【以通用的框架解决法规遵从难题】 2018教育法律法规

　　目前,企业面对的法律规范非常多,如何应对如此多的法规就成为了CIO面临的重大挑战。专家建议,可用一种方法应对所有的法规遵从,从而节省成本。 　　 　　目前,全球企业在应对法规遵从方面,都面临着很多难题。如法规层出不穷,企业疲于应对,且成本很高;企业内部管理复杂。法规太多是主要难题,国内的《信息安全等级保护管理方法》以及国外的支付卡行业数据安全标准(PCI DSS)、萨班斯法案等。根据Gartner的估计,如果企业单独解决法规问题,由此带来的劳动重复开销超过150%。
　　企业应对法规不易,政府将法规出台就更困难。原定于2009年7月1日正式实施的《企业内部控制基本规范》(以下简称《内控》)推迟到了2010年1月1日,执行范围也由原来的上市公司缩减到境外上市公司,这说明《内控》实施起来非常有难度。在本报6月23日召开的一个相关小型研讨会中,与会专家一致认为,目前实施内控面临三大难题:一是内控到底该做到什么程度?二是信息系统内部风险控制时,是人工还是自动化,如何平衡?三是《内控》与企业管理到底有何关系?
　　在这种复杂的情况下,企业该如何满足法规,并同时节省成本呢?这需要一定的科学方法。7月8日,全球法规遵从专家、EMC公司RSA部门负责全球产品管理和策略的副总裁Samuel Curry发表了自己对法规的应对策略,这不仅让我们看到了RSA解决问题的态度,相信也会对其他企业及CIO有一些启发。
　　他的建议是,用一套通用的框架来解决所有的法规遵从问题。他认为企业需要遵从的法规太多,如果企业逐个满足各个法规,则会浪费大量人力物力,且吃力不讨好,难保不在复杂的法规中出现差错。这时候用到一套行之有效的方法来处理这些法规很必要,可以为企业省去不必要的麻烦。
　　这套方法包括五个步骤:第一,信息盘点与风险评估,这个阶段主要是需要企业人员识别要管理的数据有哪些,分析每个法规的影响,确定可接受的信息风险级别,这就像是盖房子所需要的坚实地基,这是修建一座房子的开始;第二,政策与分类,这个阶段的重点是将各种信息分类,定义信息安全政策,以及将分类好的信息融化进安全政策,这就像是给房子建立框架;第三,发现,这个阶段是找到和记录企业资产和当前控制,其中企业资产包括人员身份、信息和基础设施,这就像是为大楼灌水泥钢筋;第四,执行控制,这时企业CIO应该引领部下运用技术控制、政策和程序降低风险,这时房子已经基本完工,只待最后的装修;第五,监控、管理和改进,必须持续监控信息安全环境,确保一样数据被识别出来,安全监控运行正常,将风险分析融入管理流程,这是修建房子的最后一步,过后整栋房子就完满完工。
　　同时,RSA针对这五个步骤提供了相应的产品,如RSA合作伙伴、RSA专业服务、RSA防数据丢失、RSA身份认证与授权及RSA信息与事件管理。