企業(yè)IT合規(guī)管理加入更多信息元素

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

如今，商業(yè)伙伴關(guān)系、已知/未知的安全威脅、服務(wù)水平協(xié)議(SLA)以及業(yè)務(wù)和技術(shù)帶來(lái)的其他因素等都表明，信息安全和隱私合規(guī)項(xiàng)目與內(nèi)部需求有著緊密的聯(lián)系。

在當(dāng)今這個(gè)復(fù)雜的世界管理合規(guī)最有效的方法是通過(guò)整體的規(guī)范的方法來(lái)積極應(yīng)對(duì)合規(guī)問題，而不是把合規(guī)當(dāng)作被動(dòng)的任務(wù)。在信息安全保障領(lǐng)域，IT部門一直專注于運(yùn)作效率和性能等問題，而信息安全問題卻很少被提及，盡管一些早期條例(如聯(lián)邦教育權(quán)利和隱私權(quán)等)明確了數(shù)據(jù)隱私和安全的基準(zhǔn)。最早出現(xiàn)的安全和隱私條款的行業(yè)包括金融服務(wù)和公用事業(yè)等領(lǐng)域，這些條款高度管制，但是范圍有限。這些條款中往往沒有制裁規(guī)定，意味著企業(yè)不遵守合規(guī)條例而無(wú)需受到懲罰。

1996年頒布的醫(yī)治保險(xiǎn)攜帶和責(zé)任法案(HIPAA，Health Insurance Portability and Accountability Act)從此開啟了信息安全和隱私合規(guī)的時(shí)代，這是第一個(gè)范圍廣泛的法規(guī)，包含了重要的信息安全和隱私方面的要求。由于HIPAA法案涵蓋了很多不同的業(yè)務(wù)領(lǐng)域，包括IT運(yùn)維、信息安全、人力資源管理和審計(jì)等，該法案讓很多企業(yè)開始為不同的部門規(guī)劃合規(guī)計(jì)劃，以實(shí)現(xiàn)具體的跨職能合規(guī)目標(biāo)。HIPAA以及新出現(xiàn)的信息管理框架(ISACA的COBIT以及IS017799等)為企業(yè)建立更全面的信息安全和隱私合規(guī)管理提供了幫助。

隨著信息安全法律法規(guī)的不斷發(fā)展，黃金標(biāo)準(zhǔn)SOX法案(薩班斯法案)應(yīng)運(yùn)而生，SOX法案已經(jīng)成為美國(guó)所有上市公司必須遵守的法案，其中既有民事制裁又有刑事制裁來(lái)處置非合規(guī)行為，這些懲罰適用于C級(jí)管理層。

SOX法案開始實(shí)行后，所有公司董事會(huì)都開始關(guān)注安全合規(guī)問題。引起企業(yè)高層管理人員的重視后，SOX通過(guò)幫助企業(yè)制定全面的基于項(xiàng)目的方法來(lái)解決安全和隱私合規(guī)問題，所有合規(guī)相關(guān)的合規(guī)報(bào)告和數(shù)據(jù)都成為公司成功運(yùn)作的關(guān)鍵。

SOX已經(jīng)成為合規(guī)驅(qū)動(dòng)的信息安全保障的未來(lái)發(fā)展方向的一項(xiàng)重要指標(biāo)，我們需要制定一個(gè)全面的完善的計(jì)劃來(lái)為大多數(shù)企業(yè)提供解決安全和隱私合規(guī)問題的必要能力，但是制定這樣的計(jì)劃不是簡(jiǎn)單的事情，必須獲得整個(gè)企業(yè)的支持。下面列出的是很多公司都會(huì)遇到的常見問題：

針對(duì)性合規(guī)心態(tài)。 有了范圍廣泛的法案以及制裁措施，短期來(lái)看信息安全保障可以很容易的實(shí)現(xiàn)：通過(guò)集中大量安全和隱私力量在單一的法規(guī)條例上即可。這種針對(duì)性合規(guī)心態(tài)的危險(xiǎn)在于企業(yè)會(huì)陷入“核對(duì)表格進(jìn)行合規(guī)”的境地，意味著通過(guò)降低風(fēng)險(xiǎn)和提高安全性來(lái)促進(jìn)合規(guī)。

將合規(guī)作為時(shí)間點(diǎn)執(zhí)行的事件。內(nèi)部和外部審計(jì)能夠?yàn)槠髽I(yè)提供有效的反饋意見和建議，但如果企業(yè)只是專注于審計(jì)本身，而不重視旨在保護(hù)企業(yè)的基于風(fēng)險(xiǎn)的決策，那么在非審計(jì)期間這些風(fēng)險(xiǎn)帶來(lái)的威脅會(huì)更高。

僅涉及技術(shù)而不涉及業(yè)務(wù)。IT管理、風(fēng)險(xiǎn)和合規(guī)(GRC)的目的在于最大限度地包含業(yè)務(wù)流程，如果企業(yè)抱著“把技術(shù)力量全投進(jìn)去看看會(huì)怎樣”的心態(tài)對(duì)待合規(guī)問題的話，就失去了信息安全和隱私的真正潛在價(jià)值和意義。

未能獲取企業(yè)的支持。IT的GRC是一個(gè)涉及面很廣的項(xiàng)目，需要獲取企業(yè)各部門的支持，包括IT部門、人力資源和金融部門等。然而，在很多企業(yè)，這些部門都不太愿意配合。

數(shù)據(jù)和報(bào)表不一致問題。 企業(yè)只能管理所能控制的范圍，而企業(yè)只能控制本身可以界定和衡量的范圍。數(shù)據(jù)和報(bào)表的不一致可能導(dǎo)致企業(yè)不受控制，對(duì)企業(yè)造成不良影響。

在處理復(fù)雜的各種安全和隱私問題時(shí)還要避免這些錯(cuò)誤確實(shí)不是易事，即便是大型企業(yè)。當(dāng)企業(yè)開始制定企業(yè)范圍內(nèi)的GRC計(jì)劃時(shí)，避免上文所述的常見錯(cuò)誤是很重要的，以下是幾條建議：

全面執(zhí)行合規(guī)。有效地解決信息安全問題需要涉及所有與合規(guī)相關(guān)的問題，包括法規(guī)條例、企業(yè)采取的最佳做法和框架、業(yè)務(wù)合作伙伴協(xié)議、內(nèi)部政策以及已知威脅等。對(duì)軟件平臺(tái)的標(biāo)準(zhǔn)化能夠?yàn)?a href="http://52tianma.cn/gongsi/xt/" target="_blank">企業(yè)管理安全和隱私合規(guī)問題創(chuàng)造價(jià)值，但是對(duì)支持所有合規(guī)相關(guān)驅(qū)動(dòng)的靈活工具的標(biāo)準(zhǔn)化也是很重要的，而不只是支持選定的規(guī)章條例和最佳做法，因?yàn)檫@些都不一定被企業(yè)接受。

建議一個(gè)IT GRC計(jì)劃。一項(xiàng)IT GRC計(jì)劃是完整的業(yè)務(wù)過(guò)程，需要專職人員以及溝通和管理工具，雖然這些工具能夠?yàn)楹弦?guī)過(guò)程提供幫助，但是它們并不能取代人力以及構(gòu)成IT GRC基礎(chǔ)的流程。合規(guī)程序并沒有類似“獄吏”的統(tǒng)一軟件平臺(tái)為IT GRC提高信息安全保障的成功率，但是信息安全保障項(xiàng)目能夠推動(dòng)IT GRC軟件的運(yùn)行。

根據(jù)風(fēng)險(xiǎn)制定決策。確定和衡量信息以及其他資產(chǎn)的風(fēng)險(xiǎn)是信息安全保障的核心功能，可以采用不同的方式來(lái)確定風(fēng)險(xiǎn)，但一般涉及到(最低限度)：資產(chǎn)文件、威脅識(shí)別和風(fēng)險(xiǎn)指標(biāo)等。如果使用多個(gè)單點(diǎn)解決方案來(lái)管理IT GRC，需要確保這些工具足夠支持多種風(fēng)險(xiǎn)定義。

溝通第一。 IT GRC十億個(gè)業(yè)務(wù)流程，為確保成功，獲取執(zhí)行層人員的支持尤為關(guān)鍵，因?yàn)镃級(jí)管理人員往往可以清除企業(yè)內(nèi)存在的障礙，通過(guò)利用權(quán)威來(lái)繞過(guò)其他可能阻礙計(jì)劃進(jìn)行的政治限制等。

為提供有效溝通交流，IT GRC軟件平臺(tái)應(yīng)為不同類別的用戶(IT運(yùn)維、安全人員、風(fēng)險(xiǎn)管理人員、審計(jì)員和C級(jí)管理人員等)提供查看與其相關(guān)聯(lián)的風(fēng)險(xiǎn)與合規(guī)數(shù)據(jù)的能力，同時(shí)控制訪問權(quán)限以保證適當(dāng)?shù)穆氊?zé)分離。

建立衡量風(fēng)險(xiǎn)和報(bào)表的基準(zhǔn)。為IT GRC項(xiàng)目保持通訊框架是至關(guān)重要的，同時(shí)也要確保公司內(nèi)部的一致性，IT GRC項(xiàng)目應(yīng)該使用統(tǒng)一的測(cè)量法和指標(biāo)以確保各部門對(duì)風(fēng)險(xiǎn)與合規(guī)的意見彼此符合。

由于信息安全和隱私的法律法規(guī)日益復(fù)雜，企業(yè)應(yīng)當(dāng)及時(shí)處理新法規(guī)的要求，包括業(yè)務(wù)合作伙伴協(xié)議、內(nèi)部SLA、不斷發(fā)展的技術(shù)和不斷出現(xiàn)的威脅等。IT GRC程序可以鑒定合規(guī)要求間的重復(fù)與模糊性，企業(yè)需要建立一個(gè)集中的業(yè)務(wù)流程和工具平臺(tái)來(lái)處理合規(guī)問題，并允許利益相關(guān)者使用統(tǒng)一的測(cè)量法和指標(biāo)來(lái)查明和處理企業(yè)的安全和隱私狀態(tài)。（IT專家網(wǎng)）