科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道RSA专家支招巧应对 企业内控不再繁杂

RSA专家支招巧应对 企业内控不再繁杂

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2009年7月8日,RSA, EMC信息安全事业部在北京举行小型媒体交流会,RSA负责全球产品管理与策略的副总裁Sam Curry介绍了一种简化IT合规、降低合规成本的思路和途径,为当前“中国版萨班斯”执行难的状况提供了一个有益的启示。

来源:安全在线 2009年7月9日

关键字: 安全策略 企业内部控制 企业内控 RSA

  • 评论
  • 分享微博
  • 分享邮件

  2009年7月8日,RSA, EMC信息安全事业部在北京举行小型媒体交流会,RSA负责全球产品管理与策略的副总裁Sam Curry介绍了一种简化IT合规、降低合规成本的思路和途径,为当前“中国版萨班斯”执行难的状况提供了一个有益的启示。

  企业IT合规迫在眉睫

  一年前由财政部、证监会、审计署、银监会、保监会五大部委联合发布的《企业内部控制基本规范》(简称《规范》),如今遇到执行难的问题。7月1日,原本是五部委《规范》正式实施的日子。但是据消息称这一规范推迟了半年,延期到2010年1月1日再实施,2010年年底,执行企业要出具内控自我评价报告。执行范围也缩小到境外上市公司,之后再扩大到国内上市公司及其它大型企业。据专家分析,延期的原因,一是企业的准备工作还不足,有大量工作要做;二是企业执行成本比较大,在经济危机时期形势尤其严峻。

  尽管《规范》不等同于IT合规,但是跟IT合规有着密切的联系。《规范》第七条指出, 企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。  第四十一条指出,企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。

  

1

  由此可见,对国内不少大型企业来说,IT合规成了迫在眉睫的事情。无论《规范》何时执行,中国企业的IT合规都是一个必修课。如何高效地实现IT合规,成为管理者关心的话题。

  一套方案应对多种法规

  其实,除了《规范》以外,企业可能还要面对很多管理规定,例如公安部、国家保密局、国家密码管理局、国务院信息工作办公室四部委下发的《信息安全等级保护管理办法》。对于境外上市的企业来说,要受到更多国际法规约束。Sam Curry指出,根据国外的经验,企业有大量的法规和政府需要遵从,例如支付卡行业数据安全标准(PCI DSS)、内部政策、合作伙伴政策、数据隐私法规、巴塞尔II规则等。传统的方法是,逐个满足这些法规的要求。但是法规层出不穷,企业会疲于应对,而且成本高昂。根据Gartner的估计,如果企业单个地解决IT合规的问题,由于重复劳动带来的开销超过150%。

  RSA的建议是,用一套通用的框架来解决所有的合规问题,从而简化合规,降低成本。例如,传统的方式下,为符合PCI DSS,需要在端点制定策略,实行监控、身份认证、数据加密等措施;为符合内部政策,需要在网络上防止数据泄漏,实行监控、网络准入控制、数据加密等措施;为符合合作伙伴的政策,需要在数据库和应用上实施日志管理、身份认证、访问控制;为符合数据隐私法规,需要对文件系统和内容管理系统进行监控、身份认证和访问控制;为符合巴塞尔II,需要对存储进行加密和监控。这种分散的方式带来了大量的重复劳动。

  图1 传统的方式造成大量重复劳动

  

1

  采用RSA的新思路,在底层实施防数据泄漏,然后对敏感数据加密,对密钥进行统一管理,再往上分别进行访问控制、身份认证、监控/报告/审计。这一套框架适用于所有的法规。接受检查时,根据不同法规提供相应的报告就可以了。这样大大减少重复劳动,可以快速地满足新法规的要求,而且降低合规成本。

  图2 以通用框架满足所有法规要求

  

1

  五个构建块解决问题

  基于以上的通用框架,RSA用五个核心架建块来最终实现IT合规。这五个构建块的实现中,既有RSA的产品和服务,也有EMC及合作伙伴的产品和服务。

  首先,你需要搞清楚,哪些法规和要求适用于你的企业?哪些数据按要求必须保护?关键业务数据(例如客户名单、知识产权、源代码)的类型是什么?这些数据在谁手里——谁应该最终对保护这些数据负责?你能接受的风险级别是什么?

  其次,建立你自己的政策和数据分类机制。明白了哪些信息对你的企业重要之后,你需要按照ISO 27002之类的行业框架建立全面的安全政策。在这个政策中,明确你的数据分类机制,例如最高机密、机密、内部使用、对外使用,列出对每一类数据的控制。例如,需要对最高机密的数据进行加密和双因素身份认证,而对内部使用的数据,只要加用户和强品令就可以了。

  第三,发现。针对你识别出来的重要数据,你必须能够确定所有这些信息都在你技术环境什么地方,是结构化的还是非结构化的数据?数据存储在哪里?它们是如何移动的?如何访问?谁有访问权限?此外,你必须用IT安全政策检查一下,这些数据是否按照要求/分类和政策进行了保护;确定各类信息的风险级别。之后,制定全面的路线图,显示哪些领域超出了可接受的风险级别。

  第四,执行控制框架。对识别出来的领域,下一步就是运用技术控制、政策和程序降低风险。可能的控制手段如:物理安全控制——读卡器、智能卡、摄像头;身份控制——口令、双因素认证;授权控制——基于角色的访问控制、按需提供;监控控制——事件日志、告警,等等。

  第五,监控、管理和改进。你需要持续监控安全程序,确保敏感数据能够识别出来,安全政策和控制正常运转。并将风险分析融入到新的控制流程中。

  图3 五个构建块及RSA相应的解决方案

  

1

  Sam还以ISO/IEC 27002这一国际通行的信息安全管理规则为例,介绍了RSA统一框架的实施过程。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章