【51CTO.com 綜合報(bào)道】一年前由財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)五大部委聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》（簡(jiǎn)稱(chēng)《規(guī)范》），如今遇到執(zhí)行難的問(wèn)題。7月1日，原本是五部委《規(guī)范》正式實(shí)施的日子。但是據(jù)51CTO記者了解，這一規(guī)范推遲了半年，延期到2010年1月1日再實(shí)施，2010年年底，執(zhí)行企業(yè)要出具內(nèi)控自我評(píng)價(jià)報(bào)告。執(zhí)行范圍也縮小到境外上市公司，之后再擴(kuò)大到國(guó)內(nèi)上市公司及其它大型企業(yè)。據(jù)專(zhuān)家分析，延期的原因，一是企業(yè)的準(zhǔn)備工作還不足，有大量工作要做；二是企業(yè)執(zhí)行成本比較大，在經(jīng)濟(jì)危機(jī)時(shí)期形勢(shì)尤其嚴(yán)峻。

企業(yè)IT合規(guī)迫在眉睫

盡管《規(guī)范》不等同于IT合規(guī)，但是跟IT合規(guī)有著密切的聯(lián)系。《規(guī)范》第七條指出， 企業(yè)應(yīng)當(dāng)運(yùn)用信息技術(shù)加強(qiáng)內(nèi)部控制，建立與經(jīng)營(yíng)管理相適應(yīng)的信息系統(tǒng)，促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合，實(shí)現(xiàn)對(duì)業(yè)務(wù)和事項(xiàng)的自動(dòng)控制，減少或消除人為操縱因素。　　第四十一條指出，企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)開(kāi)發(fā)與維護(hù)、訪問(wèn)與變更、數(shù)據(jù)輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行。

由此可見(jiàn)，對(duì)國(guó)內(nèi)不少大型企業(yè)來(lái)說(shuō)，IT合規(guī)成了迫在眉睫的事情。無(wú)論《規(guī)范》何時(shí)執(zhí)行，中國(guó)企業(yè)的IT合規(guī)都是一個(gè)必修課。如何高效地實(shí)現(xiàn)IT合規(guī)，成為管理者關(guān)心的話題。

一套方案應(yīng)對(duì)多種法規(guī)

其實(shí)，除了《規(guī)范》以外，企業(yè)可能還要面對(duì)很多管理規(guī)定，例如公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息工作辦公室四部委下發(fā)的《信息安全等級(jí)保護(hù)管理辦法》。對(duì)于境外上市的企業(yè)來(lái)說(shuō)，要受到更多國(guó)際法規(guī)約束。據(jù)RSA, EMC信息安全事業(yè)部全球產(chǎn)品管理與策略副總裁Sam Curry介紹，根據(jù)國(guó)外的經(jīng)驗(yàn)，企業(yè)有大量的法規(guī)和政府需要遵從，例如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)、內(nèi)部政策、合作伙伴政策、數(shù)據(jù)隱私法規(guī)、巴塞爾II規(guī)則等。傳統(tǒng)的方法是，逐個(gè)滿足這些法規(guī)的要求。但是法規(guī)層出不窮，企業(yè)會(huì)疲于應(yīng)對(duì)，而且成本高昂。根據(jù)Gartner的估計(jì)，如果企業(yè)單個(gè)地解決IT合規(guī)的問(wèn)題，由于重復(fù)勞動(dòng)帶來(lái)的開(kāi)銷(xiāo)超過(guò)150%。

RSA的建議是，用一套通用的框架來(lái)解決所有的合規(guī)問(wèn)題，從而簡(jiǎn)化合規(guī)，降低成本。例如，傳統(tǒng)的方式下，為符合PCI DSS，需要在端點(diǎn)制定策略，實(shí)行監(jiān)控、身份認(rèn)證、數(shù)據(jù)加密等措施；為符合內(nèi)部政策，需要在網(wǎng)絡(luò)上防止數(shù)據(jù)泄漏，實(shí)行監(jiān)控、網(wǎng)絡(luò)準(zhǔn)入控制、數(shù)據(jù)加密等措施；為符合合作伙伴的政策，需要在數(shù)據(jù)庫(kù)和應(yīng)用上實(shí)施日志管理、身份認(rèn)證、訪問(wèn)控制；為符合數(shù)據(jù)隱私法規(guī)，需要對(duì)文件系統(tǒng)和內(nèi)容管理系統(tǒng)進(jìn)行監(jiān)控、身份認(rèn)證和訪問(wèn)控制；為符合巴塞爾II，需要對(duì)存儲(chǔ)進(jìn)行加密和監(jiān)控。這種分散的方式帶來(lái)了大量的重復(fù)勞動(dòng)。

 圖1 傳統(tǒng)的方式造成大量重復(fù)勞動(dòng)
 

在51CTO記者看來(lái)，采用RSA的新思路，在底層實(shí)施防數(shù)據(jù)泄漏，然后對(duì)敏感數(shù)據(jù)加密，對(duì)密鑰進(jìn)行統(tǒng)一管理，再往上分別進(jìn)行訪問(wèn)控制、身份認(rèn)證、監(jiān)控/報(bào)告/審計(jì)。這一套框架適用于所有的法規(guī)。接受檢查時(shí)，根據(jù)不同法規(guī)提供相應(yīng)的報(bào)告就可以了。這樣大大減少重復(fù)勞動(dòng)，可以快速地滿足新法規(guī)的要求，而且降低合規(guī)成本。

 圖2 以通用框架滿足所有法規(guī)要求
 

五個(gè)構(gòu)建塊解決問(wèn)題

基于以上的通用框架，RSA用五個(gè)核心架建塊來(lái)最終實(shí)現(xiàn)IT合規(guī)。這五個(gè)構(gòu)建塊的實(shí)現(xiàn)中，既有RSA的產(chǎn)品和服務(wù)，也有EMC及合作伙伴的產(chǎn)品和服務(wù)。

首先，你需要搞清楚，哪些法規(guī)和要求適用于你的企業(yè)？哪些數(shù)據(jù)按要求必須保護(hù)？關(guān)鍵業(yè)務(wù)數(shù)據(jù)（例如客戶(hù)名單、知識(shí)產(chǎn)權(quán)、源代碼）的類(lèi)型是什么？這些數(shù)據(jù)在誰(shuí)手里——誰(shuí)應(yīng)該最終對(duì)保護(hù)這些數(shù)據(jù)負(fù)責(zé)？你能接受的風(fēng)險(xiǎn)級(jí)別是什么？

其次，建立你自己的政策和數(shù)據(jù)分類(lèi)機(jī)制。明白了哪些信息對(duì)你的企業(yè)重要之后，你需要按照ISO 27002之類(lèi)的行業(yè)框架建立全面的安全政策。在這個(gè)政策中，明確你的數(shù)據(jù)分類(lèi)機(jī)制，例如最高機(jī)密、機(jī)密、內(nèi)部使用、對(duì)外使用，列出對(duì)每一類(lèi)數(shù)據(jù)的控制。例如，需要對(duì)最高機(jī)密的數(shù)據(jù)進(jìn)行加密和雙因素身份認(rèn)證，而對(duì)內(nèi)部使用的數(shù)據(jù)，只要加用戶(hù)和強(qiáng)品令就可以了。

第三，發(fā)現(xiàn)。針對(duì)你識(shí)別出來(lái)的重要數(shù)據(jù)，你必須能夠確定所有這些信息都在你技術(shù)環(huán)境什么地方，是結(jié)構(gòu)化的還是非結(jié)構(gòu)化的數(shù)據(jù)？數(shù)據(jù)存儲(chǔ)在哪里？它們是如何移動(dòng)的？如何訪問(wèn)？誰(shuí)有訪問(wèn)權(quán)限？此外，你必須用IT安全政策檢查一下，這些數(shù)據(jù)是否按照要求/分類(lèi)和政策進(jìn)行了保護(hù)；確定各類(lèi)信息的風(fēng)險(xiǎn)級(jí)別。之后，制定全面的路線圖，顯示哪些領(lǐng)域超出了可接受的風(fēng)險(xiǎn)級(jí)別。

第四，執(zhí)行控制框架。對(duì)識(shí)別出來(lái)的領(lǐng)域，下一步就是運(yùn)用技術(shù)控制、政策和程序降低風(fēng)險(xiǎn)。可能的控制手段如：物理安全控制——讀卡器、智能卡、攝像頭；身份控制——口令、雙因素認(rèn)證；授權(quán)控制——基于角色的訪問(wèn)控制、按需提供；監(jiān)控控制——事件日志、告警，等等。

第五，監(jiān)控、管理和改進(jìn)。你需要持續(xù)監(jiān)控安全程序，確保敏感數(shù)據(jù)能夠識(shí)別出來(lái)，安全政策和控制正常運(yùn)轉(zhuǎn)。并將風(fēng)險(xiǎn)分析融入到新的控制流程中。

 圖3  五個(gè)構(gòu)建塊及RSA相應(yīng)的解決方案
 

此外，Sam還以ISO/IEC 27002這一國(guó)際通行的信息安全管理規(guī)則為例，介紹了RSA統(tǒng)一框架的實(shí)施過(guò)程。