平衡遵守管理法规与安全的五个原则

日期: 2008-01-24 作者:Khalid Kark 来源:TechTarget中国 英文

安全经理们感到困惑。他们现在担负了确保遵守IT法规的额外职责并且要花费时间、努力和金钱来完成他们不赞成的审计任务。此外,行政管理一般相当于要对以更大的安全性遵守法规提供更多的预算和开支。随着这在某些情况下是真实的,但是,这种错误的概念也许会给他们一种错误的安全感觉。

遵守法规的规定并不总会导致更好的安全。   事实是,有极好的安全而没有遵守法规是可能的,通过了遵守法规的审计而安全状况很糟糕也是可能的。认为遵守法规就等于安全的错误概念已经导致机构向遵守法规投入了过多的资金,有些时候还损害了安全。许多管理严格的行业目前在遵守法规的计划方面投入了大量的安全资源。

事实上,一个企业把安全预算削减30%并且……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

安全经理们感到困惑。他们现在担负了确保遵守IT法规的额外职责并且要花费时间、努力和金钱来完成他们不赞成的审计任务。此外,行政管理一般相当于要对以更大的安全性遵守法规提供更多的预算和开支。随着这在某些情况下是真实的,但是,这种错误的概念也许会给他们一种错误的安全感觉。遵守法规的规定并不总会导致更好的安全。

  事实是,有极好的安全而没有遵守法规是可能的,通过了遵守法规的审计而安全状况很糟糕也是可能的。认为遵守法规就等于安全的错误概念已经导致机构向遵守法规投入了过多的资金,有些时候还损害了安全。许多管理严格的行业目前在遵守法规的计划方面投入了大量的安全资源。事实上,一个企业把安全预算削减30%并且推迟某些安全项目,因为这些资源必须要在遵守SOX法规方面进行分配。

  遵守法规并不能导致更好的安全的另一个主要例子可以在联邦机构的遵守联邦信息安全管理法案(FISMA)的努力中看到。如果评定的级别能够真正反映安全状况的话,我们的结论是美国环保局的信息安全状况应该比美国国防部好得多。在2005年遵守FISMA法规的评级中,美国环保局的评分等级是A+,美国国防部的评分等级是F。事实上,美国国防部为其系统建立和执行了比其它任何机构都严格的安全规定。美国国防部在遵守FISMA法规方面的成绩不好主要是因为美国国防部展示它在根据FISMA的要求管理其全部分散的系统。

  平衡遵守管理法规与安全的五个原则

  有效地平衡安全和遵守法规的公司并不仅仅是遵守法规的条款。它们一般要超出一项法规的要求,因为这会使他们的环境更安全。任何踏上遵守法规征途的企业都应该遵守下列五项原则以保证信息安全不落在后面。

  1.把你的安全计划建立在安全框架的基础上。CISO(首席信息安全官)必须根据他们的安全原则制定安全计划而不是根据管理部门的法规。ISO 17799或者COBIT等框架是好的出发点。一旦这个框架和相关的控制建立起来了,机构就能够描绘他们现在和未来的规定并且在必要的地方进行评估。如果一个安全计划是以遵守法规的

  规定为基础的,这个计划必须在出现新的法规和现有的法规更新的时候每一次都要进行更新。第二,管理规定一般是解决一种特定的风险(如保护个人数据、保护信用卡号码等),但是,并没有解决企业风险问题,包括保护企业知识产权或者商业模式。

  2.把遵守法规的预算用于信息安全控制。区别安全开支和遵守法规的开支。首席信息官通常把遵守法规的开支与信息安全开支混合在一起,因为这个信息安全机构一直负责遵守法规的事情。CISO需要告诉管理层安全开支的决策不仅要扩展到完成遵守法规的要求,而且还应该以对机构的威胁为基础并且与公司的目标相一致。

  3.自动执行遵守政策和审计。审计人员将为你做他们的工作、节省了他们的时间和人工收集这个信息的努力而向你道谢。对于企业和审计人员来说,是一个双赢的措施。拥有成功地遵守法规的计划的美国联邦机构已经实现了收集、测量和报告遵守法规数据的自动化。这使审计更容易和耗费更少的时间。例如,美国国际开发署(USAID)使用Skybox安全公司的产品接收最新的有关其整个环境的风险报告。这样做能够使USAID把重点放在风险最大的领域,同时自动跟踪审计人员用来演示遵守法规状况的补救措施状态。其它机构使用Consul风险管理公司、Intellitactics和McAfee等厂商的安全信息管理工具,或者使用Archer Technologies或者Brabeion等公司的信息风险管理工具进行存档和自动进行遵守法规的安全控制。这些工具不仅在综合来自机构的不同部门的数据方面做了极好的工作,而且还能自动为单个的遵守法规的计划进行审计和生成报告。

  4.要准备好处理威胁和法规的变化。有效的安全计划能够处理威胁和法规的变化。企业必须能够同时处理不断变化的信息安全威胁状况和不断变化的管理要求。CISO需要经常重新评估他们的安全和遵守法规的计划以保证这些计划处于最新状态和充分可用。机构一般都把重点放在安全或者遵守法规方面,而不是把重点同时放在这两个方面。如果安全的考虑能够包含在遵守法规的计划中,或者安全计划包含遵守法规的考虑,一个机构就能更有效地处理好这两方面的事情。

  5.为业务合作伙伴创建一个更有效的熟悉和培训计划。许多CISO依靠技术解决其所有的安全问题。他们总是忽略这个等式中的人和流程。管理规定和标准提高了熟悉程序并且强调了流程的重要性。但是,人仍是企业信息资产最大的风险。虽然管理规定强制要求熟悉安全情况和培训,但是,没有要求确保这种熟悉情况和培训的有效性。要求一个机构进行熟悉安全的培训是因为法规要求这个机构的雇员每年要进行三个小时的熟悉安全的课程。虽然这个机构完成的管理规定的要求,但是,这并不是在机构内部提高熟悉安全状况的有效方法,因为熟悉安全并不是一次性的努力。你必须在全年强化这个信息并且通过不同的通讯媒介真正地影响行为的变化。

  目前,机构面临复杂的强制执行法规的状况和企业风险。从历史上看,企业处理这种风险和遵守法规的计划都是独立完成的,就像它们分布在许多业务领域一样。然而,随着企业治理和企业风险管理的重点日益突出,机构需要开发和使用一种一致的战略来推动可持续性、有效性和一致地管理企业风险和遵守法规的事情。

作者

Khalid Kark
Khalid Kark

相关推荐