您的位置:360文档中心› IT 管理、风险和遵从解决方案

IT 管理、风险和遵从解决方案

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

WHITE PAPER: IT COMPLIANCE

IT 管理、风险和遵从

解决方案的 8 个主要要求

白皮书:IT 遵从

IT 管理、风险和遵从解决方案的 8 个主要要求

目录

简介 (1)

解决该问题的常用方法 (1)

IT 管理、风险和遵从解决方案的主要要求 (2)

1 - 策略和控制对应 (2)

2 - 策略分发和验证 (3)

3 - 自动评估程序控制 (3)

4 - 自动评估技术控制 (3)

5 - IT 资产存储库 (4)

6 - IT 风险评估 (4)

7 – 补救措施管理 (4)

8 - 灵活的报告和分析 (5)

结论 (5)

简介

当今 IT 安全企业必须应对从网络犯罪、政府法规到与日俱增的 IT 环境本身的复杂性等各种各样的挑战。对于要处理大量客户和员工信息的企业而言,数据泄露的风险比以往任何时候都要高。随着有组织的网络犯罪活动不断的上升,目标性攻击越来越倾向于窃取信息,以达到获取身份信息的目的。2008 年,超过 90% 的数据泄漏事件由执法部门确定为有组织的犯罪活动。1

同时,不断出台的政府法规、行业标准和内部命令使得遵从成为一项难度高、花费大的任务。IT Policy Compliance Group 最近进行的调查指出,70% 的调查对象现在按照合同规定,要履行遵守多个法规、标准和命令的义务。此

外,IT 基础架构的规模和复杂性现在已经达到了一定的级别,与技术标准存在的偏差也非常难以控制。从而就会持续导致配置偏差,致使数据和系统的安全性、可用性与可靠性出现问题。

面对这些 IT 管理、风险和遵从挑战,必须制定完善的安全策略才能保护资产和信息。但是,制定策略仅仅是第一步而已。同时还必须确保这些策略得到有效实施。为了满足战略管理目标,IT 必须以经济高效的方式,持续监控与所制定标准存在的所有偏差,并对此采取相应的补救措施。

所幸的是,很多解决方案都能够应对这些挑战,而每款解决方案都拥有各自的特性和功能。但是,在评估这些解决方案时,公司应该采用什么样的标准呢?本白皮书回答了这个问题,探讨了 IT 管理、风险和遵从 (IT GRC) 解决方案的 8个主要要求。

解决该问题的常用方法

当今很多企业仍然采取清单、电子表格和书面调查问卷的方式手动管理策略遵从。而这个过程往往成本高昂,因为要针对多个命令实施通用控制,不同的团队要制定和管理其自己的程序,致使整个过程总是会出现多余的工作。此外还会导致业务部门以及相关 IT 应用对环境内的策略实施情况缺乏了解。审计员在使用这种手动管理遵从的方法来查找策略、程序、控制和文档之间的偏差时相对容易。但是随后引发的混乱会导致更高的业务风险、更多的审计偏差和更高的审计费用。

一些企业使用一流的单点产品来应对 IT 风险和遵从挑战,进一步增强现有的解决方案。但是,这种东拼西凑的方法需要在硬件、软件、维护、集成和供应商管理方面额外进行投入,因此成本往往非常高。

1. Verizon Business Risk Team,2009 年度数据泄露调查报告

1

IT 管理、风险和遵从解决方案的主要要求

为了在当今提高 IT 安全性和策略实施水平的要求与控制遵从成本和复杂性方面日益增长的需求之间达到平衡,企业

开始寻求更全面的方法来解决 IT GRC 问题。为了帮助您的企业找到恰当的解决方案,以下一组主要要求为评估和计

划奠定了良好基础:

•策略和控制对应

•策略分发和验证

•自动评估程序控制

•自动评估技术控制

•IT 资产存储库

•IT 风险评估

•补救措施管理

•灵活的报告和分析

这个要求列表与 Gartner 行业分析师的建议不谋而合。2此外,IT Policy Compliance Group 的研究指出,对于风险最

低、审计问题最少的企业,采用可以满足所有这些主要要求的解决方案的可能性要高出三倍以上。

1 - 策略和控制对应

无论 IT 策略是为了满足行业法规、最佳实践框架还是内部规定,策略管理都是有效 IT GRC 解决方案的核心所在。

定义和管理策略是一项复杂的任务。为了确保整个企业内的业务流程得以安全执行,IT 策略必须与保护 IT 资产的

技术控制及具体规范员工行为的程序控制相对应。这不仅费时费力,而且成本高昂。例如,IT Policy Compliance

Group 指出,只是将控制指令与 PCI、ISO 或 CobiT 的策略相对应,平均每条控制指令就需要占用一个人一天的时

间。这样的工作致使企业要管理价值不高的内容,同时降低了 IT 对企业的整体作用。

通过利用可以自动执行遵从流程的 IT GRC 解决方案,您可以大大减少管理策略所需的员工数量。通过操作自动化,

您的企业可以针对多个法规、框架和内部规定,制定多项控制要求,因此您只需将指定控制测试一次,即可将结果

应用于多个规定。通过这些功能可以消除多余的工作,这对于节省时间和资源来说是至关重要的。

一些 IT GRC 解决方案也可以通过其他方式来提供帮助,如提供更新的策略内容,包括针对所有相关法规和标准的可

定制策略范本和策略模板。如果供应商监控到法规发生任何变化时(如最近从 PCI 1.1 更新为 PCI 1.2),然后相应

更新了策略内容与控制指令,这样您的企业就可以减轻需要专业知识的负担。

2. Gartner 研究,Mark Nicolett,Paul E. Proctor“2009 年 IT 管理、风险和遵从管理的主要功能”,2009 年 4 月 16 日

2

相关文档
最新文档