Zitat Zitat von Fuerchau
SOX verlangt nicht, dass alles protokolliert wird sondern dass alle Änderungen dokumentiert sind.
Wenn also per SQL o.ä. irgendwas geändert wird muss es ganz einfach schriftliche Aufzeichnungen darüber geben warum, weshalb und durch wen dies oder das ausserhalb der normalen Anwendung durchgeführt wird.
Und wenn es diese Aufzeichnungen nicht gibt weis niemand das was geändert wurde. Theoretisch kann ich doch kurz bevor eine Zahlung an die Bank geht über einen SQL Befehl mal kurz die Kontonnummer austauschen und das nachher wieder rückgängig machen, aufschreiben tue ich das natürlich nicht.


Zitat Zitat von Fuerchau
Sonst müsste ja auch festgehalten werden, warum gerade dieser Auftrag gelöscht wurde (weil der Bediener einen Fehler gemacht hat oder weil der Kunde storniert hat ?).

Gerade als ADMIN darf man eben nicht so einfach in den Dateien rumwursteln, dafür ist man ja ADMIN des SYSTEMS.
Für die Anwendungen sind ja (eigentlich) auch wieder andere Leute zuständig.
Das dem Theoretisch so ist ist klar, nur wie kann ich das sicher stellen oder im Nachhinein kontrollieren und das ist da wo SOX eigentlich ansetzt.
Zitat Zitat von Fuerchau
SOX wird nicht so heiß gegessen wie es aussieht.
Ich bin ja sowohl Entwickler, Tester, Installer und Admin. Eigentlich müsste ich 4 Personen sein, was aber weder personell noch finanziell vertretbar ist.
Und das geht auch.
Es muss nur über organisatorische Verfahren attestiert sein.
Es muss Kontrollen geben die sicher stellen das kein Unfug getrieben wird oder das Unfug aufgedeckt werden kann. Bei SOX gibt es zwei wichtige Prinzipien, zum Einen Teilung der Zuständigkeiten (segregation of Dutys) und zum anderen das vier Augen Prinzip.

Wir sind da mitten drin viele Dinge umzusetzen und lassen uns von externen Partnern beraten aber letztendlich ist es der Prüfer auf den es ankommt und hier liegt die Crux bei der Sache. Wenn der Prüfer ein Hardliner ist oder Angst hat dann verlangt er Kontrollen auf Alles und das kann keiner Bezahlen. Wenn er aber etwas lockerer ist sieht er das man sich Mühe gibt bestimmte Dinge zu kontrollieren und gibt sich damit zufrieden. Man weis aber vorher nicht wie der Prüfer das sieht. Nicht umsonst sind schon einige Unternehmen in den USA an SOX gescheitert.

Ich jedenfalls kann es mir nicht so einfach machen das abzuwälzen da ich ja dafür verantwortlich bin und auch wenn ein Externer das letztendlich machen soll muss ich das immer noch Koordinieren.