日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
RSA專家支招巧應(yīng)對(duì)企業(yè)內(nèi)控如何落地

【.com 綜合報(bào)道】一年前由財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)五大部委聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》(簡(jiǎn)稱《規(guī)范》),如今遇到執(zhí)行難的問題。7月1日,原本是五部委《規(guī)范》正式實(shí)施的日子。但是據(jù)記者了解,這一規(guī)范推遲了半年,延期到2010年1月1日再實(shí)施,2010年年底,執(zhí)行企業(yè)要出具內(nèi)控自我評(píng)價(jià)報(bào)告。執(zhí)行范圍也縮小到境外上市公司,之后再擴(kuò)大到國(guó)內(nèi)上市公司及其它大型企業(yè)。據(jù)專家分析,延期的原因,一是企業(yè)的準(zhǔn)備工作還不足,有大量工作要做;二是企業(yè)執(zhí)行成本比較大,在經(jīng)濟(jì)危機(jī)時(shí)期形勢(shì)尤其嚴(yán)峻。

成都創(chuàng)新互聯(lián)公司2013年開創(chuàng)至今,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項(xiàng)目網(wǎng)站建設(shè)、做網(wǎng)站網(wǎng)站策劃,項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命,1280元馬山做網(wǎng)站,已為上家服務(wù),為馬山各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:18980820575

企業(yè)IT合規(guī)迫在眉睫

盡管《規(guī)范》不等同于IT合規(guī),但是跟IT合規(guī)有著密切的聯(lián)系?!兑?guī)范》第七條指出, 企業(yè)應(yīng)當(dāng)運(yùn)用信息技術(shù)加強(qiáng)內(nèi)部控制,建立與經(jīng)營(yíng)管理相適應(yīng)的信息系統(tǒng),促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合,實(shí)現(xiàn)對(duì)業(yè)務(wù)和事項(xiàng)的自動(dòng)控制,減少或消除人為操縱因素?! 〉谒氖粭l指出,企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享,充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)開發(fā)與維護(hù)、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制,保證信息系統(tǒng)安全穩(wěn)定運(yùn)行。

由此可見,對(duì)國(guó)內(nèi)不少大型企業(yè)來說,IT合規(guī)成了迫在眉睫的事情。無(wú)論《規(guī)范》何時(shí)執(zhí)行,中國(guó)企業(yè)的IT合規(guī)都是一個(gè)必修課。如何高效地實(shí)現(xiàn)IT合規(guī),成為管理者關(guān)心的話題。

一套方案應(yīng)對(duì)多種法規(guī)

其實(shí),除了《規(guī)范》以外,企業(yè)可能還要面對(duì)很多管理規(guī)定,例如公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息工作辦公室四部委下發(fā)的《信息安全等級(jí)保護(hù)管理辦法》。對(duì)于境外上市的企業(yè)來說,要受到更多國(guó)際法規(guī)約束。據(jù)RSA, EMC信息安全事業(yè)部全球產(chǎn)品管理與策略副總裁Sam Curry介紹,根據(jù)國(guó)外的經(jīng)驗(yàn),企業(yè)有大量的法規(guī)和政府需要遵從,例如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)、內(nèi)部政策、合作伙伴政策、數(shù)據(jù)隱私法規(guī)、巴塞爾II規(guī)則等。傳統(tǒng)的方法是,逐個(gè)滿足這些法規(guī)的要求。但是法規(guī)層出不窮,企業(yè)會(huì)疲于應(yīng)對(duì),而且成本高昂。根據(jù)Gartner的估計(jì),如果企業(yè)單個(gè)地解決IT合規(guī)的問題,由于重復(fù)勞動(dòng)帶來的開銷超過150%。

RSA的建議是,用一套通用的框架來解決所有的合規(guī)問題,從而簡(jiǎn)化合規(guī),降低成本。例如,傳統(tǒng)的方式下,為符合PCI DSS,需要在端點(diǎn)制定策略,實(shí)行監(jiān)控、身份認(rèn)證、數(shù)據(jù)加密等措施;為符合內(nèi)部政策,需要在網(wǎng)絡(luò)上防止數(shù)據(jù)泄漏,實(shí)行監(jiān)控、網(wǎng)絡(luò)準(zhǔn)入控制、數(shù)據(jù)加密等措施;為符合合作伙伴的政策,需要在數(shù)據(jù)庫(kù)和應(yīng)用上實(shí)施日志管理、身份認(rèn)證、訪問控制;為符合數(shù)據(jù)隱私法規(guī),需要對(duì)文件系統(tǒng)和內(nèi)容管理系統(tǒng)進(jìn)行監(jiān)控、身份認(rèn)證和訪問控制;為符合巴塞爾II,需要對(duì)存儲(chǔ)進(jìn)行加密和監(jiān)控。這種分散的方式帶來了大量的重復(fù)勞動(dòng)。

 圖1 傳統(tǒng)的方式造成大量重復(fù)勞動(dòng)

在記者看來,采用RSA的新思路,在底層實(shí)施防數(shù)據(jù)泄漏,然后對(duì)敏感數(shù)據(jù)加密,對(duì)密鑰進(jìn)行統(tǒng)一管理,再往上分別進(jìn)行訪問控制、身份認(rèn)證、監(jiān)控/報(bào)告/審計(jì)。這一套框架適用于所有的法規(guī)。接受檢查時(shí),根據(jù)不同法規(guī)提供相應(yīng)的報(bào)告就可以了。這樣大大減少重復(fù)勞動(dòng),可以快速地滿足新法規(guī)的要求,而且降低合規(guī)成本。

 圖2 以通用框架滿足所有法規(guī)要求

五個(gè)構(gòu)建塊解決問題

基于以上的通用框架,RSA用五個(gè)核心架建塊來最終實(shí)現(xiàn)IT合規(guī)。這五個(gè)構(gòu)建塊的實(shí)現(xiàn)中,既有RSA的產(chǎn)品和服務(wù),也有EMC及合作伙伴的產(chǎn)品和服務(wù)。

首先,你需要搞清楚,哪些法規(guī)和要求適用于你的企業(yè)?哪些數(shù)據(jù)按要求必須保護(hù)?關(guān)鍵業(yè)務(wù)數(shù)據(jù)(例如客戶名單、知識(shí)產(chǎn)權(quán)、源代碼)的類型是什么?這些數(shù)據(jù)在誰(shuí)手里——誰(shuí)應(yīng)該最終對(duì)保護(hù)這些數(shù)據(jù)負(fù)責(zé)?你能接受的風(fēng)險(xiǎn)級(jí)別是什么?

其次,建立你自己的政策和數(shù)據(jù)分類機(jī)制。明白了哪些信息對(duì)你的企業(yè)重要之后,你需要按照ISO 27002之類的行業(yè)框架建立全面的安全政策。在這個(gè)政策中,明確你的數(shù)據(jù)分類機(jī)制,例如最高機(jī)密、機(jī)密、內(nèi)部使用、對(duì)外使用,列出對(duì)每一類數(shù)據(jù)的控制。例如,需要對(duì)最高機(jī)密的數(shù)據(jù)進(jìn)行加密和雙因素身份認(rèn)證,而對(duì)內(nèi)部使用的數(shù)據(jù),只要加用戶和強(qiáng)品令就可以了。

第三,發(fā)現(xiàn)。針對(duì)你識(shí)別出來的重要數(shù)據(jù),你必須能夠確定所有這些信息都在你技術(shù)環(huán)境什么地方,是結(jié)構(gòu)化的還是非結(jié)構(gòu)化的數(shù)據(jù)?數(shù)據(jù)存儲(chǔ)在哪里?它們是如何移動(dòng)的?如何訪問?誰(shuí)有訪問權(quán)限?此外,你必須用IT安全政策檢查一下,這些數(shù)據(jù)是否按照要求/分類和政策進(jìn)行了保護(hù);確定各類信息的風(fēng)險(xiǎn)級(jí)別。之后,制定全面的路線圖,顯示哪些領(lǐng)域超出了可接受的風(fēng)險(xiǎn)級(jí)別。

第四,執(zhí)行控制框架。對(duì)識(shí)別出來的領(lǐng)域,下一步就是運(yùn)用技術(shù)控制、政策和程序降低風(fēng)險(xiǎn)??赡艿目刂剖侄稳纾何锢戆踩刂啤x卡器、智能卡、攝像頭;身份控制——口令、雙因素認(rèn)證;授權(quán)控制——基于角色的訪問控制、按需提供;監(jiān)控控制——事件日志、告警,等等。

第五,監(jiān)控、管理和改進(jìn)。你需要持續(xù)監(jiān)控安全程序,確保敏感數(shù)據(jù)能夠識(shí)別出來,安全政策和控制正常運(yùn)轉(zhuǎn)。并將風(fēng)險(xiǎn)分析融入到新的控制流程中。

 圖3  五個(gè)構(gòu)建塊及RSA相應(yīng)的解決方案

此外,Sam還以ISO/IEC 27002這一國(guó)際通行的信息安全管理規(guī)則為例,介紹了RSA統(tǒng)一框架的實(shí)施過程。


當(dāng)前標(biāo)題:RSA專家支招巧應(yīng)對(duì)企業(yè)內(nèi)控如何落地
路徑分享:http://www.5511xx.com/article/cohdhhg.html