當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普服務(wù)體系 > 泛普博客
企業(yè)IT合規(guī)管理加入更多信息元素
如今,商業(yè)伙伴關(guān)系、已知/未知的安全威脅、服務(wù)水平協(xié)議(SLA)以及業(yè)務(wù)和技術(shù)帶來的其他因素等都表明,信息安全和隱私合規(guī)項(xiàng)目與內(nèi)部需求有著緊密的聯(lián)系。
在當(dāng)今這個復(fù)雜的世界管理合規(guī)最有效的方法是通過整體的規(guī)范的方法來積極應(yīng)對合規(guī)問題,而不是把合規(guī)當(dāng)作被動的任務(wù)。在信息安全保障領(lǐng)域,IT部門一直專注于運(yùn)作效率和性能等問題,而信息安全問題卻很少被提及,盡管一些早期條例(如聯(lián)邦教育權(quán)利和隱私權(quán)等)明確了數(shù)據(jù)隱私和安全的基準(zhǔn)。最早出現(xiàn)的安全和隱私條款的行業(yè)包括金融服務(wù)和公用事業(yè)等領(lǐng)域,這些條款高度管制,但是范圍有限。這些條款中往往沒有制裁規(guī)定,意味著企業(yè)不遵守合規(guī)條例而無需受到懲罰。
1996年頒布的醫(yī)治保險攜帶和責(zé)任法案(HIPAA,Health Insurance Portability and Accountability Act)從此開啟了信息安全和隱私合規(guī)的時代,這是第一個范圍廣泛的法規(guī),包含了重要的信息安全和隱私方面的要求。由于HIPAA法案涵蓋了很多不同的業(yè)務(wù)領(lǐng)域,包括IT運(yùn)維、信息安全、人力資源管理和審計等,該法案讓很多企業(yè)開始為不同的部門規(guī)劃合規(guī)計劃,以實(shí)現(xiàn)具體的跨職能合規(guī)目標(biāo)。HIPAA以及新出現(xiàn)的信息管理框架(ISACA的COBIT以及IS017799等)為企業(yè)建立更全面的信息安全和隱私合規(guī)管理提供了幫助。
隨著信息安全法律法規(guī)的不斷發(fā)展,黃金標(biāo)準(zhǔn)SOX法案(薩班斯法案)應(yīng)運(yùn)而生,SOX法案已經(jīng)成為美國所有上市公司必須遵守的法案,其中既有民事制裁又有刑事制裁來處置非合規(guī)行為,這些懲罰適用于C級管理層。
SOX法案開始實(shí)行后,所有公司董事會都開始關(guān)注安全合規(guī)問題。引起企業(yè)高層管理人員的重視后,SOX通過幫助企業(yè)制定全面的基于項(xiàng)目的方法來解決安全和隱私合規(guī)問題,所有合規(guī)相關(guān)的合規(guī)報告和數(shù)據(jù)都成為公司成功運(yùn)作的關(guān)鍵。
SOX已經(jīng)成為合規(guī)驅(qū)動的信息安全保障的未來發(fā)展方向的一項(xiàng)重要指標(biāo),我們需要制定一個全面的完善的計劃來為大多數(shù)企業(yè)提供解決安全和隱私合規(guī)問題的必要能力,但是制定這樣的計劃不是簡單的事情,必須獲得整個企業(yè)的支持。下面列出的是很多公司都會遇到的常見問題:
針對性合規(guī)心態(tài)。 有了范圍廣泛的法案以及制裁措施,短期來看信息安全保障可以很容易的實(shí)現(xiàn):通過集中大量安全和隱私力量在單一的法規(guī)條例上即可。這種針對性合規(guī)心態(tài)的危險在于企業(yè)會陷入“核對表格進(jìn)行合規(guī)”的境地,意味著通過降低風(fēng)險和提高安全性來促進(jìn)合規(guī)。
將合規(guī)作為時間點(diǎn)執(zhí)行的事件。內(nèi)部和外部審計能夠?yàn)槠髽I(yè)提供有效的反饋意見和建議,但如果企業(yè)只是專注于審計本身,而不重視旨在保護(hù)企業(yè)的基于風(fēng)險的決策,那么在非審計期間這些風(fēng)險帶來的威脅會更高。
僅涉及技術(shù)而不涉及業(yè)務(wù)。IT管理、風(fēng)險和合規(guī)(GRC)的目的在于最大限度地包含業(yè)務(wù)流程,如果企業(yè)抱著“把技術(shù)力量全投進(jìn)去看看會怎樣”的心態(tài)對待合規(guī)問題的話,就失去了信息安全和隱私的真正潛在價值和意義。
未能獲取企業(yè)的支持。IT的GRC是一個涉及面很廣的項(xiàng)目,需要獲取企業(yè)各部門的支持,包括IT部門、人力資源和金融部門等。然而,在很多企業(yè),這些部門都不太愿意配合。
數(shù)據(jù)和報表不一致問題。 企業(yè)只能管理所能控制的范圍,而企業(yè)只能控制本身可以界定和衡量的范圍。數(shù)據(jù)和報表的不一致可能導(dǎo)致企業(yè)不受控制,對企業(yè)造成不良影響。
在處理復(fù)雜的各種安全和隱私問題時還要避免這些錯誤確實(shí)不是易事,即便是大型企業(yè)。當(dāng)企業(yè)開始制定企業(yè)范圍內(nèi)的GRC計劃時,避免上文所述的常見錯誤是很重要的,以下是幾條建議:
全面執(zhí)行合規(guī)。有效地解決信息安全問題需要涉及所有與合規(guī)相關(guān)的問題,包括法規(guī)條例、企業(yè)采取的最佳做法和框架、業(yè)務(wù)合作伙伴協(xié)議、內(nèi)部政策以及已知威脅等。對軟件平臺的標(biāo)準(zhǔn)化能夠?yàn)?a href="http://keekorok-lodge.com/gongsi/xt/" target="_blank">企業(yè)管理安全和隱私合規(guī)問題創(chuàng)造價值,但是對支持所有合規(guī)相關(guān)驅(qū)動的靈活工具的標(biāo)準(zhǔn)化也是很重要的,而不只是支持選定的規(guī)章條例和最佳做法,因?yàn)檫@些都不一定被企業(yè)接受。
建議一個IT GRC計劃。一項(xiàng)IT GRC計劃是完整的業(yè)務(wù)過程,需要專職人員以及溝通和管理工具,雖然這些工具能夠?yàn)楹弦?guī)過程提供幫助,但是它們并不能取代人力以及構(gòu)成IT GRC基礎(chǔ)的流程。合規(guī)程序并沒有類似“獄吏”的統(tǒng)一軟件平臺為IT GRC提高信息安全保障的成功率,但是信息安全保障項(xiàng)目能夠推動IT GRC軟件的運(yùn)行。
根據(jù)風(fēng)險制定決策。確定和衡量信息以及其他資產(chǎn)的風(fēng)險是信息安全保障的核心功能,可以采用不同的方式來確定風(fēng)險,但一般涉及到(最低限度):資產(chǎn)文件、威脅識別和風(fēng)險指標(biāo)等。如果使用多個單點(diǎn)解決方案來管理IT GRC,需要確保這些工具足夠支持多種風(fēng)險定義。
溝通第一。 IT GRC十億個業(yè)務(wù)流程,為確保成功,獲取執(zhí)行層人員的支持尤為關(guān)鍵,因?yàn)镃級管理人員往往可以清除企業(yè)內(nèi)存在的障礙,通過利用權(quán)威來繞過其他可能阻礙計劃進(jìn)行的政治限制等。
為提供有效溝通交流,IT GRC軟件平臺應(yīng)為不同類別的用戶(IT運(yùn)維、安全人員、風(fēng)險管理人員、審計員和C級管理人員等)提供查看與其相關(guān)聯(lián)的風(fēng)險與合規(guī)數(shù)據(jù)的能力,同時控制訪問權(quán)限以保證適當(dāng)?shù)穆氊?zé)分離。
建立衡量風(fēng)險和報表的基準(zhǔn)。為IT GRC項(xiàng)目保持通訊框架是至關(guān)重要的,同時也要確保公司內(nèi)部的一致性,IT GRC項(xiàng)目應(yīng)該使用統(tǒng)一的測量法和指標(biāo)以確保各部門對風(fēng)險與合規(guī)的意見彼此符合。
由于信息安全和隱私的法律法規(guī)日益復(fù)雜,企業(yè)應(yīng)當(dāng)及時處理新法規(guī)的要求,包括業(yè)務(wù)合作伙伴協(xié)議、內(nèi)部SLA、不斷發(fā)展的技術(shù)和不斷出現(xiàn)的威脅等。IT GRC程序可以鑒定合規(guī)要求間的重復(fù)與模糊性,企業(yè)需要建立一個集中的業(yè)務(wù)流程和工具平臺來處理合規(guī)問題,并允許利益相關(guān)者使用統(tǒng)一的測量法和指標(biāo)來查明和處理企業(yè)的安全和隱私狀態(tài)。(IT專家網(wǎng))
- 1OA系統(tǒng)可以改善原有的IT系統(tǒng)
- 2中小企業(yè)信息化為什么會失敗
- 3OA辦公系統(tǒng)與支持管理控制活動的管理信息系統(tǒng)相結(jié)合
- 4中國式管理 儒學(xué)五常治企之道
- 5民企夫妻檔:做好1+12的上陣夫妻兵
- 6OA軟件業(yè)經(jīng)過從80年代末至今的發(fā)展
- 7揭秘中國網(wǎng)絡(luò)管理軟件市場競爭態(tài)勢
- 8低價商業(yè)模式的賺錢秘籍
- 9電腦-網(wǎng)絡(luò)-OA平臺――企業(yè)在逐步信息化的進(jìn)程中
- 10歐安組織代表將同俄烏官員調(diào)查客車遇襲事件
- 11OA市場經(jīng)過10年的發(fā)展,取得了十分明顯的進(jìn)步
- 12企業(yè)信息化選型過程中應(yīng)注意六項(xiàng)禁忌
- 13望京水環(huán)境保護(hù)外教公益講座
- 14[服裝管理軟件]服裝產(chǎn)業(yè)渠道銷售之痛
- 15顧問公司幫助企業(yè)實(shí)施CRM有哪些好處
- 16冬季網(wǎng)購熱潮來襲 北京警示企業(yè)規(guī)范網(wǎng)絡(luò)零售促銷
- 17移動互聯(lián)網(wǎng)時代,支付寶怎樣才能重塑品牌
- 18泛普軟件告訴您OA辦公系統(tǒng)中常見的安全問題和安全策略
- 19中小企業(yè)CRM 如何實(shí)現(xiàn)低成本高回報
- 20調(diào)查稱73%受訪者曾在醫(yī)院重復(fù)檢查 跨院互認(rèn)難
- 21企業(yè)管理:人情與制度的關(guān)系
- 22OA在企業(yè)應(yīng)用松耦合集成方面具有獨(dú)有的優(yōu)越性和先進(jìn)性
- 23協(xié)同OA 行業(yè)飛速發(fā)展,為企業(yè)管理吹來陣陣“東風(fēng)”
- 24泛普軟件專家指出,主流的OA辦公系統(tǒng)的流程管理功能已經(jīng)變得強(qiáng)大了
- 25泛普OA辦公系統(tǒng)的工作流特點(diǎn):
- 26日本調(diào)查:低收入男性與高收入女性工作意愿低
- 27如何在托管型CRM中保護(hù)客戶隱私
- 28沒有了協(xié)同OA辦公系統(tǒng)的支撐,那么,快節(jié)奏也就無從談起
- 29小協(xié)同功能上OA辦公系統(tǒng)的成家考慮不周到
- 30英國健身房調(diào)查:72歲會員鍛煉最頻繁,月平均8次
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓