WatchStor.com — 领先的中文存储网络媒体 | 51CTO旗下网站

新闻资讯 > 机房 > 正文

如何使企业的数据满足法规要求并不提升成本

watchstor.com  刘强丨2009-07-01 17:15 标签:机房 法规遵从 

企业和服务提供商面临需要迅速将IT运行对准业务需求以实现持续法规遵从的目标的压力。一方面,法规的数量不断增加,另一方面,它们也变得日益复杂。

必须针对以下方面定义并实施策略、流程和过程:信息的安全和保护 - 休眠或活动;策略驱动的记录和内容管理;长期存档及合规性;保留时间管理;电子发现管理。虽然复杂的审计和合规性需求看似阻碍了企业提升效率,但是精心设计的有效信息架构可以降低复杂性并减少安全审计和合规性的成本,可避免相关的经济处罚以及对名誉造成的损害。

在国内,由财政部等五部委组织推出的《企业内部控制基本规范》,原定于7月1日正式推出,但实施规范的企业需要时间做好相应的准备,而规范本身也需要更具合理性的时间规划。财政部已经重新计划于2010年1月1日开始执行,到2010年年底,执行企业要出具内控自我评价报告。

据调查,近年来,IT开支的平均增长率只有6.6%,其背后隐藏着相当大的变数。降低成本的日常措施及新出现的技术潮流让许多企业忙碌起来,开始在整个企业实施重大变革。IT资金在今年也变得活跃起来,往往从一个项目转移到另一个项目。在这种情况下,CIO如何分配资源很有可能加大企业整体项目的成功机会,也很有可能严重影响整体项目。利害关系实在太大了,你不敢往项目的一个方面投入过多,因为担心会影响另一个项目的正常开展。

今年,大多数CIO在支持业务方面可能投入过多,推动业务方面投入过少。这不足为怪,不过那些善于充分利用资金的公司,很可能把多出来的资金提供给旨在加快实现业务目标的新项目,从而提高IT对整个公司的总价值。

从《萨班斯-奥克斯利法案》、《健康保险可携性及责任性法案》到支付卡行业数据安全标准(PCI/DSS),贵公司很有可能受制于众多的法规遵从要求。这些法规的目标很崇高,你的安全预算中用来支持这些目标的那部分数额也相当大,而在有些情况下,却妨碍了实施更可靠、更具体的计算机安全保护措施。换句话说,为了遵从法律条文而投入大笔费用,却很有可能把贵公司置于险境。

安全机构SANS Institute的主管Stephen Northcutt同样认为:“IT人员非常重视法规遵从,这其实是为了应对审查,而不是应对安全。我们想方设法满足一系列审查要求,但这些要求到头来保证不了、也评估不了实际安全。审查要求和法规往往过于宽泛,存在空白和重叠的地方。第一次审查结束后,小组改而采用另一种全然不同的方式,以满足下一次审查的要求,而这需要不同的目标。”

大多数公司受制于好几部行业法规,这些法规对安全定义的描述过于宽泛。至于你有没有通过某项审查要求,那完全取决于外部的审查人员。取悦审查人员与可靠的安全做法往往没有多大关系,这不足为怪。

某银行的IT主管说:“第一个审查人员说我们要使用至少6个字符的密码,另一个人却说密码至少要8个字符,而且要复杂。有些审查人员注重账户封锁机制,有些人却并不注重,但谁也没有问到影响密码总体安全的其他所有因素。实际上,法规并没有规定密码要使用多少个字符,只是规定了要确保密码安全。”

Bon Secours Health Systems的信息安全官Robert W. Hodges说:“如果我们面对两部相互冲突或者相互重叠的法规,就会为了稳妥起见,采取最保守、最安全的方法,从而满足两部法规的要求。”但总是采取最保守的方法意味着开支比较大,在许多情况下,从整体安全的角度来看也没有这个必要。由于法规往往是雷声大雨点小,所以CIO在投资法规遵从项目时就要弄清楚如何划定界限。毕竟,为了遵从法规而从其他切合实际的安全项目抽调大量的资金和精力,会为将来埋下祸根。

“不过你要看清大势,不能让政府抓典型。”Hodges说。

与不那么受欢迎的行政部门不同的是,政府法规不会退出人们的视线。像《2002年萨班斯-奥克斯利法案》和《健康保险便利及责任法案》这些广为人知的立法将愈加凸显其重要性。采用一个可靠的政府风险和法规遵从管理解决方案就让你安全地远离政府调查、节约成本、甚至取代你的工作……。

无论在监管控制范围之外发生什么事,其中有一件是可以肯定的,那就是:存储管理者们已经决定保存更多的资料,同时存储厂商将会从受法规遵从需求推动的这个市场中受益。IT可以帮助促进遵从的步伐。存储对许多与遵从有关的商业流程解决方案来说都是一个必要的组成部分,因为存储是所有重要资料的最终归属地。对那些必须创建并且需要长年保存的商业记录来说,它们将不再被放在纸箱内,因为纸箱已经为存储所取代。


相关资讯

今日微信独家

《华尔街日报》报道日前援引知情人士的消息称,由于被美国政府以国家安全问题为由进行调查,联想斥资23亿美元收购IBM低端服务器业务的交易陷入了停滞状态。
关注新浪官博 订阅微信订阅号

订阅焦点周刊

论坛与活动

2016中国数据加速峰会直播专题
2016中国数据加速峰会直播专题[详细]
点击查看

精彩视频

最新文章

1111111
1111111
asdasd
asdasd
同有科技应用型大数据存储在南京掀起智能风暴
同有科技应用型大数据存储在南京掀起智能风暴
斯蒂芬斯蒂芬
斯蒂芬斯蒂芬
京东双11技术备战 构建多中心交易系统
京东双11技术备战 构建多中心交易系统