积极应对萨班斯法案挑战

开篇：润墨网以专业的文秘视角，为您筛选了一篇积极应对萨班斯法案挑战范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

晚上8点，亚信MIS部负责系统维护的员工收到一条系统报警短信:“亚信―MIS―主机监控报警―邮件系统出现异常”。这名员工立即通过SSLVPN登录到公司的内部网络，诊断出问题所在，在家中便及时解决了公司邮件系统的小故障。

利用手机邮箱与监测系统的联系，实现关键系统运行的实时监控报警，无需员工值班，亚信MIS部就可以实现24小时对公司全部应用系统的主动监控，在第一时间内发现问题并予以解决，保证公司系统的正常运行。

作为一家为电信运营商提供IT软件服务的技术型公司，亚信的ERP系统、邮件系统、网络系统都需要保证时时畅通，特别是很多业务需要远程开发，维护等等。“对于亚信这样高度依赖网络以及信息集中的企业来说，如果出现故障，业务中断、数据丢失，带来的影响和造成的损失不可估量，”亚信MIS部总监叶军说，“特别是作为纳斯达克的上市公司，ERP系统需要安全监控，否则报表无法按时、准确提供，会受到证监会处罚，影响投资人的信任。”

根据2002年颁布的萨班斯法案要求，在美上市的公司管理者必须为公司对外披露的财务报告负责，一旦出现类似安然事件的情况，公司的管理者甚至可能会被判入狱。在众多条款中，最重要的章节就是404条款（SOX404），要求管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。这对公司在IT控制环境和应用系统控制方面提出了极高的控制要求。

为做到未雨绸缪，亚信很早就开始着手制定公司容灾方案。同时，给IT部门制订了相应的KPI指标，规定关键应用系统每季度的宕机时间不能超过2个工作小时。众所周知，设备厂商的最高级别的金牌服务是4小时响应，一般是当日响应，而解决问题，最快的也要一天。如何实现2小时的KPI指标？

“为了实现公司总体IT系统控制的有效性，从而实现公司财务报告内部控制体系的有效性，我们必须提供完善的应急方案。但是系统经常进行更新和调整，原有的灾难恢复计划是否还可用？容灾系统的切换时间是否真的可以满足业务的要求？是否可以按照之前设计的方案进行切换？现有的切换流程和步骤是否没有遗漏和错误……都是在具体实践中需要解决的问题。”

要回答这些问题就需要通过模拟灾难演习来解决。为此，我们从去年开始确定每年8月份作一次MIS系统的模拟灾难演习。演习的内容主要针对关键应用系统，并结合当年的系统使用情况，在演习中发现问题并及时完善方案，同时通过演习也提高了IT人员的系统管理能力。”

2007年8月25日，周六。按照计划，亚信MIS部利用非工作时间进行了第二次灾难演习。对网络设备、邮件系统、网络专线、ERP系统等基础网络及关键应用系统进行了模拟灾难恢复。今年与去年相比，这次演习增加了UPS的灾难演习。

“灾难演习的挑战是很大的。”叶军介绍说:“我们必须考虑到灾难演习中对设备的影响是否会‘假戏真做’，如果演习完毕无法恢复原状将影响到正常使用。这个风险是挺大的。但是如果不做，风险将更大。我们不能仅仅纸上谈兵，必须要切实保证业务连续与可用性。”

近几年，亚信为实现SOX404带来的对IT系统控制方面的极高的要求，已经建立了更加广泛而严密的控制方式和程序，这些实践对其业务也产生了积极的作用。

几年来，亚信建立的规范的IT管理系统均顺利通过了SOX404在IT控制环境和应用系统控制方面的审计。目前亚信正在帮助中国移动实施安全加固项目，作为唯一的海外上市通信软件服务提供商，亚信的实践经验弥足珍贵。