【TechTarget中国原创】即使是在最佳的环境中,对于所涉及的双方而言,并购也是痛苦的。对于合并企业而言,它们可能是合乎逻辑的,但是对于IT员工而言,试图将两个不相干的系统结合在一起就可以是一场噩梦。特别是对于那些专门负责任何法规制定问题的IT安全小组。
如果组合两个IT安全的基础设施看起来是项艰巨的任务的话,可想而知,将两家公司不同阶段的制定法规程序合在一起是一项多么艰难的任务。让我们感到欣慰的是,它可能并不像所看起来的那么坏。将法规制定结合起来的两个关键的决定性因素是合作伙伴所从事的行业,以及他们所必需面对的合并特殊法规所规定的具体细节。创建一个统一标准的遵守团队,包括两家公司从事制定法规的员工,这是减缓进程的一种有效方式。
行业内部
通常情况下,一个组织的法规要求是由其所从事的行业决定的。金融公司要求能够满足《萨班斯-奥克斯莱法案》(SOX)和《格雷姆-里奇-比利雷法案》(GLBA)的规定。那些从事健康中心和医疗领域的公司必须得满足《健康保险便利及责任法案》(HIPAA)的标准,发行或者使用信用卡的公司必须满足《支付卡行业数据安全标准》。
显而易见,暂且不谈合并的企业,即使是单个企业也经常会有重叠的现象发生。发行信用卡的银行必须要满足《萨班斯-奥克斯莱法案》(SOX)、《格雷姆-里奇-比利雷法案》(GLBA)和支付卡行业(PCI)数据安全标准的规定。大型的卫生保健公司,如果是公开交易或者是金融组织的一部分,除了需要满足通常的HIPPAA要求以外,可能要求满足《萨班斯-奥克斯莱法案》(SOX)标准。
法规的具体问题
关于上面所提到的每一种普遍适用的法规,最关键的问题是考虑访问管理、信息安全策略、客户数据的保护、以及监测与测试。
SOX的第404条是关于影响IT安全的规定。这一条要求控制那些可以访问敏感客户和金融数据的IT系统。虽然它对于如何实施这些控制是模糊的名单是它基本上查找涵盖访问控制管理、加密、防火墙和恶意保护的文件。此外,适当的位置必须有一个可靠的信息安全策略,以概述这些条款的实施要求。
从合并的角度而言,SOX审计员和管理者会寻找关于访问管理控制方面的报告。然而,在审计员到达之前,安全专业人士需要询问一些关键问题,以确保两家公司在同一级别的环境中:两家公司使用什么类型的访问管理系统呢?他们是否都使用Active Directory,还是其中一个使用LDPA,而另一个使用别的协议?现在,两家公司帐目审计的情况如何?
虽然,GLBA(Gramm-Leach-Bliley 法案)与SOX的规定类似,但是它更侧重于保护客户的数据,而非访问控制管理。GLBA要求对机密数据加密;访问系统时,使用强密码;限制员工访问客户的数据,以及为客户记录的物理安全。在合并的情况下,有了SOX,安全小组可以对比每家公司的加密方法、客户数据处理程序、以及全面坚持其各自的信息安全策略。策略和程序需要调整为两家公司都适用的共同标准。此外,有了SOX,所有这些都需要为管理者提供文件证明。
HIPAA规定了医疗行业公司对患者信息的保护。这里的重点是,与GLBA一样,HIPAA是在保护客户的——在这种情况下,是在保护患者的——信息。在并购中,两家公司不得不对其控制客户信息的记录进行比较,然后为管理者提交一份共同的文件。
SOX、GLB和HIPAA都是由法律支持的政府法规。另一方面,PCI是由五家最大的信用卡公司组成的联盟支持的行业标准:Visa、MasterCard、Discover、American Express和JCB。PCI是一项综合的标准,有12条要求,囊括了客户数据的保护、加密、网络安全和防火墙、访问管理控制、信息安全策略、以及网络安全的监测和测试。它涵盖了多个领域,这些领域的安全方式各有不同,这就使合并公司成了件令人头疼的事情。
所有有关的数据和访问
即使所有的法规都是针对相同的基本项目——访问控制、客户数据的保护、以及网络安全的监测——确保遵守每一项这些特殊要求。与规定类似的法规并不意味着该法规可以转化为另一条法规。
为了使整个过程更加容易,新收购的公司必须为合并后的组织任命一个人负责法规制定的平衡点。这个人应当来自两个并购伙伴之一,并且能够直接与两家公司制定法规的员工合作,进而实现法规制定的和谐。