Compliance Solutions

Sarbanes-Oxley

Vereinfachen Sie Dokumentationsmanagement und Reporting

Öffentliche Unternehmen, die dem Sarbanes-Oxley Act (SOX) unterliegen, müssen interne Kontrollen für die Finanzberichterstattung (Internal Controls on Financial Reporting, ICFRs) in Bezug auf wichtige Finanzberichterstattungssysteme dokumentieren. Zu diesen Kontrollen gehört das regelmäßige Backup von Daten in Schlüsselsystemen und die Validierung der Backup-Prozesse. Zwar legt jedes Unternehmen die genaue Struktur seiner eigenen ICFRs selbst fest. Bestimmte Erwartungen sind jedoch in allen Unternehmen üblich.

Rocket Servergraph für SOX-Compliance

Rocket® Servergraph verfügt über robuste Sicherheitskontrollen und Backup-Management-Funktionen, die es Unternehmen ermöglichen, die SOX-Anforderungen für seine wichtigsten Finanzberichtssysteme zu erfüllen.

Relevante Kriterien und Fähigkeiten

SOX-Kontrollbeispiele

Rocket Servergraph – Fähigkeiten

Der Zugang zu administrativen Systemen ist auf das zuständige Personal beschränkt.

Die Systemadministration erfolgt über den separaten Administrations-Client, wobei der Zugriff auf bestimmte administrative Benutzer beschränkt bleibt.

Servergraph arbeitet agentenlos und benötigt nur ein schreibgeschütztes Dienstkonto, um unbeabsichtigte oder nicht autorisierte Änderungen an Netzwerksystemen und Daten zu verhindern.

Benutzer, die auf das System zugreifen möchten, werden bei der Anmeldung authentifiziert.

Servergraph unterstützt eindeutige Benutzer-IDs für alle Personen, die auf das System zugreifen, und verwendet die LDAP-Integration mit Active Directory-Anmeldeinformationen. Passwörter sind erforderlich, damit Benutzer auf ein System zugreifen können. Lokale Anmeldeinformationen werden in verschlüsseltem Hash-Format gespeichert.

Für jeden Benutzer können detaillierte, anpassbare Berechtigungen konfiguriert werden, um das Least-Privilege-Prinzip (Zuteilung von geringstmöglichen Privilegien) und die klare Trennung von Aufgaben zu unterstützen.

Tägliche inkrementelle Backups und wöchentliche vollständige Backups aller Finanzberichtsanwendungen werden durchgeführt.

Servergraph sammelt Informationen aus Backup-Software, -Hardware und -Prozessen in Ihrer Umgebung, um zu dokumentieren, dass alle Datensicherungen gemäß Ihren Unternehmensrichtlinien ausgeführt werden.

Traps, Berichte und Warnungen können angepasst werden, um relevante Informationen für alle Anforderungen Ihrer Backup-Steuerung zu erfassen.

Backup-Sammlungsprotokolle und -Berichte werden in Servergraph für einen vollständig konfigurierbaren Zeitraum aufbewahrt, um historische Belege zu sichern.

Das Management bestätigt den erfolgreichen Abschluss von Sicherungsprozessen und untersucht etwaige Fehler. Berichte und Warnmeldungen können automatisch an Personen weitergeleitet werden, was für eine bessere Aufgabentrennung sorgt und die Durchführung von Überprüfungs- und Überwachungsprozessen erleichtert.
Backup-Systeme werden überwacht, um die Verfügbarkeit von Geschäftskontinuitäts-/Notfallwiederherstellungsfunktionen sicherzustellen. Die Server Monitor-Funktion zeigt Echtzeitstatistiken und Warnungen für Sicherungssysteme an, z. B. Speicherauslastung und Festplattenkapazität.
Rocket Aldon Lifecycle Manager für SOX-Compliance

Rocket® Aldon Lifecycle Manager (LM) verfügt über robuste Sicherheitskontrollen, die es einem Unternehmen ermöglichen, Steuerelemente zu entwerfen und zu implementieren, die den SOX-Anforderungen entsprechen.

Relevante Kriterien und Fähigkeiten

SOX-Kontrollbeispiele

Rocket Aldon Lifecycle Manager – Fähigkeiten

Zugriffserweiterungen und Änderungen am System werden von einer Person mit entsprechender Berechtigung genehmigt.

Das Rocket® Aldon Community Manager (CM)-Modul unterstützt automatisierte, systemgesteuerte Workflows, die auch Prozesse zur Zugriffsanforderung, -autorisierung und -genehmigung beinhalten können.

Workflows können Security Server-Administratoren für LM sowie Administratoren für jedes andere in einer Organisation verwendete System zugewiesen werden.

Der Zugriff für gekündigte Mitarbeiter wird zeitnah deaktiviert.

Das CM-Modul kann auch Arbeitsabläufe für Kündigungs- und Offboarding-Prozesse unterstützen, die das Entfernen von nicht mehr benötigtem Systemzugriff beinhalten.

Workflows können Security Server-Administratoren für ALM sowie Administratoren für jedes andere in einer Organisation verwendete System zugewiesen werden.

Der Zugang zu administrativen Systemen ist auf das zuständige Personal beschränkt.

Die Systemadministration erfolgt über das separate Security Server-Modul, wobei der Zugriff auf bestimmte administrative Benutzer beschränkt bleibt.

Es stehen Berichte zur Verfügung, die alle Benutzer mit den ihnen gewährten Zugriffsrechten anzeigen.

Benutzer, die auf das System zugreifen möchten, werden bei der Anmeldung authentifiziert.

LM und die zugehörigen Module (Lifecycle Manager IBM i Edition (LMi), Lifecycle Manager Enterprise Edition (LMe), CM und Security Server) unterstützen eindeutige Benutzer-IDs für alle Personen, die auf die Systeme zugreifen.

Passwörter sind erforderlich, damit Benutzer auf ein System zugreifen können. LMi unterstützt außerdem die Integration mit IBM i-Benutzeranmeldeinformationen, und CM unterstützt die LDAP-Integration mit Active-Directory-Anmeldeinformationen.

Benutzerkonten und die damit verbundenen Zugriffsrechte innerhalb des Systems werden regelmäßig von einem unabhängigen Prüfer überprüft. Es stehen Berichte zur Verfügung, die alle Benutzer mit den ihnen gewährten Zugriffsrechten anzeigen.
Änderungen an Benutzerkonten, Zugriffsrechten oder Systemparametern werden regelmäßig von einem unabhängigen Prüfer überprüft. Es stehen Berichte zur Verfügung, die alle administrativen Aktivitäten innerhalb des Systems anzeigen, einschließlich der Anpassung von Benutzerzugriff und Rollen.
Systemänderungen oder Entwicklungsaktivitäten müssen von einer Person mit entsprechender Berechtigung angefordert und genehmigt werden. CM unterstützt Workflows für Änderungs- und Entwicklungsaktivitäten wie Anfragen, Genehmigungen, Tests, Abnahme und alle anderen Phasen, die nach den Richtlinien einer Organisation erforderlich sind.
Codeänderungen werden vor der Genehmigung oder Code-Promotion von einem unabhängigen Prüfer überprüft.

Der Zugriff auf den Code sowie die Schreib- und Genehmigungsrechte einzelner Benutzer können konkreten Projekten, Release-Versionen und Umgebungen zugeteilt werden.  Entwickler können daran gehindert werden, Änderungen an im Test oder der Produktion befindlicher Software vorzunehmen. Die Möglichkeit zur Migration zwischen Entwicklungs-, Test- und Produktionsumgebungen kann auch auf Benutzer mit entsprechend getrennten Zuständigkeiten beschränkt werden.

Das Harmonizer-Modul hebt Änderungen am Code hervor und unterstützt formelle, unabhängige Überprüfungen von Codeänderungen vor der Code-Promotion, um sicherzustellen, dass die Änderungen mit einem genehmigten Arbeitsauftrag übereinstimmen.

Alle Änderungen werden getestet und genehmigt, bevor sie in die Produktionsumgebung übertragen werden.

LM unterstützt mehrere Entwicklungsumgebungen, die von der Organisation angepasst werden können, z. B. Entwicklung, Test, Bereitstellung und Produktion.

Änderungen im Notfall können gestattet werden, erfordern jedoch die Genehmigung einer rückwirkenden Zusammenführung des Codes in der Entwicklungsumgebung.

Änderungen in der Produktionsumgebung werden überwacht und überprüft, um sicherzustellen, dass keine nicht autorisierten Änderungen vorgenommen werden.

Das Harmonizer-Modul hebt Änderungen am Code hervor und unterstützt formelle, unabhängige Überprüfungen von Codeänderungen vor der Code-Promotion, um sicherzustellen, dass die Änderungen mit einem genehmigten Arbeitsauftrag übereinstimmen.

Alle Aktionen innerhalb von LM und den zugehörigen Modulen, einschließlich Codeänderungen und Code-Promotion, werden vollständig protokolliert und können in Berichte aufgenommen werden.

 

 

Haben Sie Fragen? Rufen Sie uns an: U.S. +1 855-577-4323