合规到风险管理 RSA Archer解GRC痛点

作为RSA SMC系统架构的重要组成部分之一，RSA Archer是企业IT治理和合规治理的产品，包括策略、风险和合规定义和管理，它能够把我们所有的企业资产，还有一些监测到的信息全部汇总，整理到统一的平台之上，给出具有业务层面参考的价值，以及一些操作的智能和综合的管理。

从合规到风险管理

RSA Archer GRC平台是全球评估IT GRC领域中综合技术能力最好的平台之一，近日EMC信息安全事业部Archer市场行销副总裁Eric Erson在北京接受IT168的采访时表示，“Archer在亚洲增速非常快，年复合增长率达到了40%，在亚洲很多客户使用Archer主要是用于像合规、风险管理、策略管理，来支持自己的业务持续性。”

EMC信息安全事业部Archer市场行销副总裁Eric Erson

随着越来越多的中国企业在海外上市，企业自身也面临越来越直接的IT合规需求，截至2011年8月1日，中国在纽约证券交易所上市公司已经超过80家。Eric Erson表示，“随着合规市场成熟度的提高，市场正在慢慢向风险管理转型，而合规不再是起点，已经成为风险管理的副产品。”

对于企业而言，需要通过部署的控制点，获得存在和生效的证据，必须通过一系列的业务流程来测试这些控制点，并证明它们的有效性。所以越来越多的中国公司和上市公司对Archer这类解决方案的需求在不断攀升。

Eric Erson在谈到目前Archer在全球的应用情况时表示，“Archer的重要性取决于企业要解决哪一层级的问题，董事会主要处理合规和风险管理的问题;部门级的问题，解决流程的自动化和数据的可视性问题。”

解决GRC的痛点

许多公司都在寻找能够管理各项业务间(除了IT，还包括财务、运营、法律等领域)的关联风险的工具。因为企业发现像一些具体的操作层面的问题，已经不可能通过人工的方式去手动的解决，因为处理的业务问题的规模太大了。因此他们急需像Archer这样帮助他们实现流程自动化，以及以可视的方式进行合规和风险管理的产品。

Eric Erson表示，“Archer最大的有点就是灵活性和易用性，不管企业目前的业务流程是怎样的，Archer都可以去配合，不需要修改业务流程。Archer只需通过轻松的配置，就能够吻合现在业务流程的需求。而很多大部分和Archer同类的产品，它们是比较僵化，改起来很难，甚至要做代码级的修改，要做JAVA的编程。Archer本身在设计的时候就考虑要去解决GRC方面，企业觉得非常痛苦的地方，所以企业使用Archer非常容易上手，价值实现很快。”

Archer能够给企业做到三件事：首先Archer开箱即用，配置简单，不需修改业务流程;有超过900条的控制点标准，而且可提供合规策略之间的关系;提供自动化可视化，并实现优先排序。

广泛的技术生态系统

我们知道RSA SMC框架依靠RSA Archer、RSA NetWitness、RSA enVision和RSA DLP协同支撑。在谈及Archer与企业安全架构下的其他安全解决方案和产品如何协同工作时。Eric Erson表示，“Archer有一个非常广泛的技术合作伙伴生态系统，RSA有安全运维中心，简称SOC，它可以很好的和SIEM、DLP、防火墙、配置管理器等一些重要的安全控制产品进行配合，会把重要的一些控制信息从这些类型的产品中导出，然后导入到Archer中。”

使用这些信息，Archer能够提供一种情境，提供关联上下文的内容，包括现在是什么资产，这个资产上头是负责支持什么样的业务流程，这个业务流程的重要性有多大;如果发现意外问题，而且这个意外和具体的IT控制点相关，就会提醒、通知相关的IT控制点负责人去采取行动，整个工作流完全由Archer控制，自动化管理;通过Archer的可视性，了解整个企业的安全运作情况，比如哪些地方出现了哪些事故性的状态，哪个IT的策略、监管的条例被违反了，以及显示整个企业安全方面运作的健康性指标，或不健康性的一些趋势、现象，Archer都会以可视化的方式呈现，并把所有企业安全控制点信息输出，提供可读性报告。

Archer不是大企业专有

Archer这款产品在12年前就诞生了，当时Archer首位用户是一家大型金融机构，Archer要去做大量的监管合规工作，所以那些非常重复的手工流程急需自动化，并且需要可视化的方式来呈现。但是现在Archer的用户规模有大有小，比如在财富100强中有一半的公司在用Archer，当然他们用Archer的目的也不尽相同，有的可能非常简单，比如事件管理或策略管理，或用Archer来做策略的建立，然后培训员工了解这些策略，以及证明这个策略是存在的。

Eric Erson提到，“因为RSA和很多大型做GRC的公司有合作，我们会把这些大公司在GRC方面成功的经验、知识都打包到Archer中。所以对中小企业而言，Archer能够为他们提供宝贵的经验和知识。还有的客户，尤其是在亚太地区，用Archer做业务持续性管理，还有灾难恢复、危机管理等。这些工作都要牵扯到大量业务流程，比如企业要去创建这些业务流程进行测试，然后有很多相关的信息要在企业内部传播，就会涉及到很多复杂的业务组件，而且要对这一切有深度的了解。”

Eric Erson强调，“Archer会在灾难时刻把这些必要的业务流程都列出来，而且会做优先排序。并且灾难恢复、危机管理在Archer中是独立模块，企业可单独使用。同时，企业在使用Archer做灾难恢复、危机管理时，会意识到整个流程与风险评估非常相近，所以逐渐企业会把Archer作为一个平台在企业中普及开来，并一个流程一个流程的去做自动化。所以不光是大企业，小企业也是Archer的用户。