目前对于所有公司而言，掌控IT安全风险和法规遵守要求是两件至关重要的事情。在过去的十年中出现了大量前所未有的安全泄漏事故，对公司信息的完整性造成了严重破坏，并导致大量财务和业务的损失，同时让客户、合作伙伴和利益相关者丧失对公司的信心。这些泄漏事故也让人们开始建立技术标准、IT管理框架，并制定了旨在改善加强安全的法律，这也使企业在更有效地定义、控制和管理他们的IT基础设施方面的压力更加大了。

　　面临的挑战

　　遵守法规要求和内部的安全政策是企业能否成功的关键。为了保护企业信息的完整性，避免发生企业丑闻事件以及保护客户隐私权，新法律和法规制定，管理各行各业的企业，目前一些比较有名的安全法规包括：

　　SOX – 2002年颁布的萨班斯-奥克里法案要求制定严格的内部管理机制和对财务信息的独立审计以积极防御欺诈行为。

　　HIPAA – 1996年颁布的医治保险携带和责任法案要求对处理和访问患者的医疗信息进行严格的控制以保护患者的隐私。

　　GLBA –1999年颁布的格雷姆-里奇-比利雷法(美国金融服务法)要求金融机构创建安全流程并不断对其进行审计和归档，以保护客户的非公开的个人信息，包括防止未经授权的电子访问的预防措施等。

　　FISMA –2002年颁布的联邦信息安全管理法案旨在通过每年实行的审计工作来加强联邦政府及附属部门的计算机和网络安全。

　　除了这些法规外，企业通常还会制定内部政策以保护公司的信息资源、员工、客户和品牌声誉。

　　运用IT管理框架迎战法规遵从挑战

　　很多面临着多个法规遵从要求的公司现在开始运用IT管理框架，以符合大多数法规的要求，其中被广泛采用的三个框架包括：

　　COBIT 4.0 – 由IT管理研究所(ITGI)发布的COBIT 4.0强调的是遵守法规，它能够帮助企业实现并增加IT方面价值，使企业实现其发展目标。COBIT的优点在于它非常注重细节，这使得它适用于各种层次的企业。同时，COBIT还利用了能力成熟度模型集成(CMMI)作为评估安全流程状态的方法。

　　ISO 17799:2005 (ISO 27001) – 这是IT安全管理的国际标准，它将安全控制划分为10个重要部分，每个部分涵盖不同的主题或领域。

　　NIST 800-53 – 由国家标准与技术研究所发布的NIST 800-53集合了“联邦信息系统推荐使用的安全控制”，它描述了企业在保护信息系统时可以使用的安全控制。

　　采用控制框架的另一个好处在于能够为合规和安全进程建立可重复的流程，这通常能够更好的帮助企业满足多个法规的要求，从整体降低合规的费用。然而，跨团队进程和通信问题还需要解决。

　　法规遵从

　　对于上市公司以及大型企业而言，只能通过一些政策和技术以确保公司符合相关法规和政策，并需要实时归档以用于合规审计。在这个日益复杂的监管环境，公司IT部门和其他部门的关系正发生巨大变化。

　　不遵守法律法规和内部政策将对公司造成严重后果以及安全风险问题。保护客户数据，确保财务数据的完整信，防止知识产权泄漏以及员工个人信息等问题成为公司最优先考虑的问题。高层管理人员开始意识到问题的重要性，他们开始不断要求IT经理们执行与电子系统和网络相关的合规并归档相关报表。当对IT人员进行工作评估时，遵守合规和审计结果开始变得与系统正常运行时间以及性能统计一样重要。

　　特殊合规管理问题

　　如今信息化时代，面对这些问题的直接反应就是尽可能多地加强法规遵从和文件过程自动化。如果没有自动化解决方案，法律法规的严格要求将让企业承担不断增加的成本和风险。不过，目前的自动化工具还并不成熟，从针对特定领域合规或者针对特定安全团队的复杂产品，到简单的电子表格的合集。通常情况下，通用配置和风险管理解决方案会被压入服务中，以支持高度个性化的合规功能，这需要大量人力资源或者编程工作来核对通用数据与合规数据。但是这样得到的结果往往是不准确的，并且因为使用了手工操作过程，所以很难定期复制归档。

　　由于目前还没有完善的工具，合规执行和文件归档仍然属于相对较新的商业领域。不同的商业单位侧重于不同的方面，利用手头上有限的工具。例如，通常企业可能会有三个不同的IT团队来负责合规任务，包括：

　　安全和漏洞管理团队-该团队的任务是在应用于企业、员工或者客户安全之前检测应用程序、数据库以及IT基础设施中的漏洞问题。

　　IT运作团队-通常是由操作系统和应用程序管理员团队组成的，任务在于“解决”系统中的各种问题。

　　审计团队-该团队的任务是定义合规标准，评估是否如何标准以及记录归档合规和违规事件以备外部审计或者其他利益相关者的审计。

　　全面视角：法规遵从和IT团队

　　这三组团队虽然面对同样的数据实体，但是他们的观点都是片面的。

　　由于没有连贯性，从全面的角度查看公司所有(或者根据不同的法规要求查看某些)的合规数据越来越无法实现，成为特殊过程。在监管范围之间或者合规团队之间，合规任务通常是多余的。此外，使用仅能协助三个IT团队中的一个的单点解决方案的话，重叠的安全和合规要求会使零散数据和冗余工作变得更加繁重。

　　为了规划出一个成功的法规遵从解决方案的要求，必须认真考虑这三个与合规相关的团队的责任问题。让我们先来看看每个团队的传统重叠的职责。

　　我们可以将所有合规活动分为一系列的任务，这些任务可以归类为定义类、发现类、评估类和修复类，将这些任务分配给三个IT团队，如下图所示：

　　我们看到，尽管每个团队都有其独特的职责，但在他们各行其职时显然有很多重复的责任。与此同时，对于不同的法规要求和内部政策要求也有很多重复，这使得公司花费不必要得开支来为每个独立的合规团队部署和管理一次性解决方案。这些重叠为我们提供了这样一个机会，巩固政策管制和合规数据――重新使用政策、管制和合规数据以适应每个合规团队的需求以及法规和安全政策的要求。

　　例如，某公司的密码政策涉及到SOX、 HIPAA、 GLBA、 NIST和其他外部法规以及内部安全政策，同时，用户访问控制和权限则涉及到SOX、GLBA、NIST和内部政策，修补程序则与SOX、NIST和内部IT管理有关，而所有这些政策和控制都与合规审计、漏洞管理以及IT 运作团队活动相关。

　　整合解决方案的要求

　　企业应该如何利用这些重叠的部门来集中和简化合规管理，并同时节省时间和金钱呢?我们已经确定了每个IT团队在合规过程中的角色，以及需要支持每个团队角色的解决方案要素。要创建整合的解决方案要素应该包括：

　　政策合规标准与控制的单一的电子库

　　当公司开始为遵守法规和政策开发最佳做法的时候，他们将需要在可能的区域重新利用合规政策和控制，采用智能过滤和分析来满足每个团队和合规任务的要求。这意味着需要部署政策和合规信息的信息库，能够涵盖整个操作系统、应用程序和所有外部内部合规进程。

　　例如，很多企业会有一些安全要求，来控制恶意软件、限制P2P软件的安装、控制对IT环境有害的应用程序的安装等，以及其他合规和安全需求。在最近的部署中，某企业利用57项不同的纸质标准来处理各种操作系统和应用程序的使用问题。更有效的合规模式能够将所有这些标准和控制收集在一个电子库中，该电子库能够有效访问、更新和共享(不同团队依据不同目的共享)。

　　多用途合规检查

　　除了需要为每个法规和内部业务要求建立和例行维护合规检查外，公司还需要运用“建立后，多次部署”策略。一个单一的核心合规检查小组除了少量区别外，几乎可以为公司的所有合规要求提供支持。例如，用户密码政策、用户访问权限、帐户管理和其他类型的检查可以设计为满足所有内部和法规要求，从而减轻管理的负担，并且能够让合规团队将精力集中在维护少数独特的合规要求上。

　　变更控制

　　政策检查通常有一个生命周期，这取决于检查数量以及随着业务需求和新系统的改变而发生对具体要求的变化。为适应这些生命周期和支持合规归档，合规系统需要配置一个变更机制，能够提供审计线索，这包括变更的日期、变更的人和任何审批通过的变更。

　　根据既定的IT黄金标准进行审计

　　根据既定的IT黄金标准进行审计

　　为确保遵守政策，可以在新系统被部署前或者被用于生产环境前对其进行检查。为向所有方法提供有效支持，IT可以创建一个“黄金标准”或者为特定主机配置设定基本标准，根据黄金标准测试所有其他类型的主机。对于定期会从测试环境向生产环境部署服务器的公司而言，这种方法可以实现对主机配置的验证，以确保符合合规基本标准和减少部署阶段的风险。

　　一旦主机部署在生产环境中，需要运用适当的侦察控制来持续地衡量政策合规。确定合规通常需要查询代表操作系统和应用程序配置的数据集，并将查询结果与针对相关合规政策产生的预期结果进行比较。拥有一个既定的黄金标准可以为公司提供有效的支持，政策驱动控制测试(由具体控制确定的)可以将数以百计的主机配置数据集查询结果与预期查询结果比较。

　　异常控制

　　日常业务可能也会需要临时的或者基于角色的控制，例如，某公司的安全政策可能包含限制FTP服务在任何服务器上运行，但是某些企业员工在某些时候可能需要临时使用FTP。

　　这种异常控制以及随后的工作流程必须被允许和归档，通常情况下公司允许这种非常规活动需要承担一定风险。特别是当实施第三方审计(内部或外部审计员)控制时尤为重要，第三方可能无法理解故意违反政策的商业原因。

　　综合管理、报告和事件跟踪

　　在综合管理、报告和事件跟踪方面，整合合规和漏洞管理解决方案的主要目标已经实现，理想情况是，整个企业只有一个系统允许你进行以下操作：

　　管理多个合规要求：包括所有相关的外部法规和内部安全政策，解决方案应该要提供一个连续的自动化查看主机配置，并能在每次扫描主机时更新数据。

　　生成报告：支持每个合规团队的需求，包括合规数据和审计结果。所有的报告必须基于所有合规数据集，以确保一致性和完整性。

　　发布并跟踪问题：以确保问题及时得到解决并报告给资产所有者，这一功能应该作为解决方案的内置功能以便消除时间差或者黑洞，这种问题在从IT部门传送问题到部门经理(责任方)处时经常发生。

　　整合解决方案的架构

　　整合解决方案需要支持所有的合规进程，需要为合适的团队应用合适的工具，示例解决方案架构和流程如下图所示：

为什么软件即服务(SaaS)最能适应合规?

　　我们已经了解使用合规单点解决方案将带来的问题，单点解决方案智能解决IT团队需求的一部分，并且还将受到每个团队地理位置的限制。IT部门的所有团队需要一个统一的合规颁发，能够支持每个团队的具体职责同时能够支持团队检的职责分工关系。SaaS方法的好处在于：

　　值得信赖的第三方：能够提供可靠的数据，因为所有主机合规数据和政策都被QualyGuard存储并不受操控，审计者信任信息的完整性和准确性以及产生的报告。

　　部署和可扩展性：当不同的合规团队分散在全球各地时，部署和可扩展性尤其重要。SaaS最适合支持地理分割的团队，而这些团队分别负责整个企业合规的某部分。按期合规扫描可以在特定时间对企业特定区域运行，允许对合规事件进行连续扫描。SaaS作为总体成本考虑将可扩展性移除了，并且合规开始像网络浏览器一样无处不在。

　　无代理：解决方案能够加快部署速度并降低成本。修复配置合规问题并不复杂，仅需要将修复问题让收集合规数据的软件代理解决即可，对于有故障的主机，软件代理不能放入合规报告中。

　　订阅SaaS：模式可以让客户控制合规解决方案而不需要浪费大量资金购买、申请证书和支持基于软件的产品。整个服务是根据每台主机来收费的，没有任何隐藏费用。这与那些涵盖管理控制台、数据收集代理、数据库、合规报表附加模块以及选择合规政策管理等功能的解决方案有着明显的区别。简单的部署、可靠的黄金标准报告以及全面降低TCO都是订阅SaaS方法的主要优势。.

　　基于角色的访问：IT团队在合规过程中都会发挥某种作用，而对于由IT团队组成的企业而言，数据是至关重要的。所有合规团队发挥的作用――IT运作、安全和漏洞管理、内部审计和政策管理，都需要得到支持。即使是外部审计公司都可以作为审计报告以衡量实时合规状况并将咨询的参与流线化。（IT专家网）