????【赛迪网-IT技术讯】无规矩不成方圆,企业的的IT管理也是如此。随着经济的发展与技术的进步,企业IT管理已经扩展到了更深化的层次,甚至直接影响到企业的业务潜力。日前,赛门铁克在北京就企业级IT管理,风险与合规性策略及实践等相关问题与媒体记者做了深入探讨。
????首席信息安全官的新焦点:业务风险的内部沟通
????过去,由于企业对于安全管理的重视程度不足,所以首席信息安全官(CISO)的主要责任仅限于管理一些安全事件,只要能够确保安全上的合规就万事大吉了。真的如此么?随着风险的加大以及企业重视程度的加强,这一情况有了很大的变化,业务风险的内部沟通正在逐渐成为CISO的工作之一。
????赛门铁克IT管理、风险与合规部门区域产品管理总监Caroline Wong女士表示,这主要是因为现在许多企业发现,自身所部属的安全解决方案都有一种“政出多门”的现象:众多安全厂商技术的并存,造成了产生的安全报告在格式和内容上的不一致,从而使得企业很难对自身风险状况作出综合全面的判断。
Caroline Wong 赛门铁克IT管理、风险与合规部门区域产品管理总监
????在这种情况下,建立一套完整的IT治理、风险与合规性(GRC)解决方案系统就成为解决问题最有效的办法之一。因为这套系统可以允许CISO们用与业务相关的语言,把IT安全风险向业务部门及公司高管成员去做沟通。
????合规推动企业业务发展
????“合规是一个起点,还有很多进一步发展的空间余地。”Caroline 女士表示,合规及内控的实施是企业业务发展的重要推动因素之一。比如,对于eBay这类电子商务企业,安全合规能够保障其网上交易业务的顺利进行,合规及内控的实施对于企业业务具有极大推动力。通过赛门铁克的CCS产品,企业客户可以把合规作为一个起点来做,进而拓展到风险管理领域。
????企业实现合规所要经历的周期及花费时间的长短,是由多方面因素来共同决定的。首先要看企业业务的复杂性,其次是整个企业的规模,最后在于企业已有安全计划、安全项目的成熟度。面向中国市场,赛门铁克针对中国版萨班斯法案和中国企业内控法规,在其CCS产品中已经把中国企业内控法规当中的部分管控要求和语言融合进来,为中国企业客户实现合规节约了宝贵的时间。
????中国版萨班斯面临更多挑战
????众所周知,美国多年以前推出萨班斯法案时,由于当时的技术水平尚不成熟,企业客户为确保对萨班斯法案的合规,不得不孤军奋战的去开发合规流程。当时有相当比例的企业通过求助于安全厂商实现了对萨班斯法案的合规。时至今日,风险与合规管理方面的产品和技术已经成熟,这意味着中国企业在解决中国版萨班斯法案时所面临的挑战、实现合规时,可以轻而易举地得到赛门铁克这类国际专业公司的帮助,因为像赛门铁克这样的公司在过去多年当中,一直在思考和开发此类的解决方案。
????赛门铁克公司中国区安全产品总监卜宪录认为,中国在推行《企业内部控制基本规范》(应对于美国的萨班斯法案,人们常将其称之为中国版的萨班斯,C-SOX)时,可以说具有明显的后发优势,国内企业可以借鉴美版经验并结合中国国情,覆盖除上市公司财务报告审计之外更全面的企业内部运营风险及整个企业的管理制度。
卜宪录 赛门铁克公司中国区安全产品总监
????Caroline女士提出,和美版相比,中国版萨班斯还要面对诸如虚拟化和云计算等新技术所带来新风险挑战。中国企业既要实现对中国企业安全法规的合规,同时也要能够成功管理和应对来自云计算、虚拟化等这类新技术带来新威胁。赛门铁克的CCS环境当中,就有相应的组成部分来组成模块,专门解决这些问题。
????另外,针对中国市场的特殊需求,赛门铁克也对自身产品做出了改进,比如CCS增加了中文版用户界面,这使得中国国内无论是国际化大公司还是中小企业都能用上该产品。
????CCS可有效助力企业内控
????虽然云计算和虚拟化的快速普及为企业带来了无穷便利,但也对其内控产生了一定影响。比如一些重点行业企业,他们的数据大多属于机密级,为了保证数据安全,往往不会上传云端,这在很大程度上就失去了应用云计算的意义。
????Caroline女士认为,对于云计算的客户,他们在安全或内控上只有两个选择,第一是选用云计算供应商所能提供的云安全功能,但云计算服务供应商所能提供的安全功能往往非常有限。第二是客户会对要放到云中的所有数据类型予以评估,对于那些敏感性和保密性要求高的数据,就选择不放到云当中去,但这也不是一个最佳的方案。
????目前赛门铁克推出的CCS则很好的解决了这个问题,CCS标准管理器Standard Manager能够对企业放置在其自身数据中心及公共云端中的数据进行综合性技术评估,并在单一视图及单一全面的仪表盘里体现评估结果。CCS的这一能力已经在Amazon、ECR等用户云环境当中得到了验证。
????合规更要智能化、人性化
????合规对于企业非常重要,但在实际操作中还存在许多制约因素,比如较高的操作复杂性,报告里过于专业的技术术语等,这些会在无形当中对企业内部沟通协调产生影响。
????而赛门铁克CCS产品的评分系统,一方面可以有效降低技术人员的工作量,另一方面还保留了很强的自主性,这对于提升企业的工作效率显然大有裨益。
? |