刚刚看到的，中国将对部署信息安全产品实施强制性认证：

根据中国有关法律法规，中国国家质检总局、国家认监委联合下发公告，将对边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全、评估审计与监控、应用安全等八类包括防火墙、安全路由器、反垃圾邮件产品在内的十三种信息安全产品实施强制性认证；

自二00九年五月一日起，凡列入本强制性认证目录内的信息安全产品，未获得强制性产品认证证书和未加施中国强制性认证标志的，不得出厂、销售、进口或在其他经营活动中使用。

除“宫爆鸡丁”又多了一个！企业越来越穷了...

- EOF -

      “企业内部控制标准委员会”的成立，预示着我国企业在内部控制方面将迎来一部类似美国《萨班斯法案》的标准体系。下面是来自IT168的一篇文章，供参考：

      今明两年，对于在美上市中国企业而言是一个巨大的挑战。被专家们认为是美国自20世纪30年代颁布财务规则以来，最为严厉的财务法则《萨班斯—奥克斯利法案》从今年7月15日开始执行，旨在加强上市公司监管的萨班斯法案404条款就要对在美国上市的外国公司生效，这当然包括了在美国上市的70多家中国公司。根据美国证交会规定，外国公司必须符合萨班斯法案的最后期限是2006年7月15日，因此，对于在美上市中国企业而言，须在06财年前通过萨班斯法案认证。

      随后，虽然证交会进一步放宽对小型上市公司（例如公众持股量在7千5百万美元与7亿美元之间的小型公司）与许多国外私人发行商关于404条款的合规要求，提交内控报告的初始合规日期由2006年7月15日或以后结束的财政年度推迟至2007年12月15日或之后结束的财政年度，证交会延长期限的原因是新上市公司可能需要耗费很多时间和资源来编制首份年度报告，并且可能需要在首次公开招股或首次上市后随即开始编制工作，证交会希望首次公开招股公司的管理层好好利用这一年的延期来预备404条款的合规工作。因此，管理层不应视这期限的延长为“宽限期”。确切地说，这次延期是希望帮助公司筹备更符合成本效益的合规工作。

      SOX法案共11章，其中1-7章主要涉及对会计职业及公司行为的监管，8-11章主要涉及如何界定和追究公司白领犯罪的刑事责任。

      从IT的角度看SOX法案，主要有4款与IT部门有关，分别是302条款、404条款、409条款和1102条款，其中影响最大的是302条款和404条款。

• SOX 302：公司对财务报告的责任。
  • 要求企业的CEO/CFO必须就内部控制的缺陷和重大变动向审计委员会进行汇报，302条款已于2002年7月30日生效。
• SOX 404：管理层对内部控制的评估。
  • 会计机构在其编制和发布的公司财务报告中必须出具该公司管理层的关于内部控制效力的证明和汇报。针对不同的企业类型，404条款的生效时间不尽相同，针对$75M以上的美国企业是2005年12月15日生效，其它的原计划2006年7月15日生效，但最近又有变化，已经推迟。

      上周内部培训时，向产品支持部门的工程师介绍几重要信息安全标准，都是一些比较简洁的、总结性的语言,在每一标准之后，尽量用一句总结与BS7799的差异。主要内容如下：

• BS7799系列（ISO/IEC 27000系列）
• ISO/IEC TR 13335系列
• SSE-CMM
• ITIL和BS15000
• CC
• CoBIT
• NIST SP800系列

      在当前环境下，财务报告的产生很大程度上依赖于IT系统。财务数据的产生、记录、处理和报告等过程都与IT系统有着紧密的关系。因此，IT系统的控制与评估和财报的符合性审查一样，是SOX法案遵从性必不可少的内容。

      下图是SOX法案的控制目标与PCAOB和CoBIT的关系映射图：