为了成功运行业务,软件许可和合规是​​一个重要的考虑因素。未能在这些领域进行尽职调查,可能导致大量和不必要的费用甚至罚款。

什么是sox?

超过18年前,美国政府制作了 萨班斯 - 奥克斯利(SOX)法案。立法的目的是为上市公司创造更有效的控制,并提高投资者对金融业务的可见性。

SOX,因为它通常是已知的,规范了公共公司及其许可的供应链合作伙伴的内部流程和财务报告。

许可遵从性在当今的经济气氛中至关重要。在过去几年中,业务丑闻增加了压力,需要严格的遵守。

为尽量减少不合规的风险,组织领导人必须合作以确保所有部门了解合规要求,并准备审计。内部采购人员和外部软件履行代理商都应记录购买许可证所有权证明的购买数据。

实现这种类型协作的软件旨在促进和管理组织所有部门的合规性。

幸运的是,软件资产管理(SAM)可以帮助减少合规风险。通过部署几个SAM最佳实践,您可以消除审计员寻找的一些红旗。

SAM如何降低SOX合规风险?

虽然您可能无法完全避免软件许可合规审核,但您可以积极地减轻对审计对组织的影响。

SAM是一项专注于有效采购,部署,管理,优化和退役软件资产和资源的倡议。 SAM对于在整个组织中使用的IT资源的有效管理,治理和和解至关重要。

SAM最佳实践包括:

  • 建立了组织如何使用,分发和管理软件的策略和流程。
  • 用于确定安装和/或在整个组织中使用的内容的发现方法和工具。
  • 存储软件许可证数据的存储库,例如合同和购买记录。
  • 集中采购流程,以减少软件和其他IT资产的可能性超过或未被购买。
  • 定期预定的自我审计过程。该过程应基于审计师使用的方法,以确定组织在许可的任何领域。在这里,增加的好处是降低许可成本。

规定

在审计期间,公司必须证明这些合规措施已经到位至少90天。公司还必须披露与安全违约的任何事件,由此产生的损害和解决事件所采取的步骤。

公司正在发现软件有助于跟踪安全事件和解决方案详细信息。

在合规报告方面,主动是至关重要的。了解何时期待和调整管理和文档程序的内容将导致时间更容易的遵守审计。

挖得更深

SOX合规可以感到压倒性,但事实上许多人认为在考虑信息安全管理的许多供应商风险时,立法会将杆设置得太低。

对保护其资源和数据的严重感兴趣的组织应该更深入地挖掘。

文化转变。 SOX合规应该被视为起点而不是终点。应密切审查和加强信息安全流程和程序,以确保您的组织正在使用最佳实践。

更高的标准。 随着组织努力平衡与业务需求的不断发展的网络威胁景观,许多人正在超越SOX合规性。考虑通过实施自愿进一步降低网络安全风险 NIST Cyber​​security Framework. 达到级别的威胁保护。

内部审计。 希望将供应商安全管理到下一个级别的公司应进行内部审计和设计安全标准,该标准解决了工作流,认证,变更管理,报告和风险评估等领域。随着技术迅速发展,这些审计程序应经常审查和更新。

重新考虑安全安置。 According to 福尔斯特,“护城河和城堡战略忽视了城堡内部的威胁和妥协资产。考虑网络威胁的方法是假设您已经受到损害;你根本不知道它。这是今天敌对环境中必要的心态。“

周边安全性是不够的。必须在您的组织和供应商中进行动态监控数据。

最后的想法

IT资产管理人员每天都被指控挑战挑战。当他们努力维护合规性时,SAM工具可以帮助减轻负荷。

Source: //www.device42.com/blog/2020/09/how-software-asset-management-can-reduce-sox-compliance-risk/