企业实现自动化IT安全合规管理

　　目前对于所有公司而言，掌控IT安全风险和法规遵守要求是两件至关重要的事情。在过去的十年中出现了大量前所未有的安全泄漏事故，对公司信息的完整性造成了严重破坏，并导致大量财务和业务的损失，同时让客户、合作伙伴和利益相关者丧失对公司的信心。这些泄漏事故也让人们开始建立技术标准、IT管理框架，并制定了旨在改善加强安全的法律，这也使企业在更有效地定义、控制和管理他们的IT基础设施方面的压力更加大了。

　　面临的挑战

　　遵守法规要求和内部的安全政策是企业能否成功的关键。为了保护企业信息的完整性，避免发生企业丑闻事件以及保护客户隐私权，新法律和法规制定，管理各行各业的企业，目前一些比较有名的安全法规包括：

　　SOX – 2002年颁布的萨班斯-奥克里法案要求制定严格的内部管理机制和对财务信息的独立审计以积极防御欺诈行为。

　　HIPAA – 1996年颁布的医治保险携带和责任法案要求对处理和访问患者的医疗信息进行严格的控制以保护患者的隐私。

　　GLBA –1999年颁布的格雷姆-里奇-比利雷法(美国金融服务法)要求金融机构创建安全流程并不断对其进行审计和归档，以保护客户的非公开的个人信息，包括防止未经授权的电子访问的预防措施等。

　　FISMA –2002年颁布的联邦信息安全管理法案旨在通过每年实行的审计工作来加强联邦政府及附属部门的计算机和网络安全。

　　除了这些法规外，企业通常还会制定内部政策以保护公司的信息资源、员工、客户和品牌声誉。

　　运用IT管理框架迎战法规遵从挑战

　　很多面临着多个法规遵从要求的公司现在开始运用IT管理框架，以符合大多数法规的要求，其中被广泛采用的三个框架包括：

　　COBIT 4.0 – 由IT管理研究所(ITGI)发布的COBIT 4.0强调的是遵守法规，它能够帮助企业实现并增加IT方面价值，使企业实现其发展目标。COBIT的优点在于它非常注重细节，这使得它适用于各种层次的企业。同时，COBIT还利用了能力成熟度模型集成(CMMI)作为评估安全流程状态的方法。

　　ISO 17799:2005 (ISO 27001) – 这是IT安全管理的国际标准，它将安全控制划分为10个重要部分，每个部分涵盖不同的主题或领域。

　　NIST 800-53 – 由国家标准与技术研究所发布的NIST 800-53集合了“联邦信息系统推荐使用的安全控制”，它描述了企业在保护信息系统时可以使用的安全控制。

　　采用控制框架的另一个好处在于能够为合规和安全进程建立可重复的流程，这通常能够更好的帮助企业满足多个法规的要求，从整体降低合规的费用。然而，跨团队进程和通信问题还需要解决。

　　法规遵从

　　对于上市公司以及大型企业而言，只能通过一些政策和技术以确保公司符合相关法规和政策，并需要实时归档以用于合规审计。在这个日益复杂的监管环境，公司IT部门和其他部门的关系正发生巨大变化。

　　不遵守法律法规和内部政策将对公司造成严重后果以及安全风险问题。保护客户数据，确保财务数据的完整信，防止知识产权泄漏以及员工个人信息等问题成为公司最优先考虑的问题。高层管理人员开始意识到问题的重要性，他们开始不断要求IT经理们执行与电子系统和网络相关的合规并归档相关报表。当对IT人员进行工作评估时，遵守合规和审计结果开始变得与系统正常运行时间以及性能统计一样重要。

　　特殊合规管理问题

　　如今信息化时代，面对这些问题的直接反应就是尽可能多地加强法规遵从和文件过程自动化。如果没有自动化解决方案，法律法规的严格要求将让企业承担不断增加的成本和风险。不过，目前的自动化工具还并不成熟，从针对特定领域合规或者针对特定安全团队的复杂产品，到简单的电子表格的合集。通常情况下，通用配置和风险管理解决方案会被压入服务中，以支持高度个性化的合规功能，这需要大量人力资源或者编程工作来核对通用数据与合规数据。但是这样得到的结果往往是不准确的，并且因为使用了手工操作过程，所以很难定期复制归档。

　　由于目前还没有完善的工具，合规执行和文件归档仍然属于相对较新的商业领域。不同的商业单位侧重于不同的方面，利用手头上有限的工具。例如，通常企业可能会有三个不同的IT团队来负责合规任务，包括：

　　安全和漏洞管理团队-该团队的任务是在应用于企业、员工或者客户安全之前检测应用程序、数据库以及IT基础设施中的漏洞问题。

　　IT运作团队-通常是由操作系统和应用程序管理员团队组成的，任务在于“解决”系统中的各种问题。

　　审计团队-该团队的任务是定义合规标准，评估是否如何标准以及记录归档合规和违规事件以备外部审计或者其他利益相关者的审计。