Microsoft 建立系統化法規遵循的方式

最終更新日: 10月 25, 2005

技術白皮書

提要

政府在最近幾年已經加強了監管,新的條文與需求制定出來之後,受到波及的行業層面相當廣泛。公司受到來自不同單位的管轄,其中包括當地政府與中央機關。行業專屬監管團體經常會提供從業人員強制性的輔導。這種錯綜複雜的控制領域一般統稱為「法規遵循」。對於在多個司法管轄地經營業務的跨國公司而言,他們的法規遵循義務很快就變得十分複雜,原因在於他們的企業必須配合當地國家/地區的法律。為了每一項法案而單獨推出法規遵循倡議,可能會增加企業及其 IT 部門的負擔。

為了降低日後遵循法規持續改善的經常性支出,Microsoft 正在著手籌備一套完整的法規遵循方法。這種方法採用一種框架,其組成部分包括通用安全性控制、監督專用的工具,以及用來追蹤與報告法規遵循的 IT 工具。

本白皮書的目的是將 Microsoft 資訊技術 (Microsoft IT) 小組設立 Microsoft 法規遵循系統化方法時,所採用的部分流程與工具,與大家一起分享。本白皮書假設讀者為熟悉 IT 組織流程、作業以及控制的企業與技術決策者。本白書是根據 Microsoft IT 的經驗和建議所改編,不是用來當成操作指南。每一個企業所處的環境彼此都不相同的;因此,每一個組織可以視實際需要,調整本白皮書描述的計劃和獲取的教訓。

附註:基於安全理由,本白皮書中引用的組織以及其他內部資訊的範例名稱,不代表 Microsoft 內部的真實資源名稱,純為舉例而已。

簡介

所有公司正面臨資訊安全、隱私、可靠性以及商業信譽等,這些領域的法律與法規重大挑戰。這些挑戰會引發公司之間系統與流程的重大變動。涉及公司聲譽與控制的結構與法規日趨繁鎖,因此為了要達到諸多的法律與道德目標,公司必須要有因應之道和規劃。

做為一家公開上市的公司,Microsoft 瞭解我們並不純然長期被監督而已,實際上,在不斷改善的法律環境中,為了達到法規遵循標準而盡一切努力的公司,也在尋求我們的輔導。商業與 IT 流程一直不斷的開發以及改進,Microsoft 必須主動配合法規遵循並以身作則。

法規遵循意謂公司在營運和生意往來時,一定會面對一切法律與商業規定,但是應當要有具體的作法。法規遵循也表示瞭解司法與公司規定是在什麼樣的框架下運作。法規遵循涉及每一個企業部門和每一位員工。只實施一種解決方案或流程,並無法達到法規遵循目標;法規遵循必須根植於組織的每一個業務環結。

Microsoft 與其他任何公司一樣面臨相同的挑戰,那就是在為了法規遵循而付出努力的同時,企業作法也要有配套的調整。這些挑戰包括下列各項:

  • 管理環境正日趨複雜,法規遵循往往不純粹是簡單的流程,而且各法規的需求也不盡相同。因此,組織必須全面評估風險與影響。

  • 組織與行政主管在管理法規需求以及提供確切的法規遵循證明方面,所背負的責任越來越重。

  • 要達到法規遵循標準以及維持法規遵循標準必須付出相當多的成本以及時間,然而不法規遵循的代價一定更大。

Microsoft 在研究一種能夠解決法規遵循需求的策略時,已經檢查過很多現有的業務以及 IT 流程,目的是找出風險與解決之道。我們的目標是建立一套長期、全面的法規遵循策略,它可以深植於業務流程中,而不只是建立流程和工具來解決特定的法規遵循而已。

本白皮書的內容會描述 Microsoft IT 在致力於設立和加速法規遵循標準時,部分採用的流程與技術。本白皮書提供 Microsoft 和其他很多組織在嘗試配合法律與法規時,遇到的部分挑戰與問題。

本白皮書不是法規遵循的藍圖,也不是當作法律諮詢的用途。讀者在採取任何法規遵循方案或流程之前,應先諮詢自己的顧問與律師。

Microsoft 的法規展望

Microsoft 做為一家公開上市的公司,而且業務涵蓋全球,我們需要取得諸多法律與行業相關的授權。在配合法規遵循時,Microsoft 必須考慮到在從事貿易的國家/地區中,我們應當取得一切的授權。

為了簡化流程,Microsoft 經常會決定將單一國家/地區較嚴格的法律納入整個公司。這樣的動作可以主動配合其他國家/地區的立法,而且對於增加到企業的負擔,會比為了逐條配合不同規定時所帶來的負擔要少。例如,義大利密碼隱私立法通過將密碼最小長度從 7 位變更為 8 位,Microsoft 在此之後便配合做了這樣的調整。儘管義大利是唯一做出這種法律規定的國家/地區,不過在整個公司採用更長的密碼規定是較佳的商業策略,這比每個國家/地區自行採用不同密碼長度規定的作法更好。

授權與商業決策

如果某個國家/地區的商務需求有待仲裁,而 Microsoft 在這個國家/地區執行業務,那麼勢必得配合當地政府的規定。授權也可能來自產業特定的組織,若想要保有該組織的成員資格或與組織做生意,法規遵循就是條件之一。至於後者提到的授權,Microsoft 對於是否採納做為最佳做法,會做出商業決策,即使對方並未立法規定。

法規影響範圍

本小節說明部分相關的立法與產業授權,它們有可能會對 Microsoft 或其他公司營業方式造成直接或間接影響。

沙氏法案 (Sarbanes-Oxley Act)

沙氏法案規定並設想以下幾點:

  • 公司高階主管應當評估以及報告公司內部的財務報表控管。

  • 公司的獨立外部稽核員應該對管理評估提出證明。

  • 公開上市的公司,其高階主管應當保證公司財務報表的確有效。

  • 獨立的稽核員應該記載以及核實財務控管與平抑風險的流程。

  • 公司應當落實原則、程序以及工具,防止欺詐行為。

Securities Exchange Commission Rule 17A-4

Securities Exchange Commission (SEC) Rule 17A-4 要求下列各項:

  • 某些通信的原始正本應予以保留一段時間,時間不得少於 3 年,而且前 2 年應放在便於取得的地方。

  • 記錄應予以保管、保存而且可以透過微縮媒體 (例如微膠片或微縮圖) 或電子儲存媒體 (任何數位儲存媒體或系統) 來產生或重製。

美國金融服務法案 (Gramm-Leach-Bliley Act)

2003 年增訂的美國金融服務法案 (Financial Institution Privacy Protection Act of 2001) 強化對於非公眾人物資訊的保護,在所有規定中有此一項:財務記錄應予以妥善保管、保護,而且在最終處置時應採取可以徹底銷毀,再也無從查起的方法。

1996 年的健康保險可攜性與責任性法案 (Healthcare Insurance Portability and Accountability Act, HIPAA)

1996 年的健康保險可攜性與責任性法案要求以下各項:

  • 採用的安全標準應該可以控制健保資料的取得對象,並在電腦記錄系統提供稽核記錄,以及合乎小型與農村醫療單位的需求與能力。

  • 健保資料應予以隔離,只有授權人員才可以存取。

  • 健保資訊的傳輸應當具備物理、電子以及行政方面的保護,確保資料的機密性。

美國愛國法 (USA PATRIOT Act)

美國愛國法 (正式名稱為 Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001) 在所有規定中,制定了金融機構應當實施合理的程序,將查驗開戶人身分時所使用的資訊記錄予以妥善的保管。

歐盟個人資料保護法 (European Union Data Protection Directive)

歐盟個人資料保護法 (EUDPD) 為所有成員國下達最低標準的規定,也就是各成員國應當實施立法來制定歐盟 (EU) 公民資料隱私保護標準。因為傳送個人資訊到歐盟 (EU) 境外的行為已經受到限制,所以 EUDPD 對於他國的隱私保護影響甚巨。按照慣例,EUDPD 規定對於各個項目 (包括資料安全在內) 的傳送行為,只能傳送到已有適當標準的地區。Microsoft 需要配合此國際法,也就是在每一個 EU 國家/地區實施 EUDPD。很多國家/地區已經發現 EUDPD 是這類法律中的最佳詮釋。

日本個人資訊保護法案 (Japan's Personal Information Protection Act (2003))

2003 年 5 月 23 日,日本國會通過了日本個人資訊保護法案 (2003)。執政黨也同意成立特定法律與法規,對於醫療單位、金融信用公司以及通訊業者在掌握個人資訊時,設定更高的保護標準。對於收集、掌握或使用個人資訊時,如果涉及的個人超過 5,000 人或更多人,政府或民間單位便適用「個人資訊保護法案」。

Breach Notification Legislation

加州的 Senate Bill 1386 (SB1386) 規定,只要有理由相信不法人士已經取得儲存在系統中未加密的個人資訊時,便應當通知加州居民電腦系統的安全出現漏洞。美國其他很多州已經提案並通過類似的立法。

支付卡產業資料安全標準 (Payment Card Industry Data Security Standard)

2005 年 6 月 30 日,美國 4 大信用卡協會 (Visa、MasterCard、American Express 以及 Discover Network) 採用號稱為「支付卡產業資料安全標準」(PCIDSS) 的制式資料防護標準。按照 PCIDSS,在所有規定中有一個呼籲,那就是接受信用卡的所有公司必須遵守 12 項與安全有關的規定:

  • 傳輸持卡人資料時應予以加密。

  • 定期掃描網路。

  • 邏輯與實體存取控制。

  • 交易行為監視與記錄。

  • 程序性授權,例如實施正式的安全防備原則和漏洞管理方案。

大型交易必須通過年度稽核,確認符合規範。發卡協會應當已經開始主動監視大型交易是否符合規範。

控制目標定義

因為立法與規定不斷增多,因此 Microsoft IT 必須開發一些更有效的流程,而不是分散力量去逐一制定各項法規與規定。Microsoft 藉由開發控制架構,來面對管理多種法規與企業規定的挑戰。

控制目標會建立必須達成的主要控制目標。控制目標必須與組織的結構與業務需求相吻合。定義控制目標時有一項業務規定,那就是組織必須配合法規遵循,但是不可建立太多控制名目,以免發生冗餘的工作。

圖 1 展示問題與類別範例,幫助確認控制目標。

Bb735233.regcompliance01(zh-tw,TechNet.10).gif
如果瀏覽器不支援內嵌圖文框,請按一下此處,在個別的網頁檢視。

圖 1:確認控制目標的控制類別範例

Microsoft 在著手設定控制目標時,所使用的控制目標分類包括如下:

  • 應用程式控制目標,定義特定應用程式的所有控制都必須符合的目標。

  • 資料中心控制目標,可以解決伺服器的備份與管理問題。

  • 基礎架構控制目標,可以解決網路安全問題,包括網路周邊、電話系統以及實體的防備。

  • 事業單位 IT (BUIT) 控制目標,大部分集中在應用程式維護或軟體開發週期。

風險評估

周詳的法規遵循策略有幾個有待評估的風險區域:

  • 與核心商務執行有關的作業風險

  • 與組織募集資金並負責資金能力有關的財務風險。

  • 與人力資源有關的人力成本風險

  • 影響成長的策略風險

  • 與遵循或不遵循法規相關的法律與法規風險

  • 與採用新技術有關的風險

根據經過風險評估後所確認的風險,Microsoft 會設立一些原則,幫助減少這些風險。負責特殊系統或程序的組織,應當與執行風險評估的小組密切合作,判斷出妥當的原則,然後落實於整個公司。應該透過公司內部網路的原則網站上,提供原則資訊給員工。

Microsoft 已經採取初步的步驟來建立以及採用企業風險管理 (ERM) 架構,這有助於企業整理、評估以及回應各種風險。這種架構是根據 Committee of Sponsoring Organizations (COSO) ERM 所發展出來。CFO 與公司主管正在為此努力中。

將各種法規與章程對應至一般的控制

每一條法規通常會針對特定 IT 控制來設下規定。為了讓付出的法規遵循努力得以順利推展,Microsoft IT 已經確定一系列的控制,用來制定一些管理規定,同時那些對於法規遵循成效有著的重大影響力的專案,會因此得到重視。

Microsoft IT 在準備控制架構時,會探討數個被廣為接受的國際標準以及經驗作法,藉以決定一系列通用控制最可行的標準與作法,為 Microsoft 必須遵守的法規,提供 IT 方面的技術應用。在檢討現有的標準時,應專注於以下各個領域:

  • 公司環境的共通性

  • 稽核能力

  • 法規遵循適用的背景環境

  • 納入隱私元件

  • 外部股東的適用性

  • 超越安全與詳細標準層面,更廣泛的考量

很多控制相互重疊或與其他法規雷同。因此,Microsoft IT 建立的控制架構,藉由將各種法規對應至通用的控制,就可以單一控制處理多項法規,這樣可提升效率。

維持控制

控制目標與活動的文字記錄是放在 SOX Compliance 應用程式中保管,它會追蹤沙氏法案遵循專案與問題。將資訊儲存至資料庫後,只有控制環境發生變更時,才可以進行修改。這種應用程式可以讓使用者連結至組織的各個目標和活動,避免控制文字記錄與測試控制發生重複現象。此外,使用者可以執行報表,以識別一段時間過後,控制環境所發生的變動,或者摘述重大控制活動的測試進度。

Microsoft IT 環境

Microsoft IT 管理和運作大型、動態的 IT 環境,對於 Microsoft 的成功極為重要。IT 基礎架構提供服務的對象包括全球超過 90,000 位員工、廠商、合作夥伴以及橫跨 400 個網站,超過 340,000 部用戶端與伺服器裝置。

Microsoft 企業網路是所有公司商業需求的平台,其中包括軟體產品開發、測試以及支援。Microsoft IT 的主要職責是先行採用新技術,並維持 Microsoft 全球網路環境的速度、靈活、完整性以及安全防備。

大體上,Microsoft 法規遵循倡議包含以下重要領域:

  • 安全性

  • 隱私

  • 資料保護

  • 責任

  • 備份與記錄保存

安全性

資訊的安全性是法規遵循非常重要的環結。除了保護公司、員工以及客戶機密資訊之後,涉及到人力資源系統與財務報表應用程式的控制,Microsoft 環境必須保護它的完整性。

Microsoft IT 的安全性基礎架構支援以下各項:

  • 保護企業連線。

  • 所有伺服器與用戶端電腦擁有強式密碼、主機式的安全性。

  • 特定存取方式的角色確認與驗證。

  • 有效的強制遵循機制。

Microsoft IT 安全性策略就是從風險控制為重點的架構所衍生,它可以透過綿密的防備方案去平抑數位資產的風險。方式包括以下各項:

  • 身分與存取管理:使用者帳戶的自動化週期管理流程,從提供、檢閱到廢除。

  • 智慧卡與憑證:透過一張卡片便能管理各種層級的應用技術;也支援嚴格的身分鑑定以及內部公開金鑰基礎架構。

  • 評估與法規遵循:為了衡量 IT 環境的安全性標準而執行的追蹤。會使用自動化與手動評估工具,評估網路與應用程式環境的安全控制狀態。會執行風險評估,確保高風險的地方已經採取適當的控制。

  • 監視與回應:「資訊與安全性」團隊付出的事件與回應努力,這個團隊會監視網路的有效威脅並做出回應。

  • 教育與警覺性:可以告知網路用戶關於安全威脅、風險、原則以及經驗原則的方式。

隱私

隱私定義為個人或組織在收集、使用、保留以及披露個人資料時,應有的權力與責任。在生意往來中,Microsoft 收集到可以查明個人身分相關的資訊,都會視為個人資訊。有時候,Microsoft 也會收集相當私密或者敏感個人資訊,這些都需要額外的保護。某些法律與法規會將敏感性個人資訊定義為健保、醫療或金融資訊。

「企對隱私團體」(Corporate Privacy Group) 會擬定原則,定義如何掌握以及保護個人資料。例如,Microsoft 隱私權原則是 Microsoft 全球性隱私權原則聲明。Microsoft 針對隱私與資料保護而擬定的原則,在成立時有一個核心基礎,那就是涉及到個人資訊的收集、使用以及散發,都必須進行控制。

隱私權標準套用至特定企業活動時,「Microsoft 隱私權原則」就是最好的詮釋。每一個企業團體會利用組織授權的一套流程和手續來落實隱私權標準,以便配合 Microsoft 的隱私權原則。

Microsoft IT 隱私權小組

Microsoft IT 隱私權小組會制定流程來保護個人識別 (私人) 資料,其中包括商業流程以及網路、主機和應用程式等等,這三個層面的適當技術控制。Microsoft IT 隱私權小組在處理策略性法規遵循管理時,會同時扮演支持角色以及指導角色。小組的主要職能是促進 Microsoft IT 管理的網路與主機,都能遵循法規。

Microsoft IT 隱私權小組的功能如下:

  • 公司安全性支援。

  • 調查與事件回應。

  • 提報與例外管理。

Microsoft IT 隱私權小組的部分倡議已經著手進行中,目的是推動法規遵循以及公司隱私權原則,包括以下各項:

  • 廠商隱私權保證(Vendor Privacy Assurance):成立「廠商隱私權保證」(VPA) 方案的小組,可以用來解決外部廠商的個人可識別資訊 (PII) 隱私權。VPA 的用途是建立綱領和流程,以協助確認外部自然人在進行收集、使用、儲存或傳送重要資料時,是否遵守了 Microsoft 安全與隱私權原則。

  • Microsoft IT 隱私權風險評估:Microsoft IT 隱私權小組會執行隱私權風險評估,藉以保證完全符合公司隱私權原則以及 Microsoft IT 原則。隱私權風險評估對於擬定資料保護流程,提供重要的資料。

  • 安全性設計檢閱中的隱私權:安全性設計檢閱,是 Microsoft IT 安全性小組提供給 Microsoft IT 以及其他 Microsoft 小組的服務。這些都是在對於現有的設計或新的設計做出技術檢閱,目的是找出安全或隱私權風險。這些檢閱所要達到目標就是要確保能夠在開發流程時,及早納入充分所有隱私權規定和安全性綱領。

  • 隱私權教育與正確認識:為了保證員工與臨時工明白自己在整個公司聲譽的所扮演的角色與責任輕重,Microsoft IT 隱私權小組已經在大型安全教育與警覺性方案中,加入隱私權教育和警覺性的訓練和教育方案。

資料保護

資料保護原則適用於存取 Microsoft 資訊的每個人,與其位置、採取的方式、用於掌握資訊的技術或用途無關。

Microsoft 投入資料保護的努力是從識別和分類哪些是重要的資料、哪些是極為重要的資料開始著手。資料或資訊資產是定義為任何與 Microsoft 商業目標有關聯,或者遺失、洩露或被非法人士公開後,對於 Microsoft 或第三方都有嚴重影響的資訊。

個人資訊的掌握與保護,就是根據它的分類所進行。分類是以價值、敏感度以及潛在披露影響為根據,在資訊上貼上標籤的方法。價值越高或者潛在影響越大,則對於資訊所採取的安全控制就越嚴密。

責任

光憑法規遵循不足以認為完全履行公司的管理職責。公司也應該擷取、儲存以及管理正確的記錄,以說明法規遵循的義務。

備份與記錄保存

Microsoft 在商業 (LOB) 應用程式有一套的備份流程。Microsoft 也有一套記錄保存方案,可以應用於企業記錄的整理和管理。這個方案會保存資訊,而且在一定期限內都可以取得。

法規遵循系統與技術概觀

Microsoft IT 使用 Microsoft 產品與技術來開發多種工具與系統,讓遵守法規的努力得以順利進行並獲得支援。有時候,利用?有的解決方案會比設計新的解決方案更妥當,此時 Microsoft IT 會將第三方應用程式與 Microsoft 產品一起搭配使用。

為了協助組織達到控制目標以及支援商業流程和法規遵循倡議,Microsoft IT 投入服務、系統以及工具的努力如下:

  • 網路與系統監視

  • 身分識別管理

  • 角色分析與驗證

  • 應用程式保證

  • 工作流程與專案管理

  • 財務結算與稽核

網路與系統監視

Microsoft IT 資訊與安全性團隊會監視網路及其裝置,一旦發現作用中的威脅便立即回應。該團隊採取各種運用商業邏輯的自動化工具和系統,同時這些商業邏輯的設計目標,就是去偵查惡意探索安全控制的企圖。該團隊也採用公司標準事件報告流程來管理安全事件。

為了監視網路裝置與事件,資訊與維安團隊採用「系統管理藝術」(System Management Arts,SMARTS)。SMARTS 會執行主動的輪詢、處理系統記錄,並設下簡易網路管理通訊協定 (SNMP) 誘捕圈套。

監督網路上的裝置之前,必須透過「強化的裝置管理性測試」(Enhanced Device Manageability Test,EDMT) 工具,將裝置納入管理。此工具也會執行每日管理稽核,然後編撰成名稱為「裝置管理性索引」(Device Manageability Index,DMI) 的報表。如果裝置未納入管理,就會記載至 Unknowns (未知裝置) 報表。支援團隊會檢閱報表與佇列問題,以便進行修復。

「資訊與安全性」團隊會使用 Microsoft Operations Manager (MOM) 來管理企業事件。此應用程式會釐清網路事件的前因後果,並顯示潛在的風險。

監視安全性原則法規遵循

「資訊與安全性」團隊會設計「安全環境補救」(Secure Environment Remediation,SER) 工具,用於監視網路上的電腦是否遵守安全性原則。SER 會從 Active Directory® 目錄服務、網際網路通訊協定 (IP) 位址或主機清單,取得目標名稱。然後,工具會連線至所有以 Microsoft® Windows® 為平台的主機,保證它們的設定正確無誤。SER 也會持續監視網路上的原則,以及向「資訊安全性」支援團隊報告功能與各項數據。

SER 評估的部分設定如下:

  • 作業系統的修復需求

  • 應用程式的修復需求

  • 非標準作業系統的存在

  • 非標準軟體應用程式的存在

  • 系統軟體設定 (例如,Internet Information Services [IIS] 或 Microsoft SQL Server? 設定)

  • 應用程式軟體設定 (例如,防毒軟體被設定成同時檢查傳入和傳出的檔案) 病毒偵測

  • 點對點軟體的使用

SER 在發現危險的第一時間,會通知使用者採取回應,或者自動安裝必要的防備更新程式或軟體更新程式,試圖解決問題。它也可以從網路移除電腦,直到使用者完成必要的措施為止。

身分識別管理

Microsoft IT 的身分識別管理 (IdM) 團隊主要負責提供和撤除使用者帳戶。 建立帳戶之後,它必須驗證,才能繼續用於即定的排程。從開立帳戶的一開始,便配合安全性原則與法規去做,這種管理方式稱之為「身分識別週期管理」。Active Directory 的週期管理可以有效降低營運成本,又可以防止閒置不用的帳戶成為安全性上的漏洞。

IdM 團隊利用 Microsoft Identity Integration Server (MIIS) 2003,讓多個 Active Directory 樹系、網域以及其他選取的身分資料庫,例如與人力資源有關的資料庫,彼此之間的身分資訊完全一致。IdM 團隊也採用 MIIS 來指派資料或設定值給使用者帳戶,讓應用程式可以在多重樹系環境中發揮功能。利用 MIIS,IdM 團隊在 Microsoft 提供身分資訊的多重樹系管理。

帳戶與群組

使用者帳戶提供公司資源的存取和安全保護。一般情況下,使用者帳戶會被授權使用網路、內部網路、網際網路以及列印伺服器。其他領域會劃分為需要額外保護,而且資源擁有者需要專門授權給使用者,才能進入這些領域。

系統帳戶是用來執行服務的帳戶,服務包括 SQL Server、Microsoft Exchange、備份或排程的指令碼。它們與使用者帳戶類似,不過應用對象不同。

群組可用來傳送郵件或授與資源使用權限。群組有下列幾種:

  • 通訊群組可以讓一組帳戶接收到寄給單一別名的郵件。

  • 安全性群組可以讓一組帳戶使用特殊的網路資源。

AutoConsistency Manager

AutoConsistency Manager 是由 XIT 所開發,它可以根據商業邏輯以及安全性原則的規定來執行智慧型自動更正,讓 Active Directory 中未達規定的帳戶不會引發安全問題。

AutoConsistency Manager 對於公司環境提供更深入的監督,方法如下:

  • 保證帳戶權限符合安全性原則。

  • 持續監視異常與違規並予以糾正。

  • 使用安全性原則例外工具,讓企業具有靈活性。

此應用程式可以讓 IdM 團隊提供所有身分識別的一致性、完整性以及真實性,又有助於保證的確遵守法規與安全性。

Autosecure 專案

IdM 團隊與 XIT 一起合作成立 Autosecure 專案以及相關的 Active Directory 安全性群組。Autosecure 專案會對程式碼使用者、前後使用時間以及權限大小進行控制,藉以保護智慧財產。Autosecure 專案的企業負責人可以成立規則,明令專案的使用管理應以使用者身分資訊為依據。使用者的專案存取權會自動更新,以便合乎其功能角色或組織成員身分,而且每天晚上和公司的身分識別儲存庫同步處理。

Microsoft 的任何人只要取得專案層級的原始程式碼保護,就可以使用 Autosecure 專案。

角色分析與驗證

與身分識別管理密不可分的就是分析與驗證。這些活動會從相反的觀點來看待角色,它不會去判斷需要什麼特殊角色才能使用系統,而是去分析組織與應用的界限是什麼,藉以判斷任何特定人物的權限行使是否嚴重超出規定。

分層負責分析 (Segregation of Duties Analysis) 工具

內部與外部稽核已經指示現在需要更嚴緊的原則、流程以及工具,讓分層負責成為一種控制。分層負責分析 (Segregation of Duties Analysis,SODA) 工具有助於將各種的控制劃分成不同類別並得到品質保證,這表示對於某些特定的應用程式,我們可以根據它們的角色來鑑定出行為之間的分層負責衝突。

SODA 工具是一種分析工具,它可以分析組織與應用的界限,讓人們知道在什麼地方可以擁有更多權限來使用財務系統或其他重要的系統。這種工具有助於檢閱使用者是否可以使用重要的財務系統,其中包括系統的責任劃分,減少財務報表錯誤或缺失。

應用程式保證

Microsoft 成立了「應用程式軟體保證方案」(Application Software Assurance Program,ASAP),可以用來清點、評估,以及在需要時,解決 LOB 中發現的潛在性安全與隱私權漏洞。ASAP 是一套標準,也是一種流程。ASAP 可以降低安全漏洞拖累整個應用程式與資料庫資料的外洩,造成資料失去機密性、資料完整性被破壞、非法入侵服務或者資料全部遺失。

隨著新的安全威脅出現,ASAP 會進行調整,減低客戶資料、員工資料或者公司智慧財產被非法披露的風險。它也提供詳細的教育方案,指導開發小組如何遵守標準、強化安全性以及資料保護,當成是 IT 的核心價值。

附註:ASAP 會在〈Microsoft 應用程式維安經驗原則〉這個 IT Showcase 白皮書中討論,網址為http://www.microsoft.com/services/microsoftservices/app_arc.mspx#6

Microsoft 應用程式資料庫

Microsoft IT 會在資料庫中追蹤所有 LOB 應用程式,您可以從自訂的網頁應用程式使用它。這個應用程式提供一個集中場所,讓使用者尋找和追蹤企業中使用的應用程式。為了支援遵法規遵循規的努力,Microsoft IT 已經擴大 LOB 應用程式的資料庫,現在有一個地方提供特定財務報表項目相關資訊,以及每一個應用程式支援的其他法規。

這個資料庫收藏了所有 LOB 應用程式的用途、變更狀態、生產環境中的版本以及其他重要的支援資訊。

工作流程與專案管理

Microsoft 使用的集中管理工具,可以讓員工追蹤他們的法規遵循問題解決進度,還可以在參與的各方之間,提供溝通管道。

SOX 法規遵循

因為「沙氏法案」法規遵循努力有著難以達到的規定,所以擬定了「SOX 法規遵循」來追蹤「沙氏法案」法規遵循專案與問題。「SOX 法規遵循」是一種自訂的網頁應用程式,它為涉及的所有員工與團隊,提供工作流程管理以及集中呈現所做的努力。圖 2 顯示應用程式的使用者介面。

Bb735233.regcompliance02(zh-tw,TechNet.10).gif
如果瀏覽器不支援內嵌圖文框,請按一下此處,在個別的網頁檢視。

圖 2:「SOX 法規遵循」應用程式的圖解

「SOX 法規遵循」是利用 Microsoft ASP.NET 網頁組件、Microsoft SQL Server 2005 以及 SQL Server Reporting Services 建立而成,它為所有文件提供中央儲存庫。它提供使用者擁有權、工作流程指派以及修復狀態的可視性。此外,它也會追蹤檢閱、簽結文件以及測試結果。

「SOX 法規遵循」也有一個稱為「SOX 數位儀表板」(SOX Dashboard) 的增強式報表模組。「SOX 數位儀表板」可彙整上千份文件、測試結果以及所做的調整,用來進行控制結構的整體信心評估。

Issue Manager

Microsoft 使用 Issue Manager,這是一種自訂開發的問題追蹤系統,可以追蹤與 Microsoft 帳戶原則內部控制與法規遵循有關的稽核問題以及責任推動。和「SOX 法規遵循」相比,Issue Manger 是一種更全面性的法規遵循專案管理工具,不過這兩個工具已經整合成一體。

Issue Manager 是使用 ASP.NET 以及 Microsoft Visual Studio® .NET 所建立,而且它使用 SQL Server 2005。Microsoft 內部與外部稽核人員,可以在工具中填寫執行稽核程序時所遇到的問題與建議。每一個問題會指派給一位負責計劃問題解決方法的企業負責人、主管以及資深主管。

稽核委員會的董事會可以直接使用 Issue Manager,利用進度報告功能來監督所有問題的細節。在解決每一個問題之後,就可將它標示成已結案,不過仍可供查閱。此外,不屬於法規遵循團隊的 Microsoft 員工可以使用 Issue Manager,瞭解他們急需解決的問題,以便讓企業達到法規遵循標準。

圖 3 顯示使用者可以在 Issue Manager 中搜尋資訊的表單。

Bb735233.regcompliance03(zh-tw,TechNet.10).gif
如果瀏覽器不支援內嵌圖文框,請按一下此處,在個別的網頁檢視。

圖 3:Issue Manager 搜尋表單

財務結算與稽核

為法規遵循付出努力的成果之一就是,很多核心 LOB 應用程式已被強化了,這有助於擷取資訊以便在流程中及早報告,其中包括 SAP 的很多結算與稽核功能。

特別是在金融機構中,致力於法規遵循的時候,發現到傳票和對帳這二者需要更好的文件記載與支援。現在已經使用 Visual Studio .NET 以及 ASP.NET 來開發一系列的網頁應用程式,它們利用 Microsoft Office 網頁元件、SmartDocs (一些文件,設計成當有人使用它們時,便可以提供說明或者連結至內容來源) 以及中央文件儲存等等的功能,直接整合至 SAP。這些網頁應用程式包括:

  • 傳票 (Journal Entry) 工具,它提供一種類似 Microsoft Excel® 的簡易介面,用來建立 SAP 傳票。它也會為傳票進行複雜的資料與商業查證。

  • 傳票封存 (Journal Entry Archive) 工具可以將補充文件附加至傳票,並保證一定可以取得全球分錄的憑證。

  • Reconciliation Manager 可以當做是儲存庫,保管資產負債表對帳以及支援排程。它需要主管的簽結,讓內部控制團隊可以方便地取得每季的稽核,也可以保證已經進行詳細的審批與對帳。

結論

Microsoft 正在制定軟體開發週期流程標準、建立通用的安全控制,以及調整現有的應用程式,及早在商業流程中擷取適當的資訊,利用這些種種的手段來開發一種全面性的法規遵循方法。

Microsoft 歷經多次寶貴的經驗教訓,有助於繼續開發自己的法規遵循架構:

  • 與外部與內部稽核人員密切合作,開發企業與企業環境最適宜的計劃。

  • 開發長期、全面的法規遵循策略。單方控制可以應用至多個法規遵循倡議。

  • 使用週詳的商業流程以及詳細的文件記載,促進稽核更有效率。

  • 利用在法規遵循方面所做的投入來改善一般的商業流程,同時讓組織更有效率。

  • 仔細評估重要的控制,瞭解是否重複投入,要達到控制目標的最大覆蓋範圍,而且不需要付出額外的努力。如果有一項控制已經達到控制目標,則建立其他控制是多餘的而且不必要

  • 使用現有開發的技術與系統,充分利用現有的投資。

  • 可以的時候,記載以及重複使用資料,而不必重新收集。

  • 設計和實施具有彈性的系統。假設未來一定會變動。

Microsoft IT 調整了法規遵循的策略方法,發現不僅提升了稽核與正確報告的效率,還可以制定流程標準,讓事業單位的運作更有效率。

詳細資訊

如需關於 Microsoft 產品或服務的詳細資訊,請洽 Microsoft Sales Information Center,電話為 (800) 426-9400。若位於加拿大,請洽 Microsoft Canada information Centre,電話為 (800) 563-9048。美國和加拿大以外的地區,請連絡當地的 Microsoft 子公司。若要透過全球資訊網取得資訊,請前往:

ダウンロード

技術白皮書 (英文)
492 KB
Microsoft Word file

顯示: