FERM（First Advantage企业风险管理）方式

　　变幻莫测的法规遵从使得许多信息安全专家处于孤岛上。为了满足某项联邦法律或者行业标准和精准度，需要执行一些控件，通常情况下，对规则的理解同样重要。

　　Isabelle Theisen是First Advantage公司的首席安全官。他将建立好的框架、进程和自动工具进行了自治的连接，以此来处理这些变幻莫测的法规遵从问题。这些连接不仅可以执行一个可靠的规则遵从程序，而且可以执行良好的商业惯例。

　　Theisen说：“企业将任何与规则遵从有关的东西，都看成是一个无可避免的灾祸；他们需要这一点，因为他们被告知他们需要。我正在试图改变这个观点，告诉他们：‘不，你们也可以使用IT治理、自我约束、行业操作规则遵守和安全性，从而真正成为与竞争对手不同的市场占有者。’你可以换个方向，用比竞争对手做得更好的方式来使用它。”

　　First Advantage是一家数据供应商，服务对象为：汽车经销商、债权服务和拥有信用报告、背景核查、技能评估以及更多的雇主。该公司的总部设在加利福尼亚州，受到萨班斯-奥克斯利法案（Sarbanes-Oxley）、联邦信用报告法案、金融服务现代化法案（Gramm-Leach-Bliley，也称格雷姆-里奇-比利雷法案）、PCI和国家数据破坏通知法案和隐私法的约束。这些规则中的一些要求是重叠的，并且指令性的意见很少。

　　作为回应，Theisen设计了她所谓的FERM（First Advantage的企业风险管理）项目，来确定控件覆盖了尽可能多的法规。该框架融合了COBIT、ISO 和NIST的建议，也是人工操作流程的综合，可以确定风险和控件，并最终将其从ControlPath转化为GRC工具。ControlPath是该公司18个月以前购买的工具。

　　她说：“我们在不同的企业部门都实施这个工具，从而进行评估、鉴定、测试以及修复工作，确保我们达到了所有企业部门的要求。”

　　在典型的审计工作方面，Theisen恰当地比较了以前的人工操作流程和自动化操作——前者采用许多面对面的采访、调查、和问卷调查，进而确定是什么处在不同的企业部门之中、以及目录安全、风险管理、IT治理和其管理程序。这一信息保存在一个电子表格中——Theisen说，这不太实际。现在，已经升级为ControlPath工具。

　　Theisen说：“我始终建议使用自动化工具。必须要拥有一个有关这方面信息的贮存库，即建立一个简单的Access数据库。否则，每年都询问相同的问题。又怎么能够建立一个基线呢？对规则遵守级别进行人工管理，这将是一场噩梦。”

　　自动化也可以帮助跟踪并确定控制对象的进程的发展趋势。

　　鉴定是FERM程序四个配置过程的第一步。诸如服务提供和企业部门评估之类的目录都集中并且上传在该工具中。

　　下一步是评估。一些威胁、漏洞和风险会影响到特定的服务提供，应该对这些威胁、漏洞和风险进行评估。应用于某个企业部门中的服务提供的每个应用程序可以进行行业影响分析、数据分类、以及威胁模拟。Theisen说：“由于我们进行数据分层，我们可以仅仅关注服务提供方面的高风险应用程序。企业管理部门一直都极其支持，由于他们知道我们正在关注的对他们来说非常关键——他们服务提供中的高风险应用程序——并且，我们不需要做任何事情。

　　她说，虽然这两个阶段是最耗时的，但却是完全有必要的。

　　第三阶段是测试。已经确定了高风险问题是什么，Theisen的研究小组就可以集中精力确定对于一个业务部门而言什么是关键的。在控件分析问卷调查之前，对应用程序和基础设施进行评估。Theisen说，这个问卷调查针对的是正在讨论的服务提供。
ControlPath构建了一个主控制库，与First Advantage相关的所有控件相对应，使其能够为每个业务部门建立定制的调查问卷。
她说：“这就是自动化作用的所在之处。”

　　修复是最后的阶段。根据测试的结果，Theisen有一列修复的项目，是按风险的优先顺序来排列的——所有来自该组织业务影响分析和数据分类中的风险。

　　Theisen指出，主要的挑战涉及法规中的不固定变化，在前端几乎很少有自动化程序来收集数据。通常情况下，组织不得不等待厂商更新他们的控制库，或者自己进行人工更新。

　　一些企业执行良好的商业惯例来管理数据，另一个挑战就是，严密的关注适合于这些企业的规则遵守。

　　Theisen说：“我尽力不讨论这些法规。这是在讨论良好的商业惯例。”