随着美国政府不断制定越来越多的法规约束商业活动，对很多公司来说，规范性日益成为一个棘手的问题。大量的法规包括——儿童网络隐私保护法，国际国内贸易电子签名法，医疗保险携带和责任法(HIPAA)，萨班斯-奥克斯利法案(SOX)，格雷姆-里奇-比利雷法(GLBA)，联邦信息资源管理法(FISMA)，仅举这几例。所有这些法规有一个共同的主题：要求公司加强安全配置并控制他们的网络基础设施。

    很多组织从错误的角度来做到遵守法规要求。他们所犯的错误是找到这些大量的法规并对照自己公司：我们符合法律要求吗？

    但是这并不是恰当的问题，公司真正需要问的问题是：我们的政策符合要求吗？我们遵守我们的策略了吗？停止通过实施新的安全技术，安全设备和安全控制来满足法规要求，相反要从安全策略出发解决问题。

    从何开始

    第一步是要理解策略是你的公司合法性要求及法律责任的混合体。一项策略并不是一个技术评论而是解决公司要求的合法性和法律方针。

    这就是为什么不能基于技术制定策略的原因。技术变化的速度快于策略更新的速度。

    例如，不要说，“我们必须用文件安全与加密技术来保证包含客户信息的文件的安全性。”相反，制定一个策略应该这样说：“我们必须保护客户信息的安全，因此只有授权的个人才能浏览或更改这些信息。”

    通过改变一句话的措辞，这里面就有很大的区别。这里面就包含了访问授权，你的业务环境内部和外部信息的电子和硬拷贝的安全性，存储安全性和传输安全性都包含了。

    达到什么目的

    看起来这可能达不到预期目的，但是剔除策略中的技术成分确实有助于符合法规要求。你可以使用策略在满足法律要求的同时指明业务目的，同时你还可以使用策略解决不同领域的合法性要求。

    合法性要求最麻烦的领域之一是审计。审计可能意味着几件不同的事情，这取决于你要求谁来定义它。例如，一个会计和一个防火墙管理员会给出两个完全不同的定义。然而，你的策略必须解决这两个领域的问题。

    不要这样来写IT安全审计策略，“保留三年之内的包含系统记录或文件访问的电子日志”，你不必这么明确。你的全部安全策略应该这样写。“保留所有对业务资源、系统和过程的授权与非授权访问信息。”这样你的策略就剔除了技术要求，并为整个业务流程解决了合法性要求。

    最后的思考
    
    通过改变你的网络和引进新技术的方法满足法规要求是一场失败的战斗。负责保护你的网络的IT专业人员通常是一群敏锐的人员。

    如果你给了他们解决公司要求的主要策略，他们就会利用这些策略来为你的基础设施设定安全标准并通过网络合法性管理来加强这些标准。只要你们的策略是最新的，就不用再担心诸如“我们符合法律要求吗”这样的问题了。