشت راه حلی امنیتی برای مدیریت آسیبپذیریها، اصلاح و پیشرفت وضعیت کلی امنیتی اش، و فراهم کردن دیده بانی امنیتی برای حصول اطمینان از مطلوبیت ساکس بیابد. CEC با موفقیت نرمافزار nFX OSP را، با همبسته کردن و یکسانسازی دادههای امنیتی از انواع گستردهای از دستگاهها و برنامههای کاربردی سفارشی، نصب نمود. با استفادهٔ nFX OSP، هر مدرسه مجهز به پرتالهای دادهای تصویری میگردد که جوابگویی برای تجزیه تحلیل و خود-گزارشگیری را ممکن میکند، در حالی که CEC قادر است بهطور مرکزی عملیات امنیتی را با جمعآوری دادههای مربوط به وقایع از دستگاههای امنیتی نا متجانس مدیریت کند. با تجزیه- تحلیلهای مبتنی بر ریسک، دیده بانی ریل تایم، و گزارش دهی جامع و کامل، CEC میتواند ملزومات ممیزی ساکس را برآورده کند.
راه حل: تراز کردن با اهداف ساکس
[ویرایش]نتفورسیکس یک استراتزی کارامد برای آزمودن کفایت و مؤثر بودن سیاستها، روالها، و عملیات امنیت اطلاعات را ممکن میسازد.nFX OSP جمعآوری و مرتبطسازی حجمها کلانِ داده ایجاد شده با ابتکارهای امنیتی {مختلف}را اتوماتیزه میکند. این پایگاه همچنین ارزیابیهای دورهای ریسک و درجهٔ خسارت و صدمهای که ممکن است در اثر دسترسی به، تغییر، یا از بین بردن اطلاعات توسط افراد غیرمجاز و بدون تنفیذ به این اطلاعات و سیستمهای اطلاعاتی که عملیات و داراییهای سازمان را پشتیبانی میکنند، نتیجه شود، فراهم میکند؛ همانطور که برای ساکس لازم است. بهطور مخصوص تر، nFX OSP برای سازمانها ابزارها و فناوریهای زیر را برای تطابق یافتن با ملزومات ساکس فراهم میآورد:
- صفحات نشان دهندهٔ مطلوبیت که تهیه میکنند دیده بانی ریل تایم وضعیت امنیتی یک سازمان در شبکه، دارایی و سطوح واحدِ تجاری
- پایهٔ دانش تعبیه شده که راهنمایی در تجزیه و تحلیل، سند زدن، و گزارش دادن مطالب امنیتی، از جمله آسیبپذیریهای تازه کشف شده، شرٌ افزارها، و دادههای آسیبپذیری مختصِ هر کمپانیِ فروش... فراهم میکند.
- برنامه کاربردی مرکزی و ابزار دیده بانی دستگاهها، که بهطور جامع و مانع امکانپذیر میسازند جمعآوری، مرتبط سازی، تجزیه تحلیل، گزارش دهی، و بخاطر سپردن حوادث ممیزی از برنامههای کار بردی نا متجانس، دستگاههای امنیتی، دستگاههای شبکه، سرورها، و کامپیوترهای رومیزی، و از این رو تغییر شکل دادن داده به هوشمندی دارای قابلیت بالفعل...
- اندازهگیری سطح کارایی عملیات امنیتی، با گزارشهایی که متمرکز میشوند بر آسیبپذیریها، تهدیدها، و پاسخ رویداد برای همه داراییهای مرتبط با مطلوبیت در تجارتخانه...
- ارزیابی ریسک مبنی بر ارزش دارایی، تهدیدها، و قابلیتای آسیبپذیری
- مدیریت وضوح رخداد، یکسان ساز پروسههای پاسخ حادث شدن با سیستمهای موجود جریان کاری تجارتخانه، و بنا بر این امکانپذیر کردن پاسخ حادث شدن شتاب یافته از خلال اقدام همکاری جمعی جویانه اش...
- وابستگی قدرتمند حوادث سیستم کشف نفوذ، ازجمله وابستگی قابلیت آسیبپذیری، وابستگی آماری، وابستگی تاریخی، و وابستگی قواعدیپ
- کشف و گزارش ویروسها، کرمها و دیگر کدهای شرور. در تمام حالات مختلف وضعیت سیستم و تغییرات پیکر بندی؛ و تغییرات حق ویژه و اجازه ورود...
- یک معماری امنیتی بسیار مقیاس پذیر و... که با گسترش سازمان رشد میکند و با تغییر نیازمندیهای تجارت تغییر مینماید...
با بکار بردن این ابزارها، سازمانهای آی تی میتوانند بهطور مؤثری امنیت اطلاعات را مدیریت کنند، و نتیجتاً مطلوبیت ساکس را بنمایش بگذارند...
جمعبندی
[ویرایش]ملزومات ساکس برای سازمانها نیاز به پیشبرد امنیت سیستمهای آی تی، برنامههای کاربردی و دادهها را افزایش دادهاست. ساکس مستلزم بکار بردن بهترین عملیاتهای اطلاعاتی امنیتی برای مطابقت با اهداف زیادی در ارتباط با نظارت بر شرکتهای سهامی و افشا ی مالی از جمله پاسخ گویی CEO/CFO (مدیر مالی / مدیر عامل)، اجازه و اختیار دسترسی به دادهها و پیش بِینی مطلوبیت بودهاست. مدیریت اجرایی نیازمند کار نزدیک با سازمانهای آی تی بر روی ارزیابی ریسک و پیادهسازی سیاستها و عملیات امنیتی میباشد. روی هم رفته، یک برنامهٔ امنیتی که انسانها، سیاستها، پروسه، و تکنولوژی را به یک سیستم وارد میکند بهترین رویکرد جهت تطابق یافتن با قانون ساکس میباشد. یک راه حل SIM پیادهسازی شده مانند nFX OSP، در کنار تنظیم کردن انسان، پروسه، و کنترلهای اطلاعاتی سازمانها را قادر میسازد با اهداف ساکس تطابق یابند. سازمانها میتوانند با استفاده از ابزارها و تکنولوژی موجود، در مورد موقعیت و امنیت پروسهها و اطلاعات مربوط به مالی شناسایی، ارزیابی، و گزارش دهی انجام دهند و میتوانند شواهد عینیِ اقدامات امنیتی اطلاعاتی شان را تهیه نمایند.
کلمات اختصاری
[ویرایش]SIM: Security Information Management
- مدیریت اطلاعات امنیتی
SEC: Securities and Exchange Commission
- هیئت آمریکایی ای که پیشنهادهای عموم و اوراق بهادار را تنظیم میکند
CEO: Chief Executive Officer
CFO: Chief Financial Officer
- مدیر مالی
KRI: Key Risk Indicators
- شاخصهای کلیدی ریسک
KCI: Key Control Indicators
- شاخصهای کلیدی ریسک
CEC: Career Education Corporation
- مؤسسه تحصیلات تخصص حرفهای
OSP:Open Security Platform
- جایگاه باز امنیتی
منابع
[ویرایش]Chairman William H. Donaldson, U.S. Securities and Exchange Commission. Remarks to the National Press Club. Washington, D.C. 30 Jul. 2003 http://www.sec.gov/news/speech/spch073003whd.htm