????【賽迪網(wǎng)-IT技術(shù)訊】無(wú)規(guī)矩不成方圓,企業(yè)的的IT管理也是如此。隨著經(jīng)濟(jì)的發(fā)展與技術(shù)的進(jìn)步,企業(yè)IT管理已經(jīng)擴(kuò)展到了更深化的層次,甚至直接影響到企業(yè)的業(yè)務(wù)潛力。日前,賽門(mén)鐵克在北京就企業(yè)級(jí)IT管理,風(fēng)險(xiǎn)與合規(guī)性策略及實(shí)踐等相關(guān)問(wèn)題與媒體記者做了深入探討。
????首席信息安全官的新焦點(diǎn):業(yè)務(wù)風(fēng)險(xiǎn)的內(nèi)部溝通
????過(guò)去,由于企業(yè)對(duì)于安全管理的重視程度不足,所以首席信息安全官(CISO)的主要責(zé)任僅限于管理一些安全事件,只要能夠確保安全上的合規(guī)就萬(wàn)事大吉了。真的如此么?隨著風(fēng)險(xiǎn)的加大以及企業(yè)重視程度的加強(qiáng),這一情況有了很大的變化,業(yè)務(wù)風(fēng)險(xiǎn)的內(nèi)部溝通正在逐漸成為CISO的工作之一。
????賽門(mén)鐵克IT管理、風(fēng)險(xiǎn)與合規(guī)部門(mén)區(qū)域產(chǎn)品管理總監(jiān)Caroline Wong女士表示,這主要是因?yàn)楝F(xiàn)在許多企業(yè)發(fā)現(xiàn),自身所部屬的安全解決方案都有一種“政出多門(mén)”的現(xiàn)象:眾多安全廠(chǎng)商技術(shù)的并存,造成了產(chǎn)生的安全報(bào)告在格式和內(nèi)容上的不一致,從而使得企業(yè)很難對(duì)自身風(fēng)險(xiǎn)狀況作出綜合全面的判斷。
Caroline Wong 賽門(mén)鐵克IT管理、風(fēng)險(xiǎn)與合規(guī)部門(mén)區(qū)域產(chǎn)品管理總監(jiān)
????在這種情況下,建立一套完整的IT治理、風(fēng)險(xiǎn)與合規(guī)性(GRC)解決方案系統(tǒng)就成為解決問(wèn)題最有效的辦法之一。因?yàn)檫@套系統(tǒng)可以允許CISO們用與業(yè)務(wù)相關(guān)的語(yǔ)言,把IT安全風(fēng)險(xiǎn)向業(yè)務(wù)部門(mén)及公司高管成員去做溝通。
????合規(guī)推動(dòng)企業(yè)業(yè)務(wù)發(fā)展
????“合規(guī)是一個(gè)起點(diǎn),還有很多進(jìn)一步發(fā)展的空間余地。”Caroline 女士表示,合規(guī)及內(nèi)控的實(shí)施是企業(yè)業(yè)務(wù)發(fā)展的重要推動(dòng)因素之一。比如,對(duì)于eBay這類(lèi)電子商務(wù)企業(yè),安全合規(guī)能夠保障其網(wǎng)上交易業(yè)務(wù)的順利進(jìn)行,合規(guī)及內(nèi)控的實(shí)施對(duì)于企業(yè)業(yè)務(wù)具有極大推動(dòng)力。通過(guò)賽門(mén)鐵克的CCS產(chǎn)品,企業(yè)客戶(hù)可以把合規(guī)作為一個(gè)起點(diǎn)來(lái)做,進(jìn)而拓展到風(fēng)險(xiǎn)管理領(lǐng)域。
????企業(yè)實(shí)現(xiàn)合規(guī)所要經(jīng)歷的周期及花費(fèi)時(shí)間的長(zhǎng)短,是由多方面因素來(lái)共同決定的。首先要看企業(yè)業(yè)務(wù)的復(fù)雜性,其次是整個(gè)企業(yè)的規(guī)模,最后在于企業(yè)已有安全計(jì)劃、安全項(xiàng)目的成熟度。面向中國(guó)市場(chǎng),賽門(mén)鐵克針對(duì)中國(guó)版薩班斯法案和中國(guó)企業(yè)內(nèi)控法規(guī),在其CCS產(chǎn)品中已經(jīng)把中國(guó)企業(yè)內(nèi)控法規(guī)當(dāng)中的部分管控要求和語(yǔ)言融合進(jìn)來(lái),為中國(guó)企業(yè)客戶(hù)實(shí)現(xiàn)合規(guī)節(jié)約了寶貴的時(shí)間。
????中國(guó)版薩班斯面臨更多挑戰(zhàn)
????眾所周知,美國(guó)多年以前推出薩班斯法案時(shí),由于當(dāng)時(shí)的技術(shù)水平尚不成熟,企業(yè)客戶(hù)為確保對(duì)薩班斯法案的合規(guī),不得不孤軍奮戰(zhàn)的去開(kāi)發(fā)合規(guī)流程。當(dāng)時(shí)有相當(dāng)比例的企業(yè)通過(guò)求助于安全廠(chǎng)商實(shí)現(xiàn)了對(duì)薩班斯法案的合規(guī)。時(shí)至今日,風(fēng)險(xiǎn)與合規(guī)管理方面的產(chǎn)品和技術(shù)已經(jīng)成熟,這意味著中國(guó)企業(yè)在解決中國(guó)版薩班斯法案時(shí)所面臨的挑戰(zhàn)、實(shí)現(xiàn)合規(guī)時(shí),可以輕而易舉地得到賽門(mén)鐵克這類(lèi)國(guó)際專(zhuān)業(yè)公司的幫助,因?yàn)橄褓愰T(mén)鐵克這樣的公司在過(guò)去多年當(dāng)中,一直在思考和開(kāi)發(fā)此類(lèi)的解決方案。
????賽門(mén)鐵克公司中國(guó)區(qū)安全產(chǎn)品總監(jiān)卜憲錄認(rèn)為,中國(guó)在推行《企業(yè)內(nèi)部控制基本規(guī)范》(應(yīng)對(duì)于美國(guó)的薩班斯法案,人們常將其稱(chēng)之為中國(guó)版的薩班斯,C-SOX)時(shí),可以說(shuō)具有明顯的后發(fā)優(yōu)勢(shì),國(guó)內(nèi)企業(yè)可以借鑒美版經(jīng)驗(yàn)并結(jié)合中國(guó)國(guó)情,覆蓋除上市公司財(cái)務(wù)報(bào)告審計(jì)之外更全面的企業(yè)內(nèi)部運(yùn)營(yíng)風(fēng)險(xiǎn)及整個(gè)企業(yè)的管理制度。
卜憲錄 賽門(mén)鐵克公司中國(guó)區(qū)安全產(chǎn)品總監(jiān)
????Caroline女士提出,和美版相比,中國(guó)版薩班斯還要面對(duì)諸如虛擬化和云計(jì)算等新技術(shù)所帶來(lái)新風(fēng)險(xiǎn)挑戰(zhàn)。中國(guó)企業(yè)既要實(shí)現(xiàn)對(duì)中國(guó)企業(yè)安全法規(guī)的合規(guī),同時(shí)也要能夠成功管理和應(yīng)對(duì)來(lái)自云計(jì)算、虛擬化等這類(lèi)新技術(shù)帶來(lái)新威脅。賽門(mén)鐵克的CCS環(huán)境當(dāng)中,就有相應(yīng)的組成部分來(lái)組成模塊,專(zhuān)門(mén)解決這些問(wèn)題。
????另外,針對(duì)中國(guó)市場(chǎng)的特殊需求,賽門(mén)鐵克也對(duì)自身產(chǎn)品做出了改進(jìn),比如CCS增加了中文版用戶(hù)界面,這使得中國(guó)國(guó)內(nèi)無(wú)論是國(guó)際化大公司還是中小企業(yè)都能用上該產(chǎn)品。
????CCS可有效助力企業(yè)內(nèi)控
????雖然云計(jì)算和虛擬化的快速普及為企業(yè)帶來(lái)了無(wú)窮便利,但也對(duì)其內(nèi)控產(chǎn)生了一定影響。比如一些重點(diǎn)行業(yè)企業(yè),他們的數(shù)據(jù)大多屬于機(jī)密級(jí),為了保證數(shù)據(jù)安全,往往不會(huì)上傳云端,這在很大程度上就失去了應(yīng)用云計(jì)算的意義。
????Caroline女士認(rèn)為,對(duì)于云計(jì)算的客戶(hù),他們?cè)诎踩騼?nèi)控上只有兩個(gè)選擇,第一是選用云計(jì)算供應(yīng)商所能提供的云安全功能,但云計(jì)算服務(wù)供應(yīng)商所能提供的安全功能往往非常有限。第二是客戶(hù)會(huì)對(duì)要放到云中的所有數(shù)據(jù)類(lèi)型予以評(píng)估,對(duì)于那些敏感性和保密性要求高的數(shù)據(jù),就選擇不放到云當(dāng)中去,但這也不是一個(gè)最佳的方案。
????目前賽門(mén)鐵克推出的CCS則很好的解決了這個(gè)問(wèn)題,CCS標(biāo)準(zhǔn)管理器Standard Manager能夠?qū)ζ髽I(yè)放置在其自身數(shù)據(jù)中心及公共云端中的數(shù)據(jù)進(jìn)行綜合性技術(shù)評(píng)估,并在單一視圖及單一全面的儀表盤(pán)里體現(xiàn)評(píng)估結(jié)果。CCS的這一能力已經(jīng)在Amazon、ECR等用戶(hù)云環(huán)境當(dāng)中得到了驗(yàn)證。
????合規(guī)更要智能化、人性化
????合規(guī)對(duì)于企業(yè)非常重要,但在實(shí)際操作中還存在許多制約因素,比如較高的操作復(fù)雜性,報(bào)告里過(guò)于專(zhuān)業(yè)的技術(shù)術(shù)語(yǔ)等,這些會(huì)在無(wú)形當(dāng)中對(duì)企業(yè)內(nèi)部溝通協(xié)調(diào)產(chǎn)生影響。
????而賽門(mén)鐵克CCS產(chǎn)品的評(píng)分系統(tǒng),一方面可以有效降低技術(shù)人員的工作量,另一方面還保留了很強(qiáng)的自主性,這對(duì)于提升企業(yè)的工作效率顯然大有裨益。
? | 
