【51CTO.com 綜合報(bào)道】一年前由財(cái)政部、證監(jiān)會、審計(jì)署、銀監(jiān)會、保監(jiān)會五大部委聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》（簡稱《規(guī)范》），如今遇到執(zhí)行難的問題。7月1日，原本是五部委《規(guī)范》正式實(shí)施的日子。但是據(jù)51CTO記者了解，這一規(guī)范推遲了半年，延期到2010年1月1日再實(shí)施，2010年年底，執(zhí)行企業(yè)要出具內(nèi)控自我評價(jià)報(bào)告。執(zhí)行范圍也縮小到境外上市公司，之后再擴(kuò)大到國內(nèi)上市公司及其它大型企業(yè)。據(jù)專家分析，延期的原因，一是企業(yè)的準(zhǔn)備工作還不足，有大量工作要做；二是企業(yè)執(zhí)行成本比較大，在經(jīng)濟(jì)危機(jī)時(shí)期形勢尤其嚴(yán)峻。

企業(yè)IT合規(guī)迫在眉睫

盡管《規(guī)范》不等同于IT合規(guī)，但是跟IT合規(guī)有著密切的聯(lián)系?！兑?guī)范》第七條指出， 企業(yè)應(yīng)當(dāng)運(yùn)用信息技術(shù)加強(qiáng)內(nèi)部控制，建立與經(jīng)營管理相適應(yīng)的信息系統(tǒng)，促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合，實(shí)現(xiàn)對業(yè)務(wù)和事項(xiàng)的自動控制，減少或消除人為操縱因素。　　第四十一條指出，企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對信息系統(tǒng)開發(fā)與維護(hù)、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行。

由此可見，對國內(nèi)不少大型企業(yè)來說，IT合規(guī)成了迫在眉睫的事情。無論《規(guī)范》何時(shí)執(zhí)行，中國企業(yè)的IT合規(guī)都是一個必修課。如何高效地實(shí)現(xiàn)IT合規(guī)，成為管理者關(guān)心的話題。

一套方案應(yīng)對多種法規(guī)

其實(shí)，除了《規(guī)范》以外，企業(yè)可能還要面對很多管理規(guī)定，例如公安部、國家保密局、國家密碼管理局、國務(wù)院信息工作辦公室四部委下發(fā)的《信息安全等級保護(hù)管理辦法》。對于境外上市的企業(yè)來說，要受到更多國際法規(guī)約束。據(jù)RSA, EMC信息安全事業(yè)部全球產(chǎn)品管理與策略副總裁Sam Curry介紹，根據(jù)國外的經(jīng)驗(yàn)，企業(yè)有大量的法規(guī)和政府需要遵從，例如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)、內(nèi)部政策、合作伙伴政策、數(shù)據(jù)隱私法規(guī)、巴塞爾II規(guī)則等。傳統(tǒng)的方法是，逐個滿足這些法規(guī)的要求。但是法規(guī)層出不窮，企業(yè)會疲于應(yīng)對，而且成本高昂。根據(jù)Gartner的估計(jì)，如果企業(yè)單個地解決IT合規(guī)的問題，由于重復(fù)勞動帶來的開銷超過150%。

RSA的建議是，用一套通用的框架來解決所有的合規(guī)問題，從而簡化合規(guī)，降低成本。例如，傳統(tǒng)的方式下，為符合PCI DSS，需要在端點(diǎn)制定策略，實(shí)行監(jiān)控、身份認(rèn)證、數(shù)據(jù)加密等措施；為符合內(nèi)部政策，需要在網(wǎng)絡(luò)上防止數(shù)據(jù)泄漏，實(shí)行監(jiān)控、網(wǎng)絡(luò)準(zhǔn)入控制、數(shù)據(jù)加密等措施；為符合合作伙伴的政策，需要在數(shù)據(jù)庫和應(yīng)用上實(shí)施日志管理、身份認(rèn)證、訪問控制；為符合數(shù)據(jù)隱私法規(guī)，需要對文件系統(tǒng)和內(nèi)容管理系統(tǒng)進(jìn)行監(jiān)控、身份認(rèn)證和訪問控制；為符合巴塞爾II，需要對存儲進(jìn)行加密和監(jiān)控。這種分散的方式帶來了大量的重復(fù)勞動。

 圖1 傳統(tǒng)的方式造成大量重復(fù)勞動
 

在51CTO記者看來，采用RSA的新思路，在底層實(shí)施防數(shù)據(jù)泄漏，然后對敏感數(shù)據(jù)加密，對密鑰進(jìn)行統(tǒng)一管理，再往上分別進(jìn)行訪問控制、身份認(rèn)證、監(jiān)控/報(bào)告/審計(jì)。這一套框架適用于所有的法規(guī)。接受檢查時(shí)，根據(jù)不同法規(guī)提供相應(yīng)的報(bào)告就可以了。這樣大大減少重復(fù)勞動，可以快速地滿足新法規(guī)的要求，而且降低合規(guī)成本。

 圖2 以通用框架滿足所有法規(guī)要求
 

五個構(gòu)建塊解決問題

基于以上的通用框架，RSA用五個核心架建塊來最終實(shí)現(xiàn)IT合規(guī)。這五個構(gòu)建塊的實(shí)現(xiàn)中，既有RSA的產(chǎn)品和服務(wù)，也有EMC及合作伙伴的產(chǎn)品和服務(wù)。

首先，你需要搞清楚，哪些法規(guī)和要求適用于你的企業(yè)？哪些數(shù)據(jù)按要求必須保護(hù)？關(guān)鍵業(yè)務(wù)數(shù)據(jù)（例如客戶名單、知識產(chǎn)權(quán)、源代碼）的類型是什么？這些數(shù)據(jù)在誰手里——誰應(yīng)該最終對保護(hù)這些數(shù)據(jù)負(fù)責(zé)？你能接受的風(fēng)險(xiǎn)級別是什么？

其次，建立你自己的政策和數(shù)據(jù)分類機(jī)制。明白了哪些信息對你的企業(yè)重要之后，你需要按照ISO 27002之類的行業(yè)框架建立全面的安全政策。在這個政策中，明確你的數(shù)據(jù)分類機(jī)制，例如最高機(jī)密、機(jī)密、內(nèi)部使用、對外使用，列出對每一類數(shù)據(jù)的控制。例如，需要對最高機(jī)密的數(shù)據(jù)進(jìn)行加密和雙因素身份認(rèn)證，而對內(nèi)部使用的數(shù)據(jù)，只要加用戶和強(qiáng)品令就可以了。

第三，發(fā)現(xiàn)。針對你識別出來的重要數(shù)據(jù)，你必須能夠確定所有這些信息都在你技術(shù)環(huán)境什么地方，是結(jié)構(gòu)化的還是非結(jié)構(gòu)化的數(shù)據(jù)？數(shù)據(jù)存儲在哪里？它們是如何移動的？如何訪問？誰有訪問權(quán)限？此外，你必須用IT安全政策檢查一下，這些數(shù)據(jù)是否按照要求/分類和政策進(jìn)行了保護(hù)；確定各類信息的風(fēng)險(xiǎn)級別。之后，制定全面的路線圖，顯示哪些領(lǐng)域超出了可接受的風(fēng)險(xiǎn)級別。

第四，執(zhí)行控制框架。對識別出來的領(lǐng)域，下一步就是運(yùn)用技術(shù)控制、政策和程序降低風(fēng)險(xiǎn)?？赡艿目刂剖侄稳纾何锢戆踩刂啤x卡器、智能卡、攝像頭；身份控制——口令、雙因素認(rèn)證；授權(quán)控制——基于角色的訪問控制、按需提供；監(jiān)控控制——事件日志、告警，等等。

第五，監(jiān)控、管理和改進(jìn)。你需要持續(xù)監(jiān)控安全程序，確保敏感數(shù)據(jù)能夠識別出來，安全政策和控制正常運(yùn)轉(zhuǎn)。并將風(fēng)險(xiǎn)分析融入到新的控制流程中。

 圖3  五個構(gòu)建塊及RSA相應(yīng)的解決方案
 

此外，Sam還以ISO/IEC 27002這一國際通行的信息安全管理規(guī)則為例，介紹了RSA統(tǒng)一框架的實(shí)施過程。