去年，上市似乎成為了IT界的焦點。10月9日，金山軟件在香港聯交所上市;11月1日，巨人網絡集團在紐約交易所上市;11月6日阿里巴巴集團B2B子公司在香港掛牌上市。三家知名IT公司在一個月內陸續上市，且股價都一路走高，讓身處全民炒股熱情中的中國IT界更加狂熱。

大家都在關注每天的股票上漲情況以及創造出了多少個千萬富翁，卻忽視了上市公司背后的壓力和責任。

就在7月5日，中國第一家海外上市公司—華晨中國汽車控股有限公司從美國紐約證券交易所退市了！華晨汽車在香港發布的英文公告顯示:鑒于公司的美國存托股票交易量萎縮和維持美國報告和登記義務的管理成本增長，公司董事會重新評估了維持紐交所掛牌的價值，并決定終止這一掛牌。

業界專家指出，讓華晨不堪重負的，正是為了遵循《薩班斯—奧克斯利法案》而不得不向審計公司支付的巨額咨詢、審計費用，以及高昂的內部遵循成本。與這筆支出相比，華晨在紐約交易所融到的資金卻非常有限。

華晨的退市讓中國的海外上市企業又一次切身的感受到了薩班斯法案的威力，嚴格審計的背后是企業成本的巨額增加。

法規遵從和IT治理相結合

對于上市企業來說，需要遵循的何止是薩班斯法案，除此之外，還有很多的法案需要企業遵循。巴塞爾協議、GLBA法案、FISMA、PCI DSS等等，根據企業性質的不同，遵循的法案也有所區分。但是這些法案的遵循都是需要一筆不費的執行成本。

對于企業來說，遵循法規都是沒有商量的，這些費用的支出也都是無法回避的。但是企業可以選擇把這筆費用的效益發揮到最大，讓法規遵從所要求的內部控制不僅僅是做給監管部門看的，更重要的是以此提高企業的管理水平，創造更大的效益，切實保證企業健康、快速地成長。

這就需要把法規遵從和IT治理聯系起來。IT治理的專家David Thompson認為，當把法規遵從與IT治理聯結在一起時，企業就會擁有一個新的框架，這不僅能產生戰術上的結果，而且還能帶來戰略上的重大利益。

不可忽略的日志管理

《薩班斯法案》強調企業的信息技術策略和企業內控活動(不論是人還是機器)的操作流程都必須進行明白的定義并保存相關記錄，而后才能實施。而操作記錄在IT系統中一般都是以日志的方式進行保存的。

“日志管理是安全防范的基礎，同時在法規遵從上也有著重要的作用。” RSA的高級技術顧問馮崇彪說。

同時美國的許多法規還明確要求搜集、保存、維護及檢查日志。尤其是FISMA、HIPAA和PCI-DSS這三項法規同時影響著事件響應流程和日志管理，因為它們既要求檢查日志，還要求具備日志功能。

但是，現在，不同類型的日志正在從不同來源以驚人的速度生成。對這些日志的管理給企業造成了巨大的負擔，如何在整個企業的IT架構下對所有的系統日志進行統一的管理成為日志管理中最緊迫的任務。

“不僅要對不同來源、不同格式的日志進行整合，同時還要在其中進行相關性分析，從而在相互聯系中找到可能的安全隱患。同時集中地收集、整合使得應對法規遵從更加容易，而不用陷入每一個系統的日志維護中而疲憊不堪。”馮崇彪說。

而作為網絡安全領域歷史悠久的企業，RSA也提供了相應的產品—enVision來幫助企業從容應對繁瑣的日志管理，同時它還可以輕松生成新巴塞爾協議、薩班斯法案等法規要要求的安全性風險報告。這種集中的管理降低了企業的成本，同時使內部的安全控制更加嚴密。