قانون ساکس

افزودن پیوند
از ویکی‌پدیا، دانشنامهٔ آزاد

قانون ساربینس-آکسلی سال ۲۰۰۲، همین‌طور مشهور به «اصلاح عمومی حسابداری شرکتها» و «قانون حفاظت از سرمایه‌گذار»، و عموماً به نام «ساکس» یا «سارب-اّکس»، یک قانون فدرال ایالات متحده در ارتباط با نظارت بر شرکت‌های سهامی و بی پرده گویی مالی است. پیش‌بینی‌ها و تدارکات ساکس، با ارایهٔ بزرگترین تغییر در قوانین فدرال در مورد سهام و اوراق بهادار طی دهه‌ها، بتفصیل مجازات جزایی و مدنی برای سرپیچی (عدم مطلوبیت)، گواهی ممیزی پنهانی داخلی، و گزافه گویی مالی را شرح می‌دهد.

این مصوبهٔ قانون‌گذاری دارای طیف گسترده‌ای ست، و استانده‌هایی تازه یا پیشرفته را برای تمام شرکت‌های سهامی عام آمریکایی، مؤسسات حسابداری عمومی، و مؤسسات عرضه‌کنندهٔ خدمات ممیزی، نیز کمپانی‌های غیر آمریکایی که آمریکا در آن حضور دارد، الزامی می‌کند. بخش‌هایی از ساکس که بیش‌ترین ارتباط را با حرفه‌ای‌های آی تی دارند شامل موارد پیرو می‌باشد:

  • بخش ۳۰۲ – مسوولیت شرکت سهامی برای گزارش‌های مالی. متصدیان شرکت‌های سهامی عام باید قابلیت اطمینان اظهارات سالیانه و فصلی مالی را تأیید کنند.
  • بخش ۴۰۴ – ارزیابی مدیریتی کنترل‌های داخلی- تمامی شرکت‌های دارایِ (برگِ) سهامِ داد و ستد شونده به‌طور عام باید یک گزارش سالیانه در مورد کارایی کنترل داخلی حسابرسی شان به SEC تسلیم کنند. همچنین ممیز مستقل شرکت باید دقت گزارش را رسماً تصدیق و امضا کند.
  • بخش ۴۰۹ – بی پرده گویی‌های منتشرهٔ مطابق با گذشت زمان - شرکت‌های سهامی عام از لحاظ گزارش دهی مالی باید بروز باشند؛ و تغییرات در شرایط یا عملیات مالی شان را در عرض ۴۸ ساعت از وقوع علل مادی آن بیان کنند.
  • بخش‌های ۸۰۲ و ۱۱۰۲ - شرکت سهامی و جوابگویی جزایی در کلاهبرداری- شرکت‌های سهامی عام می‌توانند برای تغییرِ محتوی یا تخریبِ اسناد مالی با مجازاتهای جزایی مواجه گردند.

میانِ این بخش‌ها، سازمان‌های آی تی به‌طور گسترده‌ای تلاشهای مطلوبیت ساکس اشان را بر برآوردن ملزومات بخش ۴۰۴ متمرکز می‌کنند. گروه‌های آی تی با کار کردن در تشریک مساعی با مدیریت اجرایی، باید اطمینان حاصل کنند که یک چارچوب کنترل داخلی می‌تواند بحد کفایت ساختارهای کنترل داخلی و پروسه‌های گزارش دهی مالی را ارزیابی کند، تا بدین صورت داده‌های مالی حساس و حیاتی را محافظت و پشتیبانی کنند.

مبارزه طلبی یا چالشِ ساکس: اصلاح و پیشرفت در دقت و صحتِ گزارش دهی مالی[ویرایش]

ساکس بتفصیل موارد قانونی ای برای شرکت‌های سهامی در نظر می‌گیرد، از آن جمله‌اند: یک هیئت سرکشی (برد اورسایت) برای حسابداری شرکت سهامی عام، استقلال ممیزی، پاسخگویی و مسوولیتِ (CEO/CFO) مدیر مالی و مدیر عامل، و پیشرفت در بی پرده گویی مالی. مخصوصاً، قانون ساکس تصدیق و تصریح می‌کند که شرکت‌های سهامی عام نیازمندِ سیستم‌های کنترل داخلی وسیع برای مدیریت کردن و گزارشِ داده‌های مالی، در محل می‌باشند، همان‌طور که دیده بانی و محافظتِ فعالیت‌های کاربر حول داده و حصول اطمینان از امنیت خودِ داده، نیز از ملزومات است. گرچه ساکس می‌تواند تأثیر مثبتی بر نظارت و تحکم بر شرکت‌های سهامی از طریق پیشبرد و اصلاح دقت و صحت و قابلیت اطمینانِ داده‌های مالی داشته باشد، مطلوبیت ساکس چالشهای عمده‌ای برای سازمان‌ها و مخصوصاً سازمان‌های آی تی تولید می‌کند. از آنجا که اکثر داده‌های مالی یک کمپانی روی سرورهای شبکه‌است، نیازمندیهای کنترل داخلی بعهدهٔ گروه‌های آی تی می‌افتد؛ لذا دپارتمان‌های آی تی باید اطلاعات مفصلی برای ممیزین داخلی و خارجی در مورد روالهای گزارش‌گیری مالی و ساختارهای کنترلی اشان تهیه کنند. مدیران شبکه (ادمین‌ها) لازم است بتواننداز قدرت تکنولوژی و ابزارهای موجود بهره ببرند تا کنترلهای دسترسی در سرتاسر تجارتخانه را مدیریت کرده و در موردشان گزارش دهی کنند و مدارک و شواهد ملموسِ کوششهای امنیتی شان را تهیه کنند. ساکس مسوولیت‌پذیری می‌طلبد و برای هر سازمان لازم می‌دارد تا شایستگی و مؤثر بودن کل شیوه‌شان را در برقراری امنیت اطلاعات بیازمایند. یک راه حل امنیت اطلاعات ی برای مؤثر بودن لازم است بتواند در هر نقطه از زمان نشان دهد که سیاست‌ها و حراستهای امنیتی در جای صحیح خود بوده و صحیح عمل می‌کنند. راه حل همچنان باید تضمین کند که تمام برنامه‌های کاربردی و پایگاه‌های داده‌ای که بر موقعیت مالی یک شرکت تأثیر می‌گذارند، امن هستند. حفاظت اطلاعات مالی وظیفهٔ پیچیده ایست که یک استراتژی گسترده می‌طلبد. سازمان‌ها با وظیفهٔ پیچیدهٔ نه تنها دستیابی به مطلوبیت ساکس – بل که مراقبت و نگهداری سال به سالِ آن مواجه‌اند. از دیدگاه نظارت بر امنیت، سازمان‌ها برای برآوردن {انتظارات قانون} ساکس، باید به‌طور فعال در موارد زیر مشارکت نمایند:

  • تعیین این که آیا یک مسیر ممیزی در مورد تمام فعالیت‌های اضطراری وجود دارد و این که{در صورت وجود} به‌طور مستقل بازنگری و بررسی شده‌است...
  • حصول اطمینان از {این که} مدیریت امنیت آی تی عملیات و تخطیات امنیتی تشخیص داده شده را دیده بانی و ثبت وقایع می‌کند...
  • بررسیِ یک نمونه از مشکلات یا «شرحِ ماوقع» ها، برای ملاحظه کردن اینکه آیا مطالب از لحاظ زمانی به خوبی مقصد دهی شده‌اند یا نه. این مقصدرسانی شامل «ثبت و ضبط»، «تجزیه و تحلیل» و «رفع مشکل» می‌باشد.
  • تعیین این که آیا روال‌های سازمان شامل تسهیلات و امکانات دنباله‌گیری ممیزی برای پیگیری رویدادها هستند یا خیر؟
  • بررسی یک نمونه از مساِیل ضبط شده در سیستم مدیریت مشکلات، برای ملاحظه کردن این که آیا یک «دنباله‌گیری ممیزی» مناسب وجود دارد و بکار برده می‌شود؟
  • حصول اطمینان از اینکه داده‌های حوادث درون سیستم بحد کافی احراز شده‌اند تا بتوان اطلاعات وثبت وقایع را به ترتیب تاریخی گرد هم آورد تا بازنگری، امتحان و بازسازیِ سیستم و داده پردازی ممکن گردد.
  • تعیین این که آیا اطلاعات و ثبت وقایع در ترتیب زمانی بقدر کافی ضبط گشته و ذخیره شده‌اند و قابل استفاده برای بازسازی سیستم در صورت ضرورت می‌باشند-. نمونه‌ای از وقایع ثبت شده را اختیار کنید تا تعیین کنید آن‌ها بحد کافی امکان بازسازی می‌دهند یا نه؟

هرچند هیچ محصول نرم‌افزاری بتنهایی نمی‌تواند تمامی مطلوبیت ساکس را ایجاد کند، تکنولوژی صحیح SIM می‌تواند به شرکت‌ها کمک کند تا کنترل‌های داخلی را مدیریت کنند. یک راه حل مدیریت امنیتی مؤثر برای شرکت‌های سهامی عام ابزارهای پیاده‌سازی، مراقبت و نگهداری، و گزارش در بابِ دستیابی داخلی و کنترل‌های امنیتی را با حد اقل استفادهٔ منابع فراهم می‌نماید.

مدیریت اطلاعات امنیتی: بنیادی که مطلوبیت ساکس را ممکن می‌سازد[ویرایش]

امروزه، پروسه‌های گزارشِ مالی اکثر سازمان‌ها توسط سیستم‌های آی تی راه اندازی می‌شوند. گرچه قوانین و مقررات فدرال تکنولوژیهای بخصوصی راکه یک کمپانی باید بخدمت بگیرد تا محظورات مطلوبیت ساکس را برآورده سازد، جبرا تعیین نمی‌کنند، بوضوح آی تی نقش حساسی در مطلوبیت و مخصوصاً در کنترل داخلی بازی می‌کند. بورد (هیئت) سرکشی بر حسابداری شرکت‌های سهامی عام (The Public Company Accounting Oversight Board)، که یک شرکت غیرانتفاعی بخش خصوصی، ایجاد شده بواسطهٔ ساکس برای مباشرت ممیزان شرکت‌های سهامی عام است، خاطرنشان می‌کند: «طبیعت و خصوصیات استفادهٔ یک شرکت از آی تی در سیستم اطلاعاتی اش بر کنترل داخلی آن شرکت نسبت به گزارش دهی مالی تأثیر می‌گذارد.»

یک رویکرد جامع و مخصوص برای تطابق مطلوبیت با ملزومات ساکس باید با بکارگیری راه حل صحیح SIM آغاز گردد- راه حلی که دیده بانی در زمانِ حقیقی و گزارش دهی تاریخی و در حال تکوین را ممکن سازد. اما تکنولوژی بتنهایی پاسخ نیست. یک اقدام جامع و کامل که سرمایه‌های موجود را – شامل پرسنل، پروسه‌ها، و سیاستها- با تکنولوژی یکسان‌سازی کند ماندگارترین ابزار برای نایل شدن موفقیت‌آمیز به مطلوبیت ساکس می‌باشد. در نظر گرفتنِ مسوولیت‌های پی آیند به منظور تثبیتِ کوشش در مدیریت خطر امنیتی اطلاعات، به سازمان‌ها کمک می‌کند تا ملزومات ساکس را، همانند ملزومات دیگر قوانین و مقررات امنیتی و محرمانه پوشش دهند:

  • ِ تعریف کردن یک برنامه یِ مدیریت امنیتِ مشتق از سیاست که می‌توان در مورد آن به وحدت نظر رسید، در پروسه‌های تجاری – پرسنل و کنترلهای تکنولوژیک مورد نیاز برای انجام عملیات امنیتی سازمان را مشخص کرده و از مطلوبیت ساکس اطمینان حاصل کنید. همچنین، اطمینان حاصل کنید که تمهیدات امنیتی با پروسه‌های تجاری ترجیحاً در همان آغاز متحد شده‌اند و نه پس از آن..
  • کنترلهای امنیتی راتنفیذ کنید – در مورد فعالیت‌ها و تصمیمهای انسانی، کنترلهای پروسه، و کنترلهای فناوری اطلاعات، برای دیده بانی و گزارش کنترلها آمادگی حاصل کنید.
  • پیاده‌سازی راه-کار بسوی امنیت اطلاعات بر اساس مدیریت خطر –دیده بانی فعالِ خطر را آنگونه که توسط نمایشگرهای کلیدی کنترل (KCIs) و نمایشگرهای کلیدی ریسک (KRIs) تعریف و اندازه‌گیری می‌شود، همبسته کردنِ ارزش نسبی دارایی‌های اطلاعات، تهدیدات متوجه قابلیت اطمینان، یکپارچگی، و در دسترس بودن دارایی‌ها، و آسیب‌پذیری ِ سیستم‌ها و معماری ای را که دارایی‌ها را ذخیره و حمل می‌کنند، در نظر گیرید.
  • نمایش دادن جدیت مقتضی دربرنامه کاربردی کنترل داخلی – از طریق ضبط کردن تمام حوادث امنیتی از تمام هاست (میزبان)های شبکه، دستگاه‌ها، و دارایی‌ها در یک پایگاه دادهٔ قابل ممیزی کردن، بین زیرساخت امنیتی و «سیاست» پیوند ایجاد کنید.
  • ساختن و پیاده‌سازی پروسهٔ مؤثر مدیریتی امنیت-رویداد (رویدادِ امنیتی) – نشان دهید که گامهای صحیح برای تصحیح سیستم‌ها برداشته شده و تنظیم سیاست نمایید، اگر یک موقعیت نا مطلوبیت مشاهده شود.
  • فعال کنید گزارشهایی را که می‌تواند به نشان دادن مطلوبیت کمک کند – امنیت مدام در حال پیشرفتِ داراییهای مرتبط با مطلوبیت دریک بازهٔ زمانی، بازسازی وضع امنیتیِ سازمان در هنگام وقوعِ یک ممیزی، و فعال کردنِ مدیریت کارایی امنیت مقابل معیارهایی که می‌توانند برای تمهیدات و ابتکارات نظارت بر شرکت‌ها تقویت شوند: همه اینها را نشان دهید.
  • ایجادِ قابلیت‌هایی برای آرشیو کردن و صیانتِ داده- حفظِ دادهٔ کوتاه مدت و بلند مدت در بیغش‌ترین شکل برای ارایهٔ شواهد و مدارک قا نونی و استفاده از تکنیک‌های دادگاهی و وکالتی. (forensics and evidentiary presentation)

با پیاده‌سازی سیاست‌های مؤثر جامع و مانع و روالهایی برای دایر کردن جوابگویی و عملیات گزارش دهی سازگار، سازمان‌ها می‌توانند به‌طور موفقیت‌آمیزی با رهنمودهای تنظیم مطلوبیت ساکس تطابق یابند.

مورد نمونه برای مدیریت اطلاعات امنیتی[ویرایش]

شرکت آموزش حرفه (CEC)، در هافمن استیتس، ایلینِویس، وظیفهٔ مدیریت اطلاعات امنیتی در ۸۰ مدرسهٔ توزیع شده از نظر جغرافیایی را بر عهده دارد. تهیه‌کنندهٔ ۱٫۵ میلیارد دلاریِ آموزش پسا دبیرستانی نیاز داشت راه حلی امنیتی برای مدیریت آسیب‌پذیریها، اصلاح و پیشرفت وضعیت کلی امنیتی اش، و فراهم کردن دیده بانی امنیتی برای حصول اطمینان از مطلوبیت ساکس بیابد. CEC با موفقیت نرم‌افزار nFX OSP را، با همبسته کردن و یکسان‌سازی داده‌های امنیتی از انواع گسترده‌ای از دستگاه‌ها و برنامه‌های کاربردی سفارشی، نصب نمود. با استفادهٔ nFX OSP، هر مدرسه مجهز به پرتال‌های داده‌ای تصویری می‌گردد که جوابگویی برای تجزیه تحلیل و خود-گزارش‌گیری را ممکن می‌کند، در حالی که CEC قادر است به‌طور مرکزی عملیات امنیتی را با جمع‌آوری داده‌های مربوط به وقایع از دستگاه‌های امنیتی نا متجانس مدیریت کند. با تجزیه- تحلیل‌های مبتنی بر ریسک، دیده بانی ریل تایم، و گزارش دهی جامع و کامل، CEC می‌تواند ملزومات ممیزی ساکس را برآورده کند.

راه حل: تراز کردن با اهداف ساکس[ویرایش]

نتفورسیکس یک استراتزی کارامد برای آزمودن کفایت و مؤثر بودن سیاستها، روال‌ها، و عملیات امنیت اطلاعات را ممکن می‌سازد.nFX OSP جمع‌آوری و مرتبط‌سازی حجم‌ها کلانِ داده ایجاد شده با ابتکارهای امنیتی {مختلف}را اتوماتیزه می‌کند. این پایگاه همچنین ارزیابی‌های دوره‌ای ریسک و درجهٔ خسارت و صدمه‌ای که ممکن است در اثر دسترسی به، تغییر، یا از بین بردن اطلاعات توسط افراد غیرمجاز و بدون تنفیذ به این اطلاعات و سیستم‌های اطلاعاتی که عملیات و داراییهای سازمان را پشتیبانی می‌کنند، نتیجه شود، فراهم می‌کند؛ همان‌طور که برای ساکس لازم است. به‌طور مخصوص تر، nFX OSP برای سازمان‌ها ابزارها و فناوریهای زیر را برای تطابق یافتن با ملزومات ساکس فراهم می‌آورد:

  • صفحات نشان دهندهٔ مطلوبیت که تهیه می‌کنند دیده بانی ریل تایم وضعیت امنیتی یک سازمان در شبکه، دارایی و سطوح واحدِ تجاری
  • پایهٔ دانش تعبیه شده که راهنمایی در تجزیه و تحلیل، سند زدن، و گزارش دادن مطالب امنیتی، از جمله آسیب‌پذیریهای تازه کشف شده، شرٌ افزارها، و داده‌های آسیب‌پذیری مختصِ هر کمپانیِ فروش... فراهم می‌کند.
  • برنامه کاربردی مرکزی و ابزار دیده بانی دستگاه‌ها، که به‌طور جامع و مانع امکانپذیر می‌سازند جمع‌آوری، مرتبط سازی، تجزیه تحلیل، گزارش دهی، و بخاطر سپردن حوادث ممیزی از برنامه‌های کار بردی نا متجانس، دستگاه‌های امنیتی، دستگاه‌های شبکه، سرورها، و کامپیوترهای رومیزی، و از این رو تغییر شکل دادن داده به هوشمندی دارای قابلیت بالفعل...
  • اندازه‌گیری سطح کارایی عملیات امنیتی، با گزارش‌هایی که متمرکز می‌شوند بر آسیب‌پذیری‌ها، تهدیدها، و پاسخ رویداد برای همه دارایی‌های مرتبط با مطلوبیت در تجارتخانه...
  • ارزیابی ریسک مبنی بر ارزش دارایی، تهدیدها، و قابلیتای آسیب‌پذیری
  • مدیریت وضوح رخداد، یکسان ساز پروسه‌های پاسخ حادث شدن با سیستم‌های موجود جریان کاری تجارتخانه، و بنا بر این امکان‌پذیر کردن پاسخ حادث شدن شتاب یافته از خلال اقدام همکاری جمعی جویانه اش...
  • وابستگی قدرتمند حوادث سیستم کشف نفوذ، ازجمله وابستگی قابلیت آسیب‌پذیری، وابستگی آماری، وابستگی تاریخی، و وابستگی قواعدیپ
  • کشف و گزارش ویروسها، کرمها و دیگر کدهای شرور. در تمام حالات مختلف وضعیت سیستم و تغییرات پیکر بندی؛ و تغییرات حق ویژه و اجازه ورود...
  • یک معماری امنیتی بسیار مقیاس پذیر و... که با گسترش سازمان رشد می‌کند و با تغییر نیازمندیهای تجارت تغییر می‌نماید...

با بکار بردن این ابزارها، سازمان‌های آی تی می‌توانند به‌طور مؤثری امنیت اطلاعات را مدیریت کنند، و نتیجتاً مطلوبیت ساکس را بنمایش بگذارند...

جمع‌بندی[ویرایش]

ملزومات ساکس برای سازمان‌ها نیاز به پیشبرد امنیت سیستم‌های آی تی، برنامه‌های کاربردی و داده‌ها را افزایش داده‌است. ساکس مستلزم بکار بردن بهترین عملیات‌های اطلاعاتی امنیتی برای مطابقت با اهداف زیادی در ارتباط با نظارت بر شرکت‌های سهامی و افشا ی مالی از جمله پاسخ گویی CEO/CFO (مدیر مالی / مدیر عامل)، اجازه و اختیار دسترسی به داده‌ها و پیش بِینی مطلوبیت بوده‌است. مدیریت اجرایی نیازمند کار نزدیک با سازمان‌های آی تی بر روی ارزیابی ریسک و پیاده‌سازی سیاست‌ها و عملیات امنیتی می‌باشد. روی هم رفته، یک برنامهٔ امنیتی که انسانها، سیاستها، پروسه، و تکنولوژی را به یک سیستم وارد می‌کند بهترین رویکرد جهت تطابق یافتن با قانون ساکس می‌باشد. یک راه حل SIM پیاده‌سازی شده مانند nFX OSP، در کنار تنظیم کردن انسان، پروسه، و کنترل‌های اطلاعاتی سازمان‌ها را قادر می‌سازد با اهداف ساکس تطابق یابند. سازمان‌ها می‌توانند با استفاده از ابزارها و تکنولوژی موجود، در مورد موقعیت و امنیت پروسه‌ها و اطلاعات مربوط به مالی شناسایی، ارزیابی، و گزارش دهی انجام دهند و می‌توانند شواهد عینیِ اقدامات امنیتی اطلاعاتی شان را تهیه نمایند.

کلمات اختصاری[ویرایش]

SIM: Security Information Management

  • مدیریت اطلاعات امنیتی

SEC: Securities and Exchange Commission

  • هیئت آمریکایی ای که پیشنهادهای عموم و اوراق بهادار را تنظیم می‌کند

CEO: Chief Executive Officer

CFO: Chief Financial Officer

  • مدیر مالی

KRI: Key Risk Indicators

  • شاخصهای کلیدی ریسک

KCI: Key Control Indicators

  • شاخصهای کلیدی ریسک

CEC: Career Education Corporation

  • مؤسسه تحصیلات تخصص حرفه‌ای

OSP:Open Security Platform

  • جایگاه باز امنیتی

منابع[ویرایش]

Chairman William H. Donaldson, U.S. Securities and Exchange Commission. Remarks to the National Press Club. Washington, D.C. 30 Jul. 2003 http://www.sec.gov/news/speech/spch073003whd.htm

برگرفته از «https://fa.wikipedia.org/w/index.php?title=قانون_ساکس&oldid=29219870»