????【賽迪網(wǎng)-IT技術(shù)訊】無規(guī)矩不成方圓����,企業(yè)的的IT管理也是如此��。隨著經(jīng)濟的發(fā)展與技術(shù)的進步�����,企業(yè)IT管理已經(jīng)擴展到了更深化的層次�,甚至直接影響到企業(yè)的業(yè)務(wù)潛力。日前���,賽門鐵克在北京就企業(yè)級IT管理��,風險與合規(guī)性策略及實踐等相關(guān)問題與媒體記者做了深入探討����。
????首席信息安全官的新焦點:業(yè)務(wù)風險的內(nèi)部溝通
????過去����,由于企業(yè)對于安全管理的重視程度不足,所以首席信息安全官(CISO)的主要責任僅限于管理一些安全事件����,只要能夠確保安全上的合規(guī)就萬事大吉了。真的如此么����?隨著風險的加大以及企業(yè)重視程度的加強,這一情況有了很大的變化,業(yè)務(wù)風險的內(nèi)部溝通正在逐漸成為CISO的工作之一���。
????賽門鐵克IT管理、風險與合規(guī)部門區(qū)域產(chǎn)品管理總監(jiān)Caroline Wong女士表示���,這主要是因為現(xiàn)在許多企業(yè)發(fā)現(xiàn)�����,自身所部屬的安全解決方案都有一種“政出多門”的現(xiàn)象:眾多安全廠商技術(shù)的并存����,造成了產(chǎn)生的安全報告在格式和內(nèi)容上的不一致���,從而使得企業(yè)很難對自身風險狀況作出綜合全面的判斷����。
Caroline Wong 賽門鐵克IT管理���、風險與合規(guī)部門區(qū)域產(chǎn)品管理總監(jiān)
????在這種情況下���,建立一套完整的IT治理、風險與合規(guī)性(GRC)解決方案系統(tǒng)就成為解決問題最有效的辦法之一。因為這套系統(tǒng)可以允許CISO們用與業(yè)務(wù)相關(guān)的語言�����,把IT安全風險向業(yè)務(wù)部門及公司高管成員去做溝通��。
????合規(guī)推動企業(yè)業(yè)務(wù)發(fā)展
????“合規(guī)是一個起點��,還有很多進一步發(fā)展的空間余地���?���!盋aroline 女士表示�,合規(guī)及內(nèi)控的實施是企業(yè)業(yè)務(wù)發(fā)展的重要推動因素之一。比如��,對于eBay這類電子商務(wù)企業(yè)����,安全合規(guī)能夠保障其網(wǎng)上交易業(yè)務(wù)的順利進行,合規(guī)及內(nèi)控的實施對于企業(yè)業(yè)務(wù)具有極大推動力�����。通過賽門鐵克的CCS產(chǎn)品,企業(yè)客戶可以把合規(guī)作為一個起點來做����,進而拓展到風險管理領(lǐng)域。
????企業(yè)實現(xiàn)合規(guī)所要經(jīng)歷的周期及花費時間的長短�����,是由多方面因素來共同決定的�。首先要看企業(yè)業(yè)務(wù)的復(fù)雜性�����,其次是整個企業(yè)的規(guī)模��,最后在于企業(yè)已有安全計劃�、安全項目的成熟度。面向中國市場����,賽門鐵克針對中國版薩班斯法案和中國企業(yè)內(nèi)控法規(guī),在其CCS產(chǎn)品中已經(jīng)把中國企業(yè)內(nèi)控法規(guī)當中的部分管控要求和語言融合進來�,為中國企業(yè)客戶實現(xiàn)合規(guī)節(jié)約了寶貴的時間。
????中國版薩班斯面臨更多挑戰(zhàn)
????眾所周知�,美國多年以前推出薩班斯法案時�,由于當時的技術(shù)水平尚不成熟�����,企業(yè)客戶為確保對薩班斯法案的合規(guī)�,不得不孤軍奮戰(zhàn)的去開發(fā)合規(guī)流程。當時有相當比例的企業(yè)通過求助于安全廠商實現(xiàn)了對薩班斯法案的合規(guī)��。時至今日���,風險與合規(guī)管理方面的產(chǎn)品和技術(shù)已經(jīng)成熟�����,這意味著中國企業(yè)在解決中國版薩班斯法案時所面臨的挑戰(zhàn)���、實現(xiàn)合規(guī)時,可以輕而易舉地得到賽門鐵克這類國際專業(yè)公司的幫助��,因為像賽門鐵克這樣的公司在過去多年當中����,一直在思考和開發(fā)此類的解決方案。
????賽門鐵克公司中國區(qū)安全產(chǎn)品總監(jiān)卜憲錄認為���,中國在推行《企業(yè)內(nèi)部控制基本規(guī)范》(應(yīng)對于美國的薩班斯法案�����,人們常將其稱之為中國版的薩班斯���,C-SOX)時��,可以說具有明顯的后發(fā)優(yōu)勢�����,國內(nèi)企業(yè)可以借鑒美版經(jīng)驗并結(jié)合中國國情,覆蓋除上市公司財務(wù)報告審計之外更全面的企業(yè)內(nèi)部運營風險及整個企業(yè)的管理制度�����。
卜憲錄 賽門鐵克公司中國區(qū)安全產(chǎn)品總監(jiān)
????Caroline女士提出�����,和美版相比����,中國版薩班斯還要面對諸如虛擬化和云計算等新技術(shù)所帶來新風險挑戰(zhàn)�。中國企業(yè)既要實現(xiàn)對中國企業(yè)安全法規(guī)的合規(guī)��,同時也要能夠成功管理和應(yīng)對來自云計算��、虛擬化等這類新技術(shù)帶來新威脅��。賽門鐵克的CCS環(huán)境當中����,就有相應(yīng)的組成部分來組成模塊,專門解決這些問題����。
????另外,針對中國市場的特殊需求�,賽門鐵克也對自身產(chǎn)品做出了改進,比如CCS增加了中文版用戶界面���,這使得中國國內(nèi)無論是國際化大公司還是中小企業(yè)都能用上該產(chǎn)品���。
????CCS可有效助力企業(yè)內(nèi)控
????雖然云計算和虛擬化的快速普及為企業(yè)帶來了無窮便利,但也對其內(nèi)控產(chǎn)生了一定影響���。比如一些重點行業(yè)企業(yè)�����,他們的數(shù)據(jù)大多屬于機密級�,為了保證數(shù)據(jù)安全,往往不會上傳云端���,這在很大程度上就失去了應(yīng)用云計算的意義����。
????Caroline女士認為�,對于云計算的客戶,他們在安全或內(nèi)控上只有兩個選擇����,第一是選用云計算供應(yīng)商所能提供的云安全功能����,但云計算服務(wù)供應(yīng)商所能提供的安全功能往往非常有限。第二是客戶會對要放到云中的所有數(shù)據(jù)類型予以評估�����,對于那些敏感性和保密性要求高的數(shù)據(jù)�����,就選擇不放到云當中去,但這也不是一個最佳的方案�。
????目前賽門鐵克推出的CCS則很好的解決了這個問題,CCS標準管理器Standard Manager能夠?qū)ζ髽I(yè)放置在其自身數(shù)據(jù)中心及公共云端中的數(shù)據(jù)進行綜合性技術(shù)評估����,并在單一視圖及單一全面的儀表盤里體現(xiàn)評估結(jié)果。CCS的這一能力已經(jīng)在Amazon�����、ECR等用戶云環(huán)境當中得到了驗證���。
????合規(guī)更要智能化���、人性化
????合規(guī)對于企業(yè)非常重要,但在實際操作中還存在許多制約因素�����,比如較高的操作復(fù)雜性�,報告里過于專業(yè)的技術(shù)術(shù)語等,這些會在無形當中對企業(yè)內(nèi)部溝通協(xié)調(diào)產(chǎn)生影響。
????而賽門鐵克CCS產(chǎn)品的評分系統(tǒng)����,一方面可以有效降低技術(shù)人員的工作量,另一方面還保留了很強的自主性��,這對于提升企業(yè)的工作效率顯然大有裨益���。
? | 
