【51CTO.com 綜合報道】一年前由財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會五大部委聯(lián)合發(fā)布的《企業(yè)內部控制基本規(guī)范》（簡稱《規(guī)范》），如今遇到執(zhí)行難的問題。7月1日，原本是五部委《規(guī)范》正式實施的日子。但是據(jù)51CTO記者了解，這一規(guī)范推遲了半年，延期到2010年1月1日再實施，2010年年底，執(zhí)行企業(yè)要出具內控自我評價報告。執(zhí)行范圍也縮小到境外上市公司，之后再擴大到國內上市公司及其它大型企業(yè)。據(jù)專家分析，延期的原因，一是企業(yè)的準備工作還不足，有大量工作要做；二是企業(yè)執(zhí)行成本比較大，在經濟危機時期形勢尤其嚴峻。

企業(yè)IT合規(guī)迫在眉睫

盡管《規(guī)范》不等同于IT合規(guī)，但是跟IT合規(guī)有著密切的聯(lián)系。《規(guī)范》第七條指出， 企業(yè)應當運用信息技術加強內部控制，建立與經營管理相適應的信息系統(tǒng)，促進內部控制流程與信息系統(tǒng)的有機結合，實現(xiàn)對業(yè)務和事項的自動控制，減少或消除人為操縱因素。　　第四十一條指出，企業(yè)應當利用信息技術促進信息的集成與共享，充分發(fā)揮信息技術在信息與溝通中的作用。企業(yè)應當加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行。

由此可見，對國內不少大型企業(yè)來說，IT合規(guī)成了迫在眉睫的事情。無論《規(guī)范》何時執(zhí)行，中國企業(yè)的IT合規(guī)都是一個必修課。如何高效地實現(xiàn)IT合規(guī)，成為管理者關心的話題。

一套方案應對多種法規(guī)

其實，除了《規(guī)范》以外，企業(yè)可能還要面對很多管理規(guī)定，例如公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室四部委下發(fā)的《信息安全等級保護管理辦法》。對于境外上市的企業(yè)來說，要受到更多國際法規(guī)約束。據(jù)RSA, EMC信息安全事業(yè)部全球產品管理與策略副總裁Sam Curry介紹，根據(jù)國外的經驗，企業(yè)有大量的法規(guī)和政府需要遵從，例如支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)、內部政策、合作伙伴政策、數(shù)據(jù)隱私法規(guī)、巴塞爾II規(guī)則等。傳統(tǒng)的方法是，逐個滿足這些法規(guī)的要求。但是法規(guī)層出不窮，企業(yè)會疲于應對，而且成本高昂。根據(jù)Gartner的估計，如果企業(yè)單個地解決IT合規(guī)的問題，由于重復勞動帶來的開銷超過150%。

RSA的建議是，用一套通用的框架來解決所有的合規(guī)問題，從而簡化合規(guī)，降低成本。例如，傳統(tǒng)的方式下，為符合PCI DSS，需要在端點制定策略，實行監(jiān)控、身份認證、數(shù)據(jù)加密等措施；為符合內部政策，需要在網絡上防止數(shù)據(jù)泄漏，實行監(jiān)控、網絡準入控制、數(shù)據(jù)加密等措施；為符合合作伙伴的政策，需要在數(shù)據(jù)庫和應用上實施日志管理、身份認證、訪問控制；為符合數(shù)據(jù)隱私法規(guī)，需要對文件系統(tǒng)和內容管理系統(tǒng)進行監(jiān)控、身份認證和訪問控制；為符合巴塞爾II，需要對存儲進行加密和監(jiān)控。這種分散的方式帶來了大量的重復勞動。

 圖1 傳統(tǒng)的方式造成大量重復勞動
 

在51CTO記者看來，采用RSA的新思路，在底層實施防數(shù)據(jù)泄漏，然后對敏感數(shù)據(jù)加密，對密鑰進行統(tǒng)一管理，再往上分別進行訪問控制、身份認證、監(jiān)控/報告/審計。這一套框架適用于所有的法規(guī)。接受檢查時，根據(jù)不同法規(guī)提供相應的報告就可以了。這樣大大減少重復勞動，可以快速地滿足新法規(guī)的要求，而且降低合規(guī)成本。

 圖2 以通用框架滿足所有法規(guī)要求
 

五個構建塊解決問題

基于以上的通用框架，RSA用五個核心架建塊來最終實現(xiàn)IT合規(guī)。這五個構建塊的實現(xiàn)中，既有RSA的產品和服務，也有EMC及合作伙伴的產品和服務。

首先，你需要搞清楚，哪些法規(guī)和要求適用于你的企業(yè)？哪些數(shù)據(jù)按要求必須保護？關鍵業(yè)務數(shù)據(jù)（例如客戶名單、知識產權、源代碼）的類型是什么？這些數(shù)據(jù)在誰手里——誰應該最終對保護這些數(shù)據(jù)負責？你能接受的風險級別是什么？

其次，建立你自己的政策和數(shù)據(jù)分類機制。明白了哪些信息對你的企業(yè)重要之后，你需要按照ISO 27002之類的行業(yè)框架建立全面的安全政策。在這個政策中，明確你的數(shù)據(jù)分類機制，例如最高機密、機密、內部使用、對外使用，列出對每一類數(shù)據(jù)的控制。例如，需要對最高機密的數(shù)據(jù)進行加密和雙因素身份認證，而對內部使用的數(shù)據(jù)，只要加用戶和強品令就可以了。

第三，發(fā)現(xiàn)。針對你識別出來的重要數(shù)據(jù)，你必須能夠確定所有這些信息都在你技術環(huán)境什么地方，是結構化的還是非結構化的數(shù)據(jù)？數(shù)據(jù)存儲在哪里？它們是如何移動的？如何訪問？誰有訪問權限？此外，你必須用IT安全政策檢查一下，這些數(shù)據(jù)是否按照要求/分類和政策進行了保護；確定各類信息的風險級別。之后，制定全面的路線圖，顯示哪些領域超出了可接受的風險級別。

第四，執(zhí)行控制框架。對識別出來的領域，下一步就是運用技術控制、政策和程序降低風險?？赡艿目刂剖侄稳纾何锢戆踩刂啤x卡器、智能卡、攝像頭；身份控制——口令、雙因素認證；授權控制——基于角色的訪問控制、按需提供；監(jiān)控控制——事件日志、告警，等等。

第五，監(jiān)控、管理和改進。你需要持續(xù)監(jiān)控安全程序，確保敏感數(shù)據(jù)能夠識別出來，安全政策和控制正常運轉。并將風險分析融入到新的控制流程中。

 圖3  五個構建塊及RSA相應的解決方案
 

此外，Sam還以ISO/IEC 27002這一國際通行的信息安全管理規(guī)則為例，介紹了RSA統(tǒng)一框架的實施過程。