????【賽迪網(wǎng)-IT技術(shù)訊】無規(guī)矩不成方圓���,企業(yè)的的IT管理也是如此�����。隨著經(jīng)濟的發(fā)展與技術(shù)的進步�����,企業(yè)IT管理已經(jīng)擴展到了更深化的層次��,甚至直接影響到企業(yè)的業(yè)務(wù)潛力�。日前��,賽門鐵克在北京就企業(yè)級IT管理�,風(fēng)險與合規(guī)性策略及實踐等相關(guān)問題與媒體記者做了深入探討。
????首席信息安全官的新焦點:業(yè)務(wù)風(fēng)險的內(nèi)部溝通
????過去����,由于企業(yè)對于安全管理的重視程度不足,所以首席信息安全官(CISO)的主要責(zé)任僅限于管理一些安全事件�����,只要能夠確保安全上的合規(guī)就萬事大吉了�。真的如此么?隨著風(fēng)險的加大以及企業(yè)重視程度的加強��,這一情況有了很大的變化��,業(yè)務(wù)風(fēng)險的內(nèi)部溝通正在逐漸成為CISO的工作之一����。
????賽門鐵克IT管理�、風(fēng)險與合規(guī)部門區(qū)域產(chǎn)品管理總監(jiān)Caroline Wong女士表示���,這主要是因為現(xiàn)在許多企業(yè)發(fā)現(xiàn)�����,自身所部屬的安全解決方案都有一種“政出多門”的現(xiàn)象:眾多安全廠商技術(shù)的并存����,造成了產(chǎn)生的安全報告在格式和內(nèi)容上的不一致�����,從而使得企業(yè)很難對自身風(fēng)險狀況作出綜合全面的判斷���。
Caroline Wong 賽門鐵克IT管理���、風(fēng)險與合規(guī)部門區(qū)域產(chǎn)品管理總監(jiān)
????在這種情況下,建立一套完整的IT治理����、風(fēng)險與合規(guī)性(GRC)解決方案系統(tǒng)就成為解決問題最有效的辦法之一�。因為這套系統(tǒng)可以允許CISO們用與業(yè)務(wù)相關(guān)的語言�����,把IT安全風(fēng)險向業(yè)務(wù)部門及公司高管成員去做溝通���。
????合規(guī)推動企業(yè)業(yè)務(wù)發(fā)展
????“合規(guī)是一個起點����,還有很多進一步發(fā)展的空間余地����?!盋aroline 女士表示,合規(guī)及內(nèi)控的實施是企業(yè)業(yè)務(wù)發(fā)展的重要推動因素之一�。比如,對于eBay這類電子商務(wù)企業(yè)����,安全合規(guī)能夠保障其網(wǎng)上交易業(yè)務(wù)的順利進行,合規(guī)及內(nèi)控的實施對于企業(yè)業(yè)務(wù)具有極大推動力���。通過賽門鐵克的CCS產(chǎn)品�����,企業(yè)客戶可以把合規(guī)作為一個起點來做���,進而拓展到風(fēng)險管理領(lǐng)域�����。
????企業(yè)實現(xiàn)合規(guī)所要經(jīng)歷的周期及花費時間的長短���,是由多方面因素來共同決定的。首先要看企業(yè)業(yè)務(wù)的復(fù)雜性�����,其次是整個企業(yè)的規(guī)模���,最后在于企業(yè)已有安全計劃����、安全項目的成熟度�。面向中國市場,賽門鐵克針對中國版薩班斯法案和中國企業(yè)內(nèi)控法規(guī)�,在其CCS產(chǎn)品中已經(jīng)把中國企業(yè)內(nèi)控法規(guī)當(dāng)中的部分管控要求和語言融合進來��,為中國企業(yè)客戶實現(xiàn)合規(guī)節(jié)約了寶貴的時間�。
????中國版薩班斯面臨更多挑戰(zhàn)
????眾所周知����,美國多年以前推出薩班斯法案時,由于當(dāng)時的技術(shù)水平尚不成熟���,企業(yè)客戶為確保對薩班斯法案的合規(guī)���,不得不孤軍奮戰(zhàn)的去開發(fā)合規(guī)流程。當(dāng)時有相當(dāng)比例的企業(yè)通過求助于安全廠商實現(xiàn)了對薩班斯法案的合規(guī)���。時至今日,風(fēng)險與合規(guī)管理方面的產(chǎn)品和技術(shù)已經(jīng)成熟��,這意味著中國企業(yè)在解決中國版薩班斯法案時所面臨的挑戰(zhàn)���、實現(xiàn)合規(guī)時�����,可以輕而易舉地得到賽門鐵克這類國際專業(yè)公司的幫助�,因為像賽門鐵克這樣的公司在過去多年當(dāng)中,一直在思考和開發(fā)此類的解決方案����。
????賽門鐵克公司中國區(qū)安全產(chǎn)品總監(jiān)卜憲錄認為,中國在推行《企業(yè)內(nèi)部控制基本規(guī)范》(應(yīng)對于美國的薩班斯法案�����,人們常將其稱之為中國版的薩班斯�,C-SOX)時,可以說具有明顯的后發(fā)優(yōu)勢�����,國內(nèi)企業(yè)可以借鑒美版經(jīng)驗并結(jié)合中國國情����,覆蓋除上市公司財務(wù)報告審計之外更全面的企業(yè)內(nèi)部運營風(fēng)險及整個企業(yè)的管理制度。
卜憲錄 賽門鐵克公司中國區(qū)安全產(chǎn)品總監(jiān)
????Caroline女士提出��,和美版相比����,中國版薩班斯還要面對諸如虛擬化和云計算等新技術(shù)所帶來新風(fēng)險挑戰(zhàn)。中國企業(yè)既要實現(xiàn)對中國企業(yè)安全法規(guī)的合規(guī),同時也要能夠成功管理和應(yīng)對來自云計算��、虛擬化等這類新技術(shù)帶來新威脅����。賽門鐵克的CCS環(huán)境當(dāng)中,就有相應(yīng)的組成部分來組成模塊��,專門解決這些問題���。
????另外�����,針對中國市場的特殊需求���,賽門鐵克也對自身產(chǎn)品做出了改進,比如CCS增加了中文版用戶界面��,這使得中國國內(nèi)無論是國際化大公司還是中小企業(yè)都能用上該產(chǎn)品�。
????CCS可有效助力企業(yè)內(nèi)控
????雖然云計算和虛擬化的快速普及為企業(yè)帶來了無窮便利��,但也對其內(nèi)控產(chǎn)生了一定影響�����。比如一些重點行業(yè)企業(yè),他們的數(shù)據(jù)大多屬于機密級���,為了保證數(shù)據(jù)安全�,往往不會上傳云端����,這在很大程度上就失去了應(yīng)用云計算的意義。
????Caroline女士認為���,對于云計算的客戶�����,他們在安全或內(nèi)控上只有兩個選擇�,第一是選用云計算供應(yīng)商所能提供的云安全功能�,但云計算服務(wù)供應(yīng)商所能提供的安全功能往往非常有限。第二是客戶會對要放到云中的所有數(shù)據(jù)類型予以評估���,對于那些敏感性和保密性要求高的數(shù)據(jù)��,就選擇不放到云當(dāng)中去�,但這也不是一個最佳的方案。
????目前賽門鐵克推出的CCS則很好的解決了這個問題����,CCS標(biāo)準(zhǔn)管理器Standard Manager能夠?qū)ζ髽I(yè)放置在其自身數(shù)據(jù)中心及公共云端中的數(shù)據(jù)進行綜合性技術(shù)評估,并在單一視圖及單一全面的儀表盤里體現(xiàn)評估結(jié)果��。CCS的這一能力已經(jīng)在Amazon�����、ECR等用戶云環(huán)境當(dāng)中得到了驗證����。
????合規(guī)更要智能化、人性化
????合規(guī)對于企業(yè)非常重要�����,但在實際操作中還存在許多制約因素��,比如較高的操作復(fù)雜性�,報告里過于專業(yè)的技術(shù)術(shù)語等,這些會在無形當(dāng)中對企業(yè)內(nèi)部溝通協(xié)調(diào)產(chǎn)生影響�。
????而賽門鐵克CCS產(chǎn)品的評分系統(tǒng)����,一方面可以有效降低技術(shù)人員的工作量���,另一方面還保留了很強的自主性,這對于提升企業(yè)的工作效率顯然大有裨益����。
? | 
