RSA专家支招巧应对 企业内控如何落地

安全
据51CTO记者了解,《企业内部控制基本规范》推迟了半年,延期到2010年1月1日再实施,2010年年底,执行企业要出具内控自我评价报告。执行范围也缩小到境外上市公司,之后再扩大到国内上市公司及其它大型企业。

【51CTO.com 综合报道】一年前由财政部、证监会、审计署、银监会、保监会五大部委联合发布的《企业内部控制基本规范》(简称《规范》),如今遇到执行难的问题。7月1日,原本是五部委《规范》正式实施的日子。但是据51CTO记者了解,这一规范推迟了半年,延期到2010年1月1日再实施,2010年年底,执行企业要出具内控自我评价报告。执行范围也缩小到境外上市公司,之后再扩大到国内上市公司及其它大型企业。据专家分析,延期的原因,一是企业的准备工作还不足,有大量工作要做;二是企业执行成本比较大,在经济危机时期形势尤其严峻。

企业IT合规迫在眉睫

尽管《规范》不等同于IT合规,但是跟IT合规有着密切的联系。《规范》第七条指出, 企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。  第四十一条指出,企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。

由此可见,对国内不少大型企业来说,IT合规成了迫在眉睫的事情。无论《规范》何时执行,中国企业的IT合规都是一个必修课。如何高效地实现IT合规,成为管理者关心的话题。

一套方案应对多种法规

其实,除了《规范》以外,企业可能还要面对很多管理规定,例如公安部、国家保密局、国家密码管理局、国务院信息工作办公室四部委下发的《信息安全等级保护管理办法》。对于境外上市的企业来说,要受到更多国际法规约束。据RSA, EMC信息安全事业部全球产品管理与策略副总裁Sam Curry介绍,根据国外的经验,企业有大量的法规和政府需要遵从,例如支付卡行业数据安全标准(PCI DSS)、内部政策、合作伙伴政策、数据隐私法规、巴塞尔II规则等。传统的方法是,逐个满足这些法规的要求。但是法规层出不穷,企业会疲于应对,而且成本高昂。根据Gartner的估计,如果企业单个地解决IT合规的问题,由于重复劳动带来的开销超过150%。

RSA的建议是,用一套通用的框架来解决所有的合规问题,从而简化合规,降低成本。例如,传统的方式下,为符合PCI DSS,需要在端点制定策略,实行监控、身份认证、数据加密等措施;为符合内部政策,需要在网络上防止数据泄漏,实行监控、网络准入控制、数据加密等措施;为符合合作伙伴的政策,需要在数据库和应用上实施日志管理、身份认证、访问控制;为符合数据隐私法规,需要对文件系统和内容管理系统进行监控、身份认证和访问控制;为符合巴塞尔II,需要对存储进行加密和监控。这种分散的方式带来了大量的重复劳动。

 图1 传统的方式造成大量重复劳动
 

在51CTO记者看来,采用RSA的新思路,在底层实施防数据泄漏,然后对敏感数据加密,对密钥进行统一管理,再往上分别进行访问控制、身份认证、监控/报告/审计。这一套框架适用于所有的法规。接受检查时,根据不同法规提供相应的报告就可以了。这样大大减少重复劳动,可以快速地满足新法规的要求,而且降低合规成本。

 图2 以通用框架满足所有法规要求
 

五个构建块解决问题

基于以上的通用框架,RSA用五个核心架建块来最终实现IT合规。这五个构建块的实现中,既有RSA的产品和服务,也有EMC及合作伙伴的产品和服务。

首先,你需要搞清楚,哪些法规和要求适用于你的企业?哪些数据按要求必须保护?关键业务数据(例如客户名单、知识产权、源代码)的类型是什么?这些数据在谁手里——谁应该最终对保护这些数据负责?你能接受的风险级别是什么?

其次,建立你自己的政策和数据分类机制。明白了哪些信息对你的企业重要之后,你需要按照ISO 27002之类的行业框架建立全面的安全政策。在这个政策中,明确你的数据分类机制,例如最高机密、机密、内部使用、对外使用,列出对每一类数据的控制。例如,需要对最高机密的数据进行加密和双因素身份认证,而对内部使用的数据,只要加用户和强品令就可以了。

第三,发现。针对你识别出来的重要数据,你必须能够确定所有这些信息都在你技术环境什么地方,是结构化的还是非结构化的数据?数据存储在哪里?它们是如何移动的?如何访问?谁有访问权限?此外,你必须用IT安全政策检查一下,这些数据是否按照要求/分类和政策进行了保护;确定各类信息的风险级别。之后,制定全面的路线图,显示哪些领域超出了可接受的风险级别。

第四,执行控制框架。对识别出来的领域,下一步就是运用技术控制、政策和程序降低风险。可能的控制手段如:物理安全控制——读卡器、智能卡、摄像头;身份控制——口令、双因素认证;授权控制——基于角色的访问控制、按需提供;监控控制——事件日志、告警,等等。

第五,监控、管理和改进。你需要持续监控安全程序,确保敏感数据能够识别出来,安全政策和控制正常运转。并将风险分析融入到新的控制流程中。

 图3  五个构建块及RSA相应的解决方案
 

此外,Sam还以ISO/IEC 27002这一国际通行的信息安全管理规则为例,介绍了RSA统一框架的实施过程。

责任编辑:赵毅 来源: 51CTO.com
相关推荐

2010-01-11 16:21:57

RSA企业内控法规遵从

2014-12-25 17:47:32

12306数据泄露信息泄露

2009-04-14 10:03:39

企业内控

2009-08-25 10:27:29

IT管理流程企业内控JP1

2012-03-14 11:00:51

企业内控

2014-09-28 10:03:59

2009-07-17 09:45:18

如何选择IT培训IT培训

2011-03-01 10:26:15

私有云

2012-08-03 15:19:10

2009-09-18 09:59:56

2011-06-24 09:27:31

云计算风险

2010-06-02 10:10:26

SVN源码管理

2013-09-22 16:43:49

Radware运营商办公移动化

2010-03-06 22:51:45

2015-08-19 09:15:01

设计老板干涉

2010-09-27 11:23:53

2011-04-15 11:35:10

中小企业云计算

2020-09-21 06:49:08

企业架构战略专家EA疫情

2011-03-09 10:49:32

2010-04-30 16:35:47

点赞
收藏

51CTO技术栈公众号