????【賽迪網-IT技術訊】無規矩不成方圓,企業的的IT管理也是如此。隨著經濟的發展與技術的進步,企業IT管理已經擴展到了更深化的層次,甚至直接影響到企業的業務潛力。日前,賽門鐵克在北京就企業級IT管理,風險與合規性策略及實踐等相關問題與媒體記者做了深入探討。
????首席信息安全官的新焦點:業務風險的內部溝通
????過去,由于企業對于安全管理的重視程度不足,所以首席信息安全官(CISO)的主要責任僅限于管理一些安全事件,只要能夠確保安全上的合規就萬事大吉了。真的如此么?隨著風險的加大以及企業重視程度的加強,這一情況有了很大的變化,業務風險的內部溝通正在逐漸成為CISO的工作之一。
????賽門鐵克IT管理、風險與合規部門區域產品管理總監Caroline Wong女士表示,這主要是因為現在許多企業發現,自身所部屬的安全解決方案都有一種“政出多門”的現象:眾多安全廠商技術的并存,造成了產生的安全報告在格式和內容上的不一致,從而使得企業很難對自身風險狀況作出綜合全面的判斷。
Caroline Wong 賽門鐵克IT管理、風險與合規部門區域產品管理總監
????在這種情況下,建立一套完整的IT治理、風險與合規性(GRC)解決方案系統就成為解決問題最有效的辦法之一。因為這套系統可以允許CISO們用與業務相關的語言,把IT安全風險向業務部門及公司高管成員去做溝通。
????合規推動企業業務發展
????“合規是一個起點,還有很多進一步發展的空間余地。”Caroline 女士表示,合規及內控的實施是企業業務發展的重要推動因素之一。比如,對于eBay這類電子商務企業,安全合規能夠保障其網上交易業務的順利進行,合規及內控的實施對于企業業務具有極大推動力。通過賽門鐵克的CCS產品,企業客戶可以把合規作為一個起點來做,進而拓展到風險管理領域。
????企業實現合規所要經歷的周期及花費時間的長短,是由多方面因素來共同決定的。首先要看企業業務的復雜性,其次是整個企業的規模,最后在于企業已有安全計劃、安全項目的成熟度。面向中國市場,賽門鐵克針對中國版薩班斯法案和中國企業內控法規,在其CCS產品中已經把中國企業內控法規當中的部分管控要求和語言融合進來,為中國企業客戶實現合規節約了寶貴的時間。
????中國版薩班斯面臨更多挑戰
????眾所周知,美國多年以前推出薩班斯法案時,由于當時的技術水平尚不成熟,企業客戶為確保對薩班斯法案的合規,不得不孤軍奮戰的去開發合規流程。當時有相當比例的企業通過求助于安全廠商實現了對薩班斯法案的合規。時至今日,風險與合規管理方面的產品和技術已經成熟,這意味著中國企業在解決中國版薩班斯法案時所面臨的挑戰、實現合規時,可以輕而易舉地得到賽門鐵克這類國際專業公司的幫助,因為像賽門鐵克這樣的公司在過去多年當中,一直在思考和開發此類的解決方案。
????賽門鐵克公司中國區安全產品總監卜憲錄認為,中國在推行《企業內部控制基本規范》(應對于美國的薩班斯法案,人們常將其稱之為中國版的薩班斯,C-SOX)時,可以說具有明顯的后發優勢,國內企業可以借鑒美版經驗并結合中國國情,覆蓋除上市公司財務報告審計之外更全面的企業內部運營風險及整個企業的管理制度。
卜憲錄 賽門鐵克公司中國區安全產品總監
????Caroline女士提出,和美版相比,中國版薩班斯還要面對諸如虛擬化和云計算等新技術所帶來新風險挑戰。中國企業既要實現對中國企業安全法規的合規,同時也要能夠成功管理和應對來自云計算、虛擬化等這類新技術帶來新威脅。賽門鐵克的CCS環境當中,就有相應的組成部分來組成模塊,專門解決這些問題。
????另外,針對中國市場的特殊需求,賽門鐵克也對自身產品做出了改進,比如CCS增加了中文版用戶界面,這使得中國國內無論是國際化大公司還是中小企業都能用上該產品。
????CCS可有效助力企業內控
????雖然云計算和虛擬化的快速普及為企業帶來了無窮便利,但也對其內控產生了一定影響。比如一些重點行業企業,他們的數據大多屬于機密級,為了保證數據安全,往往不會上傳云端,這在很大程度上就失去了應用云計算的意義。
????Caroline女士認為,對于云計算的客戶,他們在安全或內控上只有兩個選擇,第一是選用云計算供應商所能提供的云安全功能,但云計算服務供應商所能提供的安全功能往往非常有限。第二是客戶會對要放到云中的所有數據類型予以評估,對于那些敏感性和保密性要求高的數據,就選擇不放到云當中去,但這也不是一個最佳的方案。
????目前賽門鐵克推出的CCS則很好的解決了這個問題,CCS標準管理器Standard Manager能夠對企業放置在其自身數據中心及公共云端中的數據進行綜合性技術評估,并在單一視圖及單一全面的儀表盤里體現評估結果。CCS的這一能力已經在Amazon、ECR等用戶云環境當中得到了驗證。
????合規更要智能化、人性化
????合規對于企業非常重要,但在實際操作中還存在許多制約因素,比如較高的操作復雜性,報告里過于專業的技術術語等,這些會在無形當中對企業內部溝通協調產生影響。
????而賽門鐵克CCS產品的評分系統,一方面可以有效降低技術人員的工作量,另一方面還保留了很強的自主性,這對于提升企業的工作效率顯然大有裨益。
? | 
