以通用的框架解决法规遵从难题_第1页
以通用的框架解决法规遵从难题_第2页
以通用的框架解决法规遵从难题_第3页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、以通用的框架解决法规遵从难题目前,企业面对的法律规范非常多,如何应对如此多的法规就成为了CIO面临的重大挑战。专家建议,可用一种方法应对所有的法规遵从,从而节省成本。目前,全球企业在应对法规遵从方面,都面临着很多难题。如法规层出不穷,企业疲于应对,且成本很高;企业内部管理复杂。法规太多是主要难题,国内的信息安全等级保护管理方法以及国外的支付卡行业数据安全标准(PCIDSS)、萨班斯法案等。根据Gartner的估计,如果企业单独解决法规问题,由此带来的劳动重复开销超过150%。企业应对法规不易,政府将法规出台就更困难。原定于2009年7月1日正式实施的企业内部控制基本规范(以下简称内控)推迟到了

2、2010年1月1日,执行范围也由原来的上市公司缩减到境外上市公司,这说明内控实施起来非常有难度。在本报6月23日召开的一个相关小型研讨会中,与会专家一致认为,目前实施内控面临三大难题:一是内控到底该做到什么程度?二是信息系统内部风险控制时,是人工还是自动化,如何平衡?三是内控与企业管理到底有何关系?在这种复杂的情况下,企业该如何满足法规,并同时节省成本呢?这需要一定的科学方法。7月8日,全球法规遵从专家、EMC公司RSA部门负责全球产品管理和策略的副总裁SamuelCurry发表了自己对法规的应对策略,这不仅让我们看到了RSA解决问题的态度,相信也会对其他企业及CIO有一些启发。他的建议是,用

3、一套通用的框架来解决所有的法规遵从问题。他认为企业需要遵从的法规太多,如果企业逐个满足各个法规,则会浪费大量人力物力,且吃力不讨好,难保不在复杂的法规中出现差错。这时候用到一套行之有效的方法来处理这些法规很必要,可以为企业省去不必要的麻烦。这套方法包括五个步骤:第一,信息盘点与风险评估,这个阶段主要是需要企业人员识别要管理的数据有哪些,分析每个法规的影响,确定可接受的信息风险级别,这就像是盖房子所需要的坚实地基,这是修建一座房子的开始;第二,政策与分类,这个阶段的重点是将各种信息分类,定义信息安全政策,以及将分类好的信息融化进安全政策,这就像是给房子建立框架;第三,发现,这个阶段是找到和记录企业资产和当前控制,其中企业资产包括人员身份、信息和基础设施,这就像是为大楼灌水泥钢筋;第四,执行控制,这时企业CIO应该引领部下运用技术控制、政策和程序降低风险,这时房子已经基本完工,只待最后的装修;第五,监控、管理和改进,必须持续监控信息安全环境,确保一样数据被识别出来,安全监控运行正常,将风险分析融入管理流程,这是修建房子的最后一步,过后整栋房子就完满完工。同时,RSA针对这五个步骤

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论