存储 频道

Symantec:法规遵从的挑战

    据估计,当今企业面临着来自监管机构的巨大压力。仅在过去的几年里,政府和标准制订部门就已经要求加强对客户隐私权、数据可靠性和安全性的重视。因此,毫不奇怪,公司希望找到达到一致性的最优方法,并且能够同时在审核过程中证明一致性。请看:

 

  • “Sarbanes-Oxley 法案”要求,所有公开交易的公司必须证明其财务报表以及用于编制财务报表的数据和程序都能防止欺诈。
  • 金融服务行业(以及其他行业)目前遵从“Gramm-Leach-Bliley 法案”,并且在悄悄地遵从“Basel II 协议”。
  • 由于“医疗保险信息交换与保密法案 (HIPAA)”的诞生,美国公司必须保护其人事数据,医疗保险提供商必须保护其病人信息。
  • “联邦信息安全管理法案 (FISMA)”要求联邦机构制定、立档并实施机构级范围的计划,以保证数据和信息系统的安全。
  • 实用程序要遵守北美电力可靠性委员会 (NERC) 的计算机安全标准。
  • 在国外,“欧盟数据保护指令”要求每个欧盟成员国通过立法,对网络、系统和包含个人信息的数据达到机密性和完整性控制。多数美国法规仅涉及组织和其外部客户的关系,“欧盟数据保护指令”明确包括员工个人信息和客户信息。

 

要说法规遵从对当今企业是一种挑战,还是有些保守。根据 InformationWeek 最近对 200 名业务技术专业人员的调查,有五分之四的人表示仅监测企业是否符合遵从目标就是一项挑战。接近三分之二的人表示他们今年在法规遵从上的开销将会增加。

这是一项很艰巨的任务:对已受资源限制的企业来说,将面临着来自监管者越来越多的压力,更不用说在日益危险的计算机威胁环境中经营业务的挑战。那么,企业可以采取什么步骤来减少一致性所带来的困扰呢?下面我们来了解一下其中的某些步骤。

无需从头开始
研究机构 Gartner 在最近的一篇报告(“IT 安全技术可以解决法规遵从问题”,2004 年 2 月)中提到,漏洞管理和 IT 安全管理的流程和技术是 IT 基本安全的基础。它们还还可以帮助证明对于上述各种法规的遵从性。Gartner 还特别提出,以下流程和技术可能有助于提供法规遵从所需的各种功能。

 

  • 身份和访问管理策略用以定义对 IT 资源和应用程序的访问控制。
  • 配置策略用以定义怎样配置 IT 资源以保证其安全。
  • IT 安全基础架构用以保护组织免受外部入侵和攻击。
  • 漏洞管理流程采用安全策略以发现漏洞和疏漏并减轻其危害。
  • 强大的监视工具和程序用以检测内部和外部威胁。

 

Gartner 提出了以下基本建议:实施漏洞管理和 IT 安全管理的流程和技术,使 IT 基础架构更安全更富有弹性。这还将提高企业证明遵从各种法规的能力。

任重道远
企业还可以采取哪些措施来减轻其遵从法规方面的工作?关于这一点,赛门铁克建议企业统一安全策略和业务战略,积极对员工进行培训,并且保持策略实施的连续性。另外,企业还应做到:

 

  • 发布特定的安全策略,关注被认为对支持业务战略和目标来说最重要的主要行为和流程。
  • 制定基本安全标准,锁定信息基础架构的所有组件。
  • 严格评估系统是否遵从策略和技术安全标准,出现偏差就立即纠正。
  • 教育员工制定这些策略和标准的理由;员工是成功的关键。

 

意外的好处
虽然企业不得不努力遵从各种法规条例,但也会带来意想不到的好处。例如,InformationWeek 调查对象中有 40% 认为法规遵从已经成为变革的催化剂。对于某些医疗提供商来说,在去年生效的 HIPAA 隐私和安全性法规,已成为他们实施电子医疗记录系统的动力,这样,病人的历史记录便可存储在集中的数据库中,而不是易丢失和误用的纸张上。

根据咨询专业机构 Deloitte 的观点,实施 Sarbanes-Oxley 要求后,除了一致性之外,将会出现许多附带的结果。Deloitte 推测以下各项是公司的“想要的结果”:

 

  • SEC 一致性
  • 制定内部控制结构
  • 提高控制有效性的透明度
  • 对控制改进措施进行持续的电子监视
  • 开发可用于多个业务实体的连续记录控制
  • 加速并简化各种流程

 

事实上,有些公司将有关 Sarbanes-Oxley 的计划与克服 Y2K 问题的努力相提并论,即当作是一种实施系统商务变革,从根本上加强财务报告的机会。有些金融服务机构甚至提到,将 Sarbanes-Oxley 的快速报告要求当作是开发所谓的“实时企业”的一种动力。

最后,正如许多分析家观察到的,企业正逐渐意识到法规条例只是意味着采用良好的安全实践。

领导而非“跟随”
作为当今企业的一种关键业务动力,法规遵从正越来越受到重视。并且其代价也会很高:不遵守这些法规的代价会很高,除了要承担经济和法律责任外,还会失去商界和客户的信任。因此,企业需要一种可以确保关键信息的机密性、完整性和可用性的机制,即主动信息安全系统。这种系统排除了“跟随”法规,确保使用了正确的人员、流程和技术,倾力于评估风险和部署保护。在当今威胁日增的环境中,企业不能有丝毫松懈。

0
相关文章