Home / Resources / ISACA Journal / Issues / 2022 / Volume 5 / 网络安全应该受到SOX类型的监管吗

网络安全应该受到sox类型的监管吗?

网络安全应该受到sox类型的监管吗?
Author: 迈克·托马塞利,CISA, CISM, CIA, CISSP
Date Published: 1 September 2022
Related: 萨班斯-奥克斯利法案的IT控制目标,第4版|电子版|英文版

随着数字化转型趋势的持续, 网络攻击正变得越来越普遍, 导致对个体澳门赌场官方下载和全球经济的威胁和影响不断升级. 如果大量数据通过恶意行为者的工作被加密或不正确传输,则澳门赌场官方下载的运营可能会因一次攻击而停止. 近年来,大型澳门赌场官方下载增加了对保护专有和客户信息的关注, 由增强的法规要求和客户期望驱动. Despite these efforts, well-known retail, 科技和社交媒体澳门赌场官方下载, 还有医疗保健行业的其他人, 国防和航空航天工业, 经历过违规行为, 允许数百万人的个人数据以及敏感的工业和国防相关数据被犯罪分子和国家行为者窃取和使用.

鉴于目前的形势, 监管机构这么做的原因很明显, 例如美国证券交易委员会(SEC)和欧盟网络安全机构(ENISA), and executive agencies, 包括世界各地的卫生部和国防部, 是否对影响投资者的网络威胁真正感兴趣, customers, patients, 基础设施和国家安全利益. In the United States, 联邦和州已经通过了许多法律和法规来保护某些类型的信息, 创建一系列澳门赌场官方下载必须遵守的需求. However, 因为澳门赌场官方下载可用于网络安全投资的资源有限, 这种不协调的方法给目标蒙上了阴影,导致决策瘫痪. 网络安全实施能否从美国2002年萨班斯-奥克斯利法案(SOX)类型的方法中受益?

通过内部控制进行监管

SOX法案是在美国发生多起重大澳门赌场官方下载会计和欺诈丑闻之后颁布的.1 它的主要条款包括, SOX法案授权美国证券交易委员会制定法规,定义上市公司必须如何遵守与公开披露相关的法律要求, 内部控制和财务报告. 该法律的一个核心原则很好地诠释了当前的网络安全挑战,即需要一个强大的内部控制框架,在这个框架中,控制设计和有效性都要经过管理层的测试,并得到行政领导层的认证. Under SOX section 302, 首席执行官和首席财务官必须, among other things, establish, maintain, 评估和证明澳门赌场官方下载内部控制的有效性.2 Under SOX section 404, 独立审计师必须证明管理层对内部控制环境的评估.3

SOX没有规定具体的控制或评估财务报告控制或财务数据保护的具体框架, 把决定权留给个别澳门赌场官方下载.

网络安全框架并不缺乏,可以利用这些框架形成基于风险的方法来评估网络安全控制的设计和运营有效性.

特雷德韦委员会(COSO)赞助组织委员会综合框架是一种流行的选择,它包含五个合规性组成部分:

  1. Control environment
  2. Risk assessment
  3. 信息与通信
  4. Monitoring activities
  5. 现有管制活动

为了保护财务报告过程中涉及的信息系统,需要或强烈建议使用一些IT和网络安全最佳实践. SOX IT审计主要关注变更管理领域中的控制, access control, 以及与内部财务报告系统相关的数据备份和恢复.

随着组织范围扩展到财务报告之外,网络安全计划可能会被设计得更加全面. 网络安全框架并不缺乏,可以利用这些框架形成基于风险的方法来评估网络安全控制的设计和运营有效性. 目前使用的一些比较流行的网络安全控制框架概述在 figure 1.

Figure 1

资料来源:a)美国国家标准与技术研究所(NIST), NIST网络安全框架(CSF), USA, http://www.nist.gov/cyberframework; b) American Institute of Certified Public Accountants (AICPA), “信任服务和信息完整性,” http://us.aicpa.org/interestareas/frc/assuranceadvisoryservices/trustdataintegritytaskforce; c) National Institute of Standards and Technology, 特别出版物(SP) 800-171版本. 2, 保护非联邦系统和组织中的受控非机密信息, USA, February 2020, http://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final; d) National Institute of Standards and Technology, SP 800-53 rev. 5, 信息系统和组织的安全和隐私控制, USA, September 2020, http://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final; e) International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC), ISO/IEC 27001: 2013 信息技术-安全技术-信息安全管理系统-要求, Switzerland, 2013, http://www.iso.org/isoiec-27001-information-security.html; f) ISACA®, COBIT®, USA, 2018, http://1bn.kingpaq.com/resources/cobit; g) HITRUST, HITRUST CSF Framework, USA, http://hitrustalliance.net/product-tool/hitrust-csf/; h) Secure Controls Framework (SCF), Security and Privacy Metaframework, USA, http://www.securecontrolsframework.com/; i) Center for Internet Security (CIS), “CIS Critical Security Controls,” http://www.cisecurity.org/controls; j) Payment Card Industry (PCI) Security Standards Council, http://www.pcisecuritystandards.org/

尽管已经为特定用途开发了许多框架, 它们有一些相同的基本原则. COSO一般适用于所有的内部控制,而COBIT® 主要用于IT集成会计和财务系统的评估,并且是关于SOX IT遵从性的最广泛接受的指导来源.4 除了它对SOX的监督之外, 美国证券交易委员会目前将重点放在数据泄露和漏洞引发的财务风险上,并要求组织流程促进网络安全问题及时升级到高管层面,并在季度和年度报告中披露重大漏洞和事件. 美国证券交易委员会新提出的规则还要求在网络安全风险管理和战略方面进行一致和翔实的披露.5

也被广泛接受用于执行IT, 云和软件供应商评估是服务组织控制(SOC 2)报告(类型I和II) 由美国注册会计师协会(AICPA)颁布. These reports, issued by accountants, 旨在评估服务机构在以下一个或多个领域的内部控制:隐私, confidentiality, processing integrity, 可用性和安全性. SOC报告结构的创建是为了确保第三方服务提供商, 供应商和业务合作伙伴提供可信和安全的平台和软件, 在快速扩张的即服务(as-a-Service)市场中哪些是必不可少的. SOC 2报告通过提供关于服务或平台基础的系统标准的客观报告,可以增加澳门赌场官方下载之间和消费者之间的信任. Furthermore, 证明澳门赌场官方下载有有效的流程和控制措施, respond to, 减轻并从安全事件中恢复, AICPA开发了网络安全SOC, 哪个报告了澳门赌场官方下载范围的网络安全风险管理计划.

美国国防部(DoD)及其在国防工业基地的工业合作伙伴负责保护与美国国防直接相关的信息. 尽管保护机密信息的机制已经存在了几十年,6 国防部正在努力实施一个保障框架,以保护受控制的非机密信息. 网络安全成熟度模型认证(CMMC)计划, 哪一个计划在2023年年中上线, will be implemented through contractual requirements included in the US Defense Federal Acquisition Regulation Supplement (DFARS); in certain cases, 它将要求承包商每三年通过一次基于美国国家标准与技术研究院(NIST)特别出版物(SP) 800-171安全要求的评估.7 CMMC计划与SOX相似的一个潜在方面是对澳门赌场官方下载网络安全框架的执行认证的要求, 要求执行人员负责确保项目满足需求并有效运作. 应该指出的是,程序需求仍在开发中, 还有人担心,实施新保障措施的成本可能会打击小型承包商和非传统承包商竞标美国国防合同的积极性, 限制创新和准备.

其他联邦机构正在努力应对网络挑战, 类似sox的项目可能会在国防部之外制定,以保护所有在美国联邦合同下工作的澳门赌场官方下载的重要信息. 这类计划可能包括类似的内部控制要求, 基于NIST SP 800-171要求, 还有披露网络和数据泄露的义务. 这种方法将有助于确保健全的网络安全实践的一致性和标准化, 实施程序, at a minimum, 将纳入日常培训, access controls, change management, monitoring and alerting, 漏洞扫描, 以及事件响应和违规披露的指导方针.

实现影响如此之多的需求将需要投入大量的政治资本和利益相关者的精力, 但这将是一项投资,目的是让在美国和全球经济中运营的澳门赌场官方下载更加安全.

Investment and Benefits

As things stand, 网络攻击的风险越来越大,业界领袖和监管机构都已认识到这一点, 但目前采取的拼凑方法造成了不确定性, 低效率和混乱, 导致漏洞. SOX法案绝不是一部完美的法律, 许多参与早期合规行动的人可以证明,建立内部控制程序以及维护该程序所需的持续监控的成本很高. However, SOX法案建立了一个一致的、健全的财务报告控制框架,嵌入了问责制和独立监督, 帮助恢复对金融市场的信心. 某些行业对整体经济和国家安全构成了巨大的风险, 类似sox的灵活性允许有针对性的补充要求,以确保相应的保障措施到位. 考虑澳门赌场官方下载规模的基于风险的通用框架, 数据的重要性和影响,并建立在健全的网络安全和风险评估原则, 一致的报告要求, 独立认证和执行层面的问责制将大大改善美国澳门赌场官方下载和在美国开展业务的全球澳门赌场官方下载的网络安全. 实现影响如此之多的需求将需要投入大量的政治资本和利益相关者的精力, 但这将是一项投资,目的是让在美国和全球经济中运营的澳门赌场官方下载更加安全. 继续目前这种分散的做法,最终将付出更大的代价.

Endnotes

1 Blokhin, A.; “The Impact of the Sarbanes-Oxley Act of 2002,” Investopedia, 17 January 2022, http://www.investopedia.com/ask/answers/052815/what-impact-did-sarbanesoxley-act-have-corporate-governance-united-states.asp#:~:text=The%20act%20implemented%20new%20rules,imposes%20harsher%20penalties%20for%20violators
2 美国国会,《澳门赌场官方软件》,P. L. 107‒204, USA, 2002, http://www.congress.gov/bill/107th-congress/house-bill/3763/text
3 Ibid.
4 ISACA®, 萨班斯-奥克斯利法案的IT控制目标,第四版, USA, 2021, http://store.kingpaq.com/s/store#/store/browse/detail/a2S4w000004LF0QEAW
5 Southwell, A.; A. Beringer; L. Zyskowski; T. Kim; J. Lapitskaya; “SEC Proposes Rules on Cybersecurity Disclosure,” Gibson Dunn, 11 March 2022, http://www.gibsondunn.com/sec-proposes-rules-on-cybersecurity-disclosure/
6 联邦法规, 第117部分国家工业安全计划操作手册(NISPOM), 32 CFR 117, USA, 2020, http://www.ecfr.gov/current/title-32/subtitle-A/chapter-I/subchapter-D/part-117
7 Bourne, T. L.; N. Snyder; “Updated Timeline for DoD’s Cybersecurity Certification Program,” 《澳门赌场官方下载》, 18 July 2022, http://www.natlawreview.com/article/updated-timeline-dod-s-cybersecurity-certification-program

迈克·托马塞利| cisa, cism, cia, csp

是切斯咨询有限责任公司的高级经理吗. 他在风险管理、监管合规和网络安全方面拥有超过15年的经验. 他的主要工作是协助政府承包商处理采购法规和信息安全要求.