应对中国版SOX 合规提供针对IT风险的清晰业务视角

　　ZDNET安全频道 7月24日 北京报道（文/陈广成）：2008年6月，五部委联合正式发布了《企业内部控制基本规范》(以下简称“基本规范”)，这个被称为“中国版SOX”规范的推出，意味着中国企业内部控制规范体系建设开始向国际标准靠拢。

　　相比较美版萨班斯法案，“基本规范”涉及更为全面，它不仅侧重上市公司的财务报告审计，而是更全面的关注企业内部的运营风险和企业制度。“基本规范”的意义在于，将内控和风险管理界定为一个长期管理的规划，从企业内部管控开始，逐步在企业实现由内部控制管理向全面风险管理转化。

　　“基本规范”在2012年全部上市公司强制执行，赛门铁克公司中国区安全产品总监卜宪录在接受ZDNet采访时表示，“‘基本规范’将对180多家海外上市的企业和2000多家A股上市企业，以及700多家将要上市的企业造成影响。”

　　企业面临的IT风险与合规性挑战

　　企业需要制定策略支持这些法案和法规，通过技术控制的手段让这些法规法案的具体条款在IT环境中落地，并通过流程化的手段让企业员工理解这个法案法规，并且能够执行。卜宪录指出，当策略制定、控制措施做好准备后，还要向企业的管理层或者外部监管机构展示报告，接下来去修复缺陷项。因为当企业在做合规，请外部咨询公司评估以后，会发现有一些缺陷，就要采取具体的手段，把这些缺陷补上。

　　卜宪录强调，“当企业选择一些技术手段试图去落地的时候，它就面临更大的挑战。在策略制定、技术控制、报告和修复四个大的方向上，有很多产品去选择，每个领域都有多家厂商很活跃，但是在这四个方向上，基本上没有一家厂商有一个完整的解决方案。”

赛门铁克IT管理、风险与合规部门区域产品管理总监Caroline Wong

　　赛门铁克IT管理、风险与合规部门区域产品管理总监Caroline Wong认为，“企业在安全管理成熟的阶段当中，会逐渐购买一些单点的解决方案，来应对他们认为的当前构成的最大威胁的风险。但是，不久企业安全部门就会发现在同一个企业安全环境中，有来自不同厂商的不同的技术，而且产生安全报告的格式和内容也不一样，所以很难对自身企业的风险状况作出一个综合全面的判断。”

　　大部分企业的IT部门或者是安全部门会考虑投资构建一套完整IT GRC系统。然后在安全管理达到了最高的成熟度之后，有关的企业和安全部门会构建一套控制的框架，这套框架有大量可重复的流程，能够持续不断地对企业风险进行评估和管理。达到一个最成熟阶段的时候，首席信息管理官就能够用与业务相关的语言，把IT安全的风险向业务部门和公司的各个高管层成员去做沟通。卜宪录进一步说到，赛门铁克通过不断的收购和整合，已经把这四个方向全部整合在一起，为客户提供一个非常完整的集成化程度非常高的解决方案。同时，赛门铁克的CCS是新一代的IT GRC解决方案，能够帮助各个客户企业的CISO，无论他们在风险管理的路线图上发展到哪一个阶段，都能够成功地进行风险管理。

　　CISO制定IT风险与合规策略的工作流

　　企业需用结构化的方式来应对IT风险与合规，从计划，定义政策以及IT风险目标;到评估，针对目标评估环境;到报告，为不同利益相关者定制化报告;最后是补救，基于最高级别风险实施补救。

　　Caroline指出，在计划阶段当中，负责这项工作的CISO将确定企业将针对什么样的标准或者法规框架去实现合规，接下来会制定一套相应管控框架，在这个管控框架中通过技术上和流程上的保障来实现合规。在评估阶段当中，CISO会根据第一个阶段确定的标准评估在企业安全合规框架当中，所使用的技术上和流程上的管控手段，是不是达到了第一阶段计划当中制定的标准。在报告阶段当中，CISO要把问题向各个利益相关方做充分的沟通。最后，要把补救放到整个风险和合规管理的流程当中，因为仅仅制定和评估标准是不够的，一个负责安全的部门必须要能够驱动相应的变化去提高整个企业的安全和合规水平。

　　当首席信息安全官被要求在企业高级管理层面前汇报IT风险时，最好有详实、充分的数据指标作为支撑。而收集这些信息并利用这些信息与利益相关方有效地沟通，的确是面临的重大挑战之一。Caroline表示，基于赛门铁克Control Compliance Suite(CCS)，安全主管能够依据IT风险指标为特定人群定制不同的风险报表，从而使企业中围绕IT风险进行的沟通更为有效。针对管理层的风险报表能够标明高风险指标(如针对业务部门的风险)或对影响关键业务流程的风险进行评分。安全性运营报表能够深度挖掘这些风险评分背后的技术细节。IT运营报表能够提供具体的修复计划，并随着修复计划地展开，监控风险是否在减小。

　　Caroline强调，赛门铁克CCS 11中增加了新的 Risk Manager模块，和传统意义上的IT资产界定不同，它能够对于虚拟的业务资产做出界定。还可以在同一个视图、同一个面板中，通过评估的技术实现不同评估的可视化。设置优先级部分是Risk Manager的一个新的功能，用户可以通过对于虚拟业务资产确定的保密要求、完整性要求和可用性要求具体确定一些数值。对于风险，无论是从技术性的角度，还是从业务关键性的角度都能够做一个优先级的排序。这就使得CISO能够用与业务相关的语言，来解释IT风险。

（图）赛门铁克IT风险与合规性套件

　　在被问到赛门铁克IT风险与合规性解决方案在本地化做了哪些工作时，Caroline告诉记者，赛门铁克CSS套件融合了世界各地的100多个已有的管控框架和最佳实践，这些管控框架和最佳实践当中，有一些是具有全球的普遍性，还有一些是针对某些国家的具体的法规。比如，C-SOX就是CCS带来的内容之一，如果说哪一项内容是客户具体需要的，而CCS没有带，赛门铁克也可以把这个内容给输入到CCS当中去。

　　在谈到企业实施合规内控的驱动因素时，Caroline认为，合规只是一个起点，它不仅仅是满足审计要求，而是将它拓展到风险管理领域中去，对于业务也是一个很大的推动因素。