企業(yè)如何實(shí)現(xiàn)自動(dòng)化的IT安全合規(guī)管理

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

前言

目前對(duì)于所有公司而言，掌控IT安全風(fēng)險(xiǎn)和法規(guī)遵守要求是兩件至關(guān)重要的事情。在過去的十年中出現(xiàn)了大量前所未有的安全泄漏事故，對(duì)公司信息的完整性造成了嚴(yán)重破壞，并導(dǎo)致大量財(cái)務(wù)和業(yè)務(wù)的損失，同時(shí)讓客戶、合作伙伴和利益相關(guān)者喪失對(duì)公司的信心。這些泄漏事故也讓人們開始建立技術(shù)標(biāo)準(zhǔn)、IT管理框架，并制定了旨在改善加強(qiáng)安全的法律，這也使企業(yè)在更有效地定義、控制和管理他們的IT基礎(chǔ)設(shè)施方面的壓力更加大了。

本文將討論公司面臨的新挑戰(zhàn)，并將SaaS(以安全作為服務(wù))作為簡化安全和合規(guī)的方法以解決以下問題:

定義政策：按照良好的管理模式和最佳操作框架來建立一個(gè)安全的IT基礎(chǔ)設(shè)施。

自動(dòng)化安全評(píng)估，有效地管理漏洞風(fēng)險(xiǎn)。

減輕風(fēng)險(xiǎn)和消除威脅，利用行業(yè)中最值得信賴的漏洞管理應(yīng)用軟件來實(shí)現(xiàn)。

監(jiān)測和衡量網(wǎng)絡(luò)合規(guī)，在一個(gè)統(tǒng)一控制臺(tái)監(jiān)測和衡量網(wǎng)絡(luò)合規(guī)，能夠節(jié)省時(shí)間，確保可靠性和降低成本。

將安全和合規(guī)報(bào)告定制化，以分發(fā)給企業(yè)經(jīng)理、審計(jì)員和安全專業(yè)人員查看。

面臨的挑戰(zhàn)

遵守法規(guī)要求和內(nèi)部的安全政策是企業(yè)能否成功的關(guān)鍵。為了保護(hù)企業(yè)信息的完整性，避免發(fā)生企業(yè)丑聞事件以及保護(hù)客戶隱私權(quán)，新法律和法規(guī)制定，管理各行各業(yè)的企業(yè)，目前一些比較有名的安全法規(guī)包括：

SOX – 2002年頒布的薩班斯-奧克里法案要求制定嚴(yán)格的內(nèi)部管理機(jī)制和對(duì)財(cái)務(wù)信息的獨(dú)立審計(jì)以積極防御欺詐行為。

HIPAA – 1996年頒布的醫(yī)治保險(xiǎn)攜帶和責(zé)任法案要求對(duì)處理和訪問患者的醫(yī)療信息進(jìn)行嚴(yán)格的控制以保護(hù)患者的隱私。

GLBA –1999年頒布的格雷姆-里奇-比利雷法(美國金融服務(wù)法)要求金融機(jī)構(gòu)創(chuàng)建安全流程并不斷對(duì)其進(jìn)行審計(jì)和歸檔，以保護(hù)客戶的非公開的個(gè)人信息，包括防止未經(jīng)授權(quán)的電子訪問的預(yù)防措施等。

FISMA –2002年頒布的聯(lián)邦信息安全管理法案旨在通過每年實(shí)行的審計(jì)工作來加強(qiáng)聯(lián)邦政府及附屬部門的計(jì)算機(jī)和網(wǎng)絡(luò)安全。

除了這些法規(guī)外，企業(yè)通常還會(huì)制定內(nèi)部政策以保護(hù)公司的信息資源、員工、客戶和品牌聲譽(yù)。

運(yùn)用IT管理框架迎戰(zhàn)法規(guī)遵從挑戰(zhàn)

很多面臨著多個(gè)法規(guī)遵從要求的公司現(xiàn)在開始運(yùn)用IT管理框架，以符合大多數(shù)法規(guī)的要求，其中被廣泛采用的三個(gè)框架包括：

COBIT® 4.0 – 由IT管理研究所(ITGI)發(fā)布的COBIT 4.0強(qiáng)調(diào)的是遵守法規(guī)，它能夠幫助企業(yè)實(shí)現(xiàn)并增加IT方面價(jià)值，使企業(yè)實(shí)現(xiàn)其發(fā)展目標(biāo)。COBIT的優(yōu)點(diǎn)在于它非常注重細(xì)節(jié)，這使得它適用于各種層次的企業(yè)。同時(shí)，COBIT還利用了能力成熟度模型集成(CMMI)作為評(píng)估安全流程狀態(tài)的方法。

ISO 17799:2005 (ISO 27001) – 這是IT安全管理的國際標(biāo)準(zhǔn)，它將安全控制劃分為10個(gè)重要部分，每個(gè)部分涵蓋不同的主題或領(lǐng)域。

NIST 800-53 – 由國家標(biāo)準(zhǔn)與技術(shù)研究所發(fā)布的NIST 800-53集合了“聯(lián)邦信息系統(tǒng)推薦使用的安全控制”，它描述了企業(yè)在保護(hù)信息系統(tǒng)時(shí)可以使用的安全控制。

采用控制框架的另一個(gè)好處在于能夠?yàn)楹弦?guī)和安全進(jìn)程建立可重復(fù)的流程，這通常能夠更好的幫助企業(yè)滿足多個(gè)法規(guī)的要求，從整體降低合規(guī)的費(fèi)用。然而，跨團(tuán)隊(duì)進(jìn)程和通信問題還需要解決。

法規(guī)遵從

對(duì)于上市公司以及大型企業(yè)而言，只能通過一些政策和技術(shù)以確保公司符合相關(guān)法規(guī)和政策，并需要實(shí)時(shí)歸檔以用于合規(guī)審計(jì)。在這個(gè)日益復(fù)雜的監(jiān)管環(huán)境，公司IT部門和其他部門的關(guān)系正發(fā)生巨大變化。

不遵守法律法規(guī)和內(nèi)部政策將對(duì)公司造成嚴(yán)重后果以及安全風(fēng)險(xiǎn)問題。保護(hù)客戶數(shù)據(jù)，確保財(cái)務(wù)數(shù)據(jù)的完整信，防止知識(shí)產(chǎn)權(quán)泄漏以及員工個(gè)人信息等問題成為公司最優(yōu)先考慮的問題。高層管理人員開始意識(shí)到問題的重要性，他們開始不斷要求IT經(jīng)理們執(zhí)行與電子系統(tǒng)和網(wǎng)絡(luò)相關(guān)的合規(guī)并歸檔相關(guān)報(bào)表。當(dāng)對(duì)IT人員進(jìn)行工作評(píng)估時(shí)，遵守合規(guī)和審計(jì)結(jié)果開始變得與系統(tǒng)正常運(yùn)行時(shí)間以及性能統(tǒng)計(jì)一樣重要。

特殊合規(guī)管理問題

如今信息化時(shí)代，面對(duì)這些問題的直接反應(yīng)就是盡可能多地加強(qiáng)法規(guī)遵從和文件過程自動(dòng)化。如果沒有自動(dòng)化解決方案，法律法規(guī)的嚴(yán)格要求將讓企業(yè)承擔(dān)不斷增加的成本和風(fēng)險(xiǎn)。不過，目前的自動(dòng)化工具還并不成熟，從針對(duì)特定領(lǐng)域合規(guī)或者針對(duì)特定安全團(tuán)隊(duì)的復(fù)雜產(chǎn)品，到簡單的電子表格的合集。通常情況下，通用配置和風(fēng)險(xiǎn)管理解決方案會(huì)被壓入服務(wù)中，以支持高度個(gè)性化的合規(guī)功能，這需要大量人力資源或者編程工作來核對(duì)通用數(shù)據(jù)與合規(guī)數(shù)據(jù)。但是這樣得到的結(jié)果往往是不準(zhǔn)確的，并且因?yàn)槭褂昧耸止げ僮鬟^程，所以很難定期復(fù)制歸檔。

由于目前還沒有完善的工具，合規(guī)執(zhí)行和文件歸檔仍然屬于相對(duì)較新的商業(yè)領(lǐng)域。不同的商業(yè)單位側(cè)重于不同的方面，利用手頭上有限的工具。例如，通常企業(yè)可能會(huì)有三個(gè)不同的IT團(tuán)隊(duì)來負(fù)責(zé)合規(guī)任務(wù)，包括：

安全和漏洞管理團(tuán)隊(duì)-該團(tuán)隊(duì)的任務(wù)是在應(yīng)用于企業(yè)、員工或者客戶安全之前檢測應(yīng)用程序、數(shù)據(jù)庫以及IT基礎(chǔ)設(shè)施中的漏洞問題。

IT運(yùn)作團(tuán)隊(duì)-通常是由操作系統(tǒng)和應(yīng)用程序管理員團(tuán)隊(duì)組成的，任務(wù)在于“解決”系統(tǒng)中的各種問題。

審計(jì)團(tuán)隊(duì)-該團(tuán)隊(duì)的任務(wù)是定義合規(guī)標(biāo)準(zhǔn)，評(píng)估是否如何標(biāo)準(zhǔn)以及記錄歸檔合規(guī)和違規(guī)事件以備外部審計(jì)或者其他利益相關(guān)者的審計(jì)。