監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

企業(yè)IT合規(guī)管理加入更多信息元素

申請免費(fèi)試用、咨詢電話:400-8352-114

來源:泛普軟件

如今,商業(yè)伙伴關(guān)系、已知/未知的安全威脅、服務(wù)水平協(xié)議(SLA)以及業(yè)務(wù)和技術(shù)帶來的其他因素等都表明,信息安全和隱私合規(guī)項(xiàng)目與內(nèi)部需求有著緊密的聯(lián)系。

在當(dāng)今這個復(fù)雜的世界管理合規(guī)最有效的方法是通過整體的規(guī)范的方法來積極應(yīng)對合規(guī)問題,而不是把合規(guī)當(dāng)作被動的任務(wù)。在信息安全保障領(lǐng)域,IT部門一直專注于運(yùn)作效率和性能等問題,而信息安全問題卻很少被提及,盡管一些早期條例(如聯(lián)邦教育權(quán)利和隱私權(quán)等)明確了數(shù)據(jù)隱私和安全的基準(zhǔn)。最早出現(xiàn)的安全和隱私條款的行業(yè)包括金融服務(wù)和公用事業(yè)等領(lǐng)域,這些條款高度管制,但是范圍有限。這些條款中往往沒有制裁規(guī)定,意味著企業(yè)不遵守合規(guī)條例而無需受到懲罰。

1996年頒布的醫(yī)治保險攜帶和責(zé)任法案(HIPAA,Health Insurance Portability and Accountability Act)從此開啟了信息安全和隱私合規(guī)的時代,這是第一個范圍廣泛的法規(guī),包含了重要的信息安全和隱私方面的要求。由于HIPAA法案涵蓋了很多不同的業(yè)務(wù)領(lǐng)域,包括IT運(yùn)維、信息安全、人力資源管理和審計等,該法案讓很多企業(yè)開始為不同的部門規(guī)劃合規(guī)計劃,以實(shí)現(xiàn)具體的跨職能合規(guī)目標(biāo)。HIPAA以及新出現(xiàn)的信息管理框架(ISACA的COBIT以及IS017799等)為企業(yè)建立更全面的信息安全和隱私合規(guī)管理提供了幫助。

隨著信息安全法律法規(guī)的不斷發(fā)展,黃金標(biāo)準(zhǔn)SOX法案(薩班斯法案)應(yīng)運(yùn)而生,SOX法案已經(jīng)成為美國所有上市公司必須遵守的法案,其中既有民事制裁又有刑事制裁來處置非合規(guī)行為,這些懲罰適用于C級管理層。

SOX法案開始實(shí)行后,所有公司董事會都開始關(guān)注安全合規(guī)問題。引起企業(yè)高層管理人員的重視后,SOX通過幫助企業(yè)制定全面的基于項(xiàng)目的方法來解決安全和隱私合規(guī)問題,所有合規(guī)相關(guān)的合規(guī)報告和數(shù)據(jù)都成為公司成功運(yùn)作的關(guān)鍵。

SOX已經(jīng)成為合規(guī)驅(qū)動的信息安全保障的未來發(fā)展方向的一項(xiàng)重要指標(biāo),我們需要制定一個全面的完善的計劃來為大多數(shù)企業(yè)提供解決安全和隱私合規(guī)問題的必要能力,但是制定這樣的計劃不是簡單的事情,必須獲得整個企業(yè)的支持。下面列出的是很多公司都會遇到的常見問題:

針對性合規(guī)心態(tài)。 有了范圍廣泛的法案以及制裁措施,短期來看信息安全保障可以很容易的實(shí)現(xiàn):通過集中大量安全和隱私力量在單一的法規(guī)條例上即可。這種針對性合規(guī)心態(tài)的危險在于企業(yè)會陷入“核對表格進(jìn)行合規(guī)”的境地,意味著通過降低風(fēng)險和提高安全性來促進(jìn)合規(guī)。

將合規(guī)作為時間點(diǎn)執(zhí)行的事件。內(nèi)部和外部審計能夠?yàn)槠髽I(yè)提供有效的反饋意見和建議,但如果企業(yè)只是專注于審計本身,而不重視旨在保護(hù)企業(yè)的基于風(fēng)險的決策,那么在非審計期間這些風(fēng)險帶來的威脅會更高。

僅涉及技術(shù)而不涉及業(yè)務(wù)。IT管理、風(fēng)險和合規(guī)(GRC)的目的在于最大限度地包含業(yè)務(wù)流程,如果企業(yè)抱著“把技術(shù)力量全投進(jìn)去看看會怎樣”的心態(tài)對待合規(guī)問題的話,就失去了信息安全和隱私的真正潛在價值和意義。

未能獲取企業(yè)的支持。IT的GRC是一個涉及面很廣的項(xiàng)目,需要獲取企業(yè)各部門的支持,包括IT部門、人力資源和金融部門等。然而,在很多企業(yè),這些部門都不太愿意配合。

數(shù)據(jù)和報表不一致問題。 企業(yè)只能管理所能控制的范圍,而企業(yè)只能控制本身可以界定和衡量的范圍。數(shù)據(jù)和報表的不一致可能導(dǎo)致企業(yè)不受控制,對企業(yè)造成不良影響。

在處理復(fù)雜的各種安全和隱私問題時還要避免這些錯誤確實(shí)不是易事,即便是大型企業(yè)。當(dāng)企業(yè)開始制定企業(yè)范圍內(nèi)的GRC計劃時,避免上文所述的常見錯誤是很重要的,以下是幾條建議:

全面執(zhí)行合規(guī)。有效地解決信息安全問題需要涉及所有與合規(guī)相關(guān)的問題,包括法規(guī)條例、企業(yè)采取的最佳做法和框架、業(yè)務(wù)合作伙伴協(xié)議、內(nèi)部政策以及已知威脅等。對軟件平臺的標(biāo)準(zhǔn)化能夠?yàn)?a href="http://keekorok-lodge.com/gongsi/xt/" target="_blank">企業(yè)管理安全和隱私合規(guī)問題創(chuàng)造價值,但是對支持所有合規(guī)相關(guān)驅(qū)動的靈活工具的標(biāo)準(zhǔn)化也是很重要的,而不只是支持選定的規(guī)章條例和最佳做法,因?yàn)檫@些都不一定被企業(yè)接受。

建議一個IT GRC計劃。一項(xiàng)IT GRC計劃是完整的業(yè)務(wù)過程,需要專職人員以及溝通和管理工具,雖然這些工具能夠?yàn)楹弦?guī)過程提供幫助,但是它們并不能取代人力以及構(gòu)成IT GRC基礎(chǔ)的流程。合規(guī)程序并沒有類似“獄吏”的統(tǒng)一軟件平臺為IT GRC提高信息安全保障的成功率,但是信息安全保障項(xiàng)目能夠推動IT GRC軟件的運(yùn)行。

根據(jù)風(fēng)險制定決策。確定和衡量信息以及其他資產(chǎn)的風(fēng)險是信息安全保障的核心功能,可以采用不同的方式來確定風(fēng)險,但一般涉及到(最低限度):資產(chǎn)文件、威脅識別和風(fēng)險指標(biāo)等。如果使用多個單點(diǎn)解決方案來管理IT GRC,需要確保這些工具足夠支持多種風(fēng)險定義。

溝通第一。 IT GRC十億個業(yè)務(wù)流程,為確保成功,獲取執(zhí)行層人員的支持尤為關(guān)鍵,因?yàn)镃級管理人員往往可以清除企業(yè)內(nèi)存在的障礙,通過利用權(quán)威來繞過其他可能阻礙計劃進(jìn)行的政治限制等。

為提供有效溝通交流,IT GRC軟件平臺應(yīng)為不同類別的用戶(IT運(yùn)維、安全人員、風(fēng)險管理人員、審計員和C級管理人員等)提供查看與其相關(guān)聯(lián)的風(fēng)險與合規(guī)數(shù)據(jù)的能力,同時控制訪問權(quán)限以保證適當(dāng)?shù)穆氊?zé)分離。

建立衡量風(fēng)險和報表的基準(zhǔn)。為IT GRC項(xiàng)目保持通訊框架是至關(guān)重要的,同時也要確保公司內(nèi)部的一致性,IT GRC項(xiàng)目應(yīng)該使用統(tǒng)一的測量法和指標(biāo)以確保各部門對風(fēng)險與合規(guī)的意見彼此符合。

由于信息安全和隱私的法律法規(guī)日益復(fù)雜,企業(yè)應(yīng)當(dāng)及時處理新法規(guī)的要求,包括業(yè)務(wù)合作伙伴協(xié)議、內(nèi)部SLA、不斷發(fā)展的技術(shù)和不斷出現(xiàn)的威脅等。IT GRC程序可以鑒定合規(guī)要求間的重復(fù)與模糊性,企業(yè)需要建立一個集中的業(yè)務(wù)流程和工具平臺來處理合規(guī)問題,并允許利益相關(guān)者使用統(tǒng)一的測量法和指標(biāo)來查明和處理企業(yè)的安全和隱私狀態(tài)。(IT專家網(wǎng))

 

發(fā)布:2007-04-25 16:49    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普泛普博客其他應(yīng)用

泛普OA商務(wù)合同 泛普OA需求調(diào)研 泛普OA實(shí)施方案 泛普OA項(xiàng)目啟動 泛普網(wǎng)絡(luò)硬件配置 泛普OA部署安裝 泛普流程模板表單 OA系統(tǒng)二次開發(fā) 泛普常見問題解決 泛普OA操作手冊 泛普軟件項(xiàng)目驗(yàn)收 泛普培訓(xùn)推廣上線 泛普OA售后服務(wù) 泛普新聞 泛普期刊 泛普博客