【51CTO.com 综合报道】一年前由财政部、证监会、审计署、银监会、保监会五大部委联合发布的《企业内部控制基本规范》(简称《规范》),如今遇到执行难的问题。7月1日,原本是五部委《规范》正式实施的日子。但是据51CTO记者了解,这一规范推迟了半年,延期到2010年1月1日再实施,2010年年底,执行企业要出具内控自我评价报告。执行范围也缩小到境外上市公司,之后再扩大到国内上市公司及其它大型企业。据专家分析,延期的原因,一是企业的准备工作还不足,有大量工作要做;二是企业执行成本比较大,在经济危机时期形势尤其严峻。
企业IT合规迫在眉睫
尽管《规范》不等同于IT合规,但是跟IT合规有着密切的联系。《规范》第七条指出, 企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。 第四十一条指出,企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
由此可见,对国内不少大型企业来说,IT合规成了迫在眉睫的事情。无论《规范》何时执行,中国企业的IT合规都是一个必修课。如何高效地实现IT合规,成为管理者关心的话题。
一套方案应对多种法规
其实,除了《规范》以外,企业可能还要面对很多管理规定,例如公安部、国家保密局、国家密码管理局、国务院信息工作办公室四部委下发的《信息安全等级保护管理办法》。对于境外上市的企业来说,要受到更多国际法规约束。据RSA, EMC信息安全事业部全球产品管理与策略副总裁Sam Curry介绍,根据国外的经验,企业有大量的法规和政府需要遵从,例如支付卡行业数据安全标准(PCI DSS)、内部政策、合作伙伴政策、数据隐私法规、巴塞尔II规则等。传统的方法是,逐个满足这些法规的要求。但是法规层出不穷,企业会疲于应对,而且成本高昂。根据Gartner的估计,如果企业单个地解决IT合规的问题,由于重复劳动带来的开销超过150%。
RSA的建议是,用一套通用的框架来解决所有的合规问题,从而简化合规,降低成本。例如,传统的方式下,为符合PCI DSS,需要在端点制定策略,实行监控、身份认证、数据加密等措施;为符合内部政策,需要在网络上防止数据泄漏,实行监控、网络准入控制、数据加密等措施;为符合合作伙伴的政策,需要在数据库和应用上实施日志管理、身份认证、访问控制;为符合数据隐私法规,需要对文件系统和内容管理系统进行监控、身份认证和访问控制;为符合巴塞尔II,需要对存储进行加密和监控。这种分散的方式带来了大量的重复劳动。
图1 传统的方式造成大量重复劳动
在51CTO记者看来,采用RSA的新思路,在底层实施防数据泄漏,然后对敏感数据加密,对密钥进行统一管理,再往上分别进行访问控制、身份认证、监控/报告/审计。这一套框架适用于所有的法规。接受检查时,根据不同法规提供相应的报告就可以了。这样大大减少重复劳动,可以快速地满足新法规的要求,而且降低合规成本。
图2 以通用框架满足所有法规要求
五个构建块解决问题
基于以上的通用框架,RSA用五个核心架建块来最终实现IT合规。这五个构建块的实现中,既有RSA的产品和服务,也有EMC及合作伙伴的产品和服务。
首先,你需要搞清楚,哪些法规和要求适用于你的企业?哪些数据按要求必须保护?关键业务数据(例如客户名单、知识产权、源代码)的类型是什么?这些数据在谁手里——谁应该最终对保护这些数据负责?你能接受的风险级别是什么?
其次,建立你自己的政策和数据分类机制。明白了哪些信息对你的企业重要之后,你需要按照ISO 27002之类的行业框架建立全面的安全政策。在这个政策中,明确你的数据分类机制,例如最高机密、机密、内部使用、对外使用,列出对每一类数据的控制。例如,需要对最高机密的数据进行加密和双因素身份认证,而对内部使用的数据,只要加用户和强品令就可以了。
第三,发现。针对你识别出来的重要数据,你必须能够确定所有这些信息都在你技术环境什么地方,是结构化的还是非结构化的数据?数据存储在哪里?它们是如何移动的?如何访问?谁有访问权限?此外,你必须用IT安全政策检查一下,这些数据是否按照要求/分类和政策进行了保护;确定各类信息的风险级别。之后,制定全面的路线图,显示哪些领域超出了可接受的风险级别。
第四,执行控制框架。对识别出来的领域,下一步就是运用技术控制、政策和程序降低风险。可能的控制手段如:物理安全控制——读卡器、智能卡、摄像头;身份控制——口令、双因素认证;授权控制——基于角色的访问控制、按需提供;监控控制——事件日志、告警,等等。
第五,监控、管理和改进。你需要持续监控安全程序,确保敏感数据能够识别出来,安全政策和控制正常运转。并将风险分析融入到新的控制流程中。
图3 五个构建块及RSA相应的解决方案
此外,Sam还以ISO/IEC 27002这一国际通行的信息安全管理规则为例,介绍了RSA统一框架的实施过程。