企業(yè)IT合規(guī)管理加入更多信息元素

申請免費試用、咨詢電話：400-8352-114

如今，商業(yè)伙伴關系、已知/未知的安全威脅、服務水平協(xié)議(SLA)以及業(yè)務和技術帶來的其他因素等都表明，信息安全和隱私合規(guī)項目與內部需求有著緊密的聯(lián)系。

在當今這個復雜的世界管理合規(guī)最有效的方法是通過整體的規(guī)范的方法來積極應對合規(guī)問題，而不是把合規(guī)當作被動的任務。在信息安全保障領域，IT部門一直專注于運作效率和性能等問題，而信息安全問題卻很少被提及，盡管一些早期條例(如聯(lián)邦教育權利和隱私權等)明確了數(shù)據隱私和安全的基準。最早出現(xiàn)的安全和隱私條款的行業(yè)包括金融服務和公用事業(yè)等領域，這些條款高度管制，但是范圍有限。這些條款中往往沒有制裁規(guī)定，意味著企業(yè)不遵守合規(guī)條例而無需受到懲罰。

1996年頒布的醫(yī)治保險攜帶和責任法案(HIPAA，Health Insurance Portability and Accountability Act)從此開啟了信息安全和隱私合規(guī)的時代，這是第一個范圍廣泛的法規(guī)，包含了重要的信息安全和隱私方面的要求。由于HIPAA法案涵蓋了很多不同的業(yè)務領域，包括IT運維、信息安全、人力資源管理和審計等，該法案讓很多企業(yè)開始為不同的部門規(guī)劃合規(guī)計劃，以實現(xiàn)具體的跨職能合規(guī)目標。HIPAA以及新出現(xiàn)的信息管理框架(ISACA的COBIT以及IS017799等)為企業(yè)建立更全面的信息安全和隱私合規(guī)管理提供了幫助。

隨著信息安全法律法規(guī)的不斷發(fā)展，黃金標準SOX法案(薩班斯法案)應運而生，SOX法案已經成為美國所有上市公司必須遵守的法案，其中既有民事制裁又有刑事制裁來處置非合規(guī)行為，這些懲罰適用于C級管理層。

SOX法案開始實行后，所有公司董事會都開始關注安全合規(guī)問題。引起企業(yè)高層管理人員的重視后，SOX通過幫助企業(yè)制定全面的基于項目的方法來解決安全和隱私合規(guī)問題，所有合規(guī)相關的合規(guī)報告和數(shù)據都成為公司成功運作的關鍵。

SOX已經成為合規(guī)驅動的信息安全保障的未來發(fā)展方向的一項重要指標，我們需要制定一個全面的完善的計劃來為大多數(shù)企業(yè)提供解決安全和隱私合規(guī)問題的必要能力，但是制定這樣的計劃不是簡單的事情，必須獲得整個企業(yè)的支持。下面列出的是很多公司都會遇到的常見問題：

針對性合規(guī)心態(tài)。 有了范圍廣泛的法案以及制裁措施，短期來看信息安全保障可以很容易的實現(xiàn)：通過集中大量安全和隱私力量在單一的法規(guī)條例上即可。這種針對性合規(guī)心態(tài)的危險在于企業(yè)會陷入“核對表格進行合規(guī)”的境地，意味著通過降低風險和提高安全性來促進合規(guī)。

將合規(guī)作為時間點執(zhí)行的事件。內部和外部審計能夠為企業(yè)提供有效的反饋意見和建議，但如果企業(yè)只是專注于審計本身，而不重視旨在保護企業(yè)的基于風險的決策，那么在非審計期間這些風險帶來的威脅會更高。

僅涉及技術而不涉及業(yè)務。IT管理、風險和合規(guī)(GRC)的目的在于最大限度地包含業(yè)務流程，如果企業(yè)抱著“把技術力量全投進去看看會怎樣”的心態(tài)對待合規(guī)問題的話，就失去了信息安全和隱私的真正潛在價值和意義。

未能獲取企業(yè)的支持。IT的GRC是一個涉及面很廣的項目，需要獲取企業(yè)各部門的支持，包括IT部門、人力資源和金融部門等。然而，在很多企業(yè)，這些部門都不太愿意配合。

數(shù)據和報表不一致問題。 企業(yè)只能管理所能控制的范圍，而企業(yè)只能控制本身可以界定和衡量的范圍。數(shù)據和報表的不一致可能導致企業(yè)不受控制，對企業(yè)造成不良影響。

在處理復雜的各種安全和隱私問題時還要避免這些錯誤確實不是易事，即便是大型企業(yè)。當企業(yè)開始制定企業(yè)范圍內的GRC計劃時，避免上文所述的常見錯誤是很重要的，以下是幾條建議：

全面執(zhí)行合規(guī)。有效地解決信息安全問題需要涉及所有與合規(guī)相關的問題，包括法規(guī)條例、企業(yè)采取的最佳做法和框架、業(yè)務合作伙伴協(xié)議、內部政策以及已知威脅等。對軟件平臺的標準化能夠為企業(yè)管理安全和隱私合規(guī)問題創(chuàng)造價值，但是對支持所有合規(guī)相關驅動的靈活工具的標準化也是很重要的，而不只是支持選定的規(guī)章條例和最佳做法，因為這些都不一定被企業(yè)接受。

建議一個IT GRC計劃。一項IT GRC計劃是完整的業(yè)務過程，需要專職人員以及溝通和管理工具，雖然這些工具能夠為合規(guī)過程提供幫助，但是它們并不能取代人力以及構成IT GRC基礎的流程。合規(guī)程序并沒有類似“獄吏”的統(tǒng)一軟件平臺為IT GRC提高信息安全保障的成功率，但是信息安全保障項目能夠推動IT GRC軟件的運行。

根據風險制定決策。確定和衡量信息以及其他資產的風險是信息安全保障的核心功能，可以采用不同的方式來確定風險，但一般涉及到(最低限度)：資產文件、威脅識別和風險指標等。如果使用多個單點解決方案來管理IT GRC，需要確保這些工具足夠支持多種風險定義。

溝通第一。 IT GRC十億個業(yè)務流程，為確保成功，獲取執(zhí)行層人員的支持尤為關鍵，因為C級管理人員往往可以清除企業(yè)內存在的障礙，通過利用權威來繞過其他可能阻礙計劃進行的政治限制等。

為提供有效溝通交流，IT GRC軟件平臺應為不同類別的用戶(IT運維、安全人員、風險管理人員、審計員和C級管理人員等)提供查看與其相關聯(lián)的風險與合規(guī)數(shù)據的能力，同時控制訪問權限以保證適當?shù)穆氊煼蛛x。

建立衡量風險和報表的基準。為IT GRC項目保持通訊框架是至關重要的，同時也要確保公司內部的一致性，IT GRC項目應該使用統(tǒng)一的測量法和指標以確保各部門對風險與合規(guī)的意見彼此符合。

由于信息安全和隱私的法律法規(guī)日益復雜，企業(yè)應當及時處理新法規(guī)的要求，包括業(yè)務合作伙伴協(xié)議、內部SLA、不斷發(fā)展的技術和不斷出現(xiàn)的威脅等。IT GRC程序可以鑒定合規(guī)要求間的重復與模糊性，企業(yè)需要建立一個集中的業(yè)務流程和工具平臺來處理合規(guī)問題，并允許利益相關者使用統(tǒng)一的測量法和指標來查明和處理企業(yè)的安全和隱私狀態(tài)。（IT專家網）