通过将人员、流程和技术相互关联来应用业务规则,使公司可以对安全风险实施前瞻性管理。
当网络安全观念刚刚从“治”导向“防”之时,以《萨班斯法案》为首的一系列法规,从安全措施的规定上让中国企业开始承受新的安全管理重压,综合统一风险管理成为新企业安全体系的趋势。
高度规范的大型组织需要花费大量的时间和金钱来了解和管理安全风险以及它们必须遵守的法律规定。
安全风险管理是商家在制定战略计划时应该考虑并解决的问题。 许多组织都采用以技术为中心的专门方法来解决网络安全和法规遵从问题。 于是,每出现一个新的威胁或颁布一条新的法规,公司就要用一个新的单点产品来应对。
但是,这种方法只能满足一时之需,不能从根本上解决问题,也无法从整体上提升组织前瞻性来控制风险、遵从法规并保护其关键信息资产方面的能力。 要成功管理安全风险,需要有合理的方法来提供一种结构,以便将解决问题所需的人力和技术集成组织起来。
将结构化流程和广泛的智能化集成技术解决方案整合在一起,组织也就有了一个必要的框架来高效解决它们面临的威胁和法规范围不断扩大的问题。
用户面临新环境挑战
面对新的安全风险管理环境,企业需要优化其目前和将来的安全风险与管理流程来遵从法规,同时最大限度地提高其业务可用性和数据保护级别以及投资回报率。
在过去的几年中,针对关键信息资源的威胁数量和类型都在急剧上升。 每次出现一种新的威胁时,市场都急急忙忙地赶制出一个新的单点产品来抵御它。
同时,政府出台的诸多法规也极大地促使市场推出了全新范围的产品来满足组织遵从内部和外部标准的需要。
试图靠单个产品的力量来解决新威胁和遵从新法规正变得越来越困难,成本也日益高昂,而且最终必将失去效用。
将广泛分散的单点解决方案的信息集成起来并采取行动也需要耗费大量的人力。 另外,随着解决方案的复杂性和数量的增加,人们出错或疏忽的几率也会上升。 因此,迫切需要一种新的方法来有效解决这些难题。
集成的安全风险管理
安全风险管理解决方案可帮助企业优化其安全风险和法规遵从管理流程,同时最大限度地提高其业务可用性和数据保护级别。
对企业来说,以业务为导向的了解和管理安全风险的方法,是采用在整个组织范围内分布高度自动化、智能化和集成的系统实施。
现在,用户应当全盘考虑组织的整个信息生态环境,而不是将每个威胁或法律命令作为单个互不相关的问题来解决。统一的知识库包含了解风险以及前瞻性地配置和管理该环境所需的全部信息。
威胁防护和法规遵从管理系统是联系业务流程和现实世界的纽带。 它能确保人们及其所用的技术与精心制定的安全策略和谐相处,有效地抵御各种威胁。 提供单靠策略无法达到的威胁防护功能,可确保组织与核心命令保持一致,在保护其关键资源的同时,又遵守了政府法规。Gartner 认为:到 2011 年,采取以风险为导向的法规遵从方法、控制标准化和自动化为一体的战略的公司,其人工流程控制范围将减少 70%,并将从其法规遵从投资中获得最大的间接商业价值。
管理安全风险的结构化流程是可使当今大多数组织经历过的混乱局面恢复成为有序状态。 此流程内纳入的最佳实践方法,尽管成熟有效,但到目前为止,却将实施的负担结结实实地放在了IT人员的肩上。 而最佳的用户选择是提供将此流程转化成实际的解决方案所需的集成式智能组件。
遵从组织的内部政策和法规命令是将组织面临的风险降至最低的关键因素。 法规遵从管理组件提供了实施和衡量相应政策的遵从标准的机制。 和威胁组件一样,法规遵从管理组件也履行多种实施义务,例如电子邮件内容管理和 Internet 访问控制。多个要素(例如终端软件代理和网络入侵防护传感器)协同工作,共同为网络访问控制之类的任务提供增强功能。(t227)
