企业安全合规需要遵从五个技巧

来源:畅享网  作者:孔维维
2013/9/9 14:28:39
畅享网:合规性是企业运行良好风险管理计划的前提。Gartner研究机构总监曾经表示,CIO必须在进行业务决策前,积极的应对各种未知的风险和威胁。企业的CIO可以考虑用一下方法来规避风险:

由于数据安全和数据保护的方式方法的不同,很容易导致不同企业遵从的法规和标准不同,进而导致企业遭受数据泄漏和安全威胁。通过创建风险管理,IT管理的规则和流程,可以有效的防止企业遭受数据泄漏的风险。

但是创建风险管理的规则和流程的任务是十分艰巨的,不同的企业喜欢采取的管理方式也不尽相同。有的企业喜欢通过单点的解决方案为每一个项目提供安全防护,但这非常容易造成工作的重复和预算的超支。

与此同时,企业发现数据泄漏的平均时间也在延长,先进的网络攻击已经超越了黑客的间谍活动,开始针对知识产权和内幕信息进行金钱的收益。更不幸的是这些网络攻击针对的企业和组织,不仅包括政府,军工企业,还包括一些"高调"的公司。很多时候,这些企业和组织因为缺乏必要的网络安全工具,经常被黑客关顾。

因此,合规性是企业运行良好风险管理计划的前提。Gartner研究机构总监曾经表示,CIO必须在进行业务决策前,积极的应对各种未知的风险和威胁。企业的CIO可以考虑用一下方法来规避风险:

第一,统一组织结构,减少错误评估风险

IT安全是企业战略和经营目标的一个重要组成部分。通过定义关键步骤,建立一个统一的组织结构,以尽量减少由于错误评估风险和控制计算错误。同时,通过整合项目资源,从不同的领域,包括最终用户和利益相关者,特别是获得高层管理人员的支持。在进行风险评估的过程中,尽可能多的与利益相关者进行沟通。

第二,保证通畅的交流,获取评估信息

保证通畅的交流,可以有效的创造和交流设施政策。此外,风险和法规的遵从对用户是友好和有益的。例如,通过使用基于度量的业务语言,为GRC(行政管理、风险管理、法规遵从)评估提供有益信息。

第三,确定一个计划的目标和指标

企业的IT环境对当期和未来GRC有很大影响,需要组织审查现有的流程和政策,识别关键风险,资产差距,以及建立IT风险与合规指标。指标可以用来定义当前的安全与合规水平,还有未来理想的状态,使IT与该组织的其余部分都能获得安全技术部署,流程管控。

第四,具有实用和成本效益的改善计划

风险评估和分析后,通过设置GRC的优先级来实现近期和长期目标。成本效益和战略风险评估可以帮助组织优先考虑固有风险的基础上,确定最有效的基于风险的结果,控制和项目实施前的投资回报。通过一个全面核心业务流程,使组织制定或修改现行政策、程序、标准,并确定现有的控件和框架的可重复使用,以符合新的任务。此外,通过不断对未来的规划,可以达到一定的安全目标。

第五,简化风险和控制

为了减轻不必要的控制和测试的开支,GRC的团队需要对许多风险和控制之间的关系进行梳理。风险评估的定义是多个法规风险和控制共享的独特属性。通过减少重复的控制,识别控制依赖,链接之间的多层次结构风险,通过不同的进程之间共享信息,来控制GRC流程,确定标准化的实践。

通过以上措施,可以自动为GRC审计组织中的所有利益相关者提供工作流程。利益相关者可以查看的威胁和应用漏洞来进行业务评估,并优先响应,将任务分配给个人或团队,或者跨团队,跨业务线和跨地域的进行风险和法规遵从。

责编:孔维维
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918