合规管理:重要的是策略落地

时间:2022-01-17 08:35:19

合规管理:重要的是策略落地

从今年开始,凡是在上海证券交易所、深圳证券交易所主板上市的企业,都要严格遵照《企业内部控制基本规范》及其三大指引的规定,而在中小板和创业板上市的公司,以及即将上市的公司也都或多或少会受到相关规定的制约。

“根据公开资料显示,超过3000家企业将直接受到这些规范的影响。”赛门铁克公司中国区安全产品总监卜宪录表示,与美国的塞班斯法案相比,《企业内部控制基本规范》以及三大指引涉及的内容更全面,不仅侧重于上市公司的财务报告审计,而且涉及企业内部所有可能存在的运营风险和整个企业的制度。

对大多数CISO(Chief Information Security Officer,首席信息安全官)来说,其首要职责是保证企业IT系统的合规,制定安全策略,找出并且降低IT系统的风险。但是实现合规,CISO面临多重挑战:如何让企业的IT策略既能够尽可能满足多个标准和规范?怎样才能平衡业务的重要性与IT风险?如何应对云计算、虚拟化等新技术带来的效率提升和安全挑战?

新技术 新挑战

合规管理既是企业安全管理的起点,也是推动业务更好发展的重要因素。赛门铁克IT管理、风险与合规部门区域产品管理总监、信息系统安全认证专家Caroline Wong以她曾经工作过的两家网站为例,向记者介绍了企业实施合规和内控策略的重要性:“合规管理对企业业务也能起到推动作用。例如,陌生人在eBay网进行交易,保障网络的安全对维护他们的经济利益很重要。Zynga是一家视频游戏公司,它需要保证IT系统7×24小时的可用性,还需要保证玩家在下一次登录时仍然能够停留在现有的级别,而不会因为网站的原因,导致游戏又退回到初始的级别。”

但对CISO来说,合规管理并非易事。卜宪录认为:“受《企业内部控制基本规范》以及三大指引影响的3000多家上市公司,在应对企业内部控制基本规范要求的同时,可能还需要满足很多别的法案、法规或者最佳实践的要求,例如金融行业企业需要满足PCI标准、巴塞尔协议等。如何让一个合规策略尽可能支持不同的法案,是企业非常头疼的事情。”

CISO面临的另一个难题是,企业需要应对各种新技术带来的挑战。Caroline Wong认为:“企业既要实现IT系统的合规,需要应对来自云计算和虚拟化等新技术带来的新威胁。”她透露,为了应对新技术带来的挑战,赛门铁克在RSA 2012信息安全大会上的云安全解决方案O3,其功能之一就是如何保证云计算环境下的可视合规,记录下哪些人在什么时间访问了什么云,进行了哪些操作等。此外,赛门铁克将于今年9月推出CCS Virtualization Security Manager虚拟化安全管理器,帮助企业在虚拟化环境下进行评估和安全管理,实现合规。

“对企业来说,安全就像汽车的刹车,它能够促使企业更快地采纳创新性的技术。如果安全措施管控到位了,能使一家企业更快地、更具有创新性地去采纳像虚拟化、云计算等新技术,并获得更高收益。”Caroline Wong建议企业“对安全采取双管齐下的方式,一是以主动防御的方式确保整个环境的安全,二是树立终生防御理念,通过24小时不间断地对环境进行监控,对随时发生的风险乃至威胁做出反应。”

实现统一管理

企业的合规审计通常包括计划、评估、生成报告和修复四个阶段。然而此前,企业往往已经部署了大量单点解决方案,在同一个企业中,不同安全厂商的解决方案和技术同时存在,产生安全报告的格式和内容也不一样,企业很难对其风险做出综合、全面的判断。而如何将这些解决方案和产品整合起来,通过统一的平台对其进行管理,对企业而言并非易事。Caroline Wong认为,企业的应投资构建一套完整的IT GRC系统(Governance Risk and Compliance,企业风险与合规管理)。

“作为新一代IT GRC解决方案,赛门铁克CCS(Control Compliance Suite,合规管理套件)能建立一整套可重复的安全评估和管理体系,将IT风险隐患直观地呈现给业务部门,帮助企业在风险管理的每个阶段进行风险管理。”Caroline Wong介绍,通过研发、收购和整合,塞门铁克能够提供将对应IT合规审计的四个流程的全套解决方案,提供从策略制定、控制落地到生成报告、修复等各个阶段所需的所有功能,是一个集成度非常高的解决方案。“CCS对企业环境中已经部署的技术和解决方案有充分的了解,而且可以通过数据员获得的数据对评估进行辅助。所有这些数据形成一个可扩展的数据框架,能够对企业的合规状况提供由数据驱动的全面完整的视图”。

跨越业务和技术语言的鸿沟

安全审计的目标不是评估,而是修复安全隐患,将安全建议落地,贯彻落实才是CISO的目标。然而将技术语言转化为业务语言,在业务的重要性与IT系统的风险之间进行平衡,并非易事。

赛门铁克新近推出的Risk Manager,不仅对服务器、防火墙以及网络设备的安全性进行评估,而且对企业的业务流程、业务部门和职能部门的重要性以及存在的漏洞风险进行评估。在生成报告时,Dynamic Dashboards动态仪表盘针对读者对象的不同,显示不同视图的评估结果。正如Caroline Wong所说,IT部门最想知道哪些服务器的风险最高,而业务部门最关心的是IT风险与业务连续性之间如何平衡。

在实践中,你可能会遇到这样的情况:一台服务器存在安全漏洞,但是由于关键业务的需要,该服务器必须保持100%的实时可用性。对这样的问题,IT部门该如何解决?赛门铁克给出的解决方案是设置优先级。“设置优先级是Risk Manager的一个新功能,我们可以从技术性和业务的关键性两个角度对IT风险都作出优先级排序。这使得CISO能够用与业务相关的语言来解释IT风险。”Caroline Wong表示,当CISO跟业务部门主管沟通时,如果业务部门主管基于业务关键性考虑,接受技术上的漏洞时,CISO将优先处理下一个风险最高的漏洞。“根据优先级排序,CISO可以有效地和需要采取行动的部门负责人对话,找到降低风险的途径。”

上一篇:您知道吗 第6期 下一篇:如何培养孩子的思维习惯