用GRC來降低企業(yè)經(jīng)營風險

“隨著美國薩班斯法和有中國版薩班斯法之稱的C-SOX的施行，GRC的話題正在引起越來越多人的關(guān)注。” 賽門鐵克IT管理、風險與合規(guī)部門區(qū)域產(chǎn)品管理總監(jiān)Caroline Wong告訴記者。剛加入賽門鐵克不久的Caroline Wong擁有信息系統(tǒng)安全認證專家（CISSP）的頭銜，此前在eBay、Zynga公司任職，負責這些企業(yè)的整個信息安全工作。

據(jù)Caroline Wong介紹，一個典型的GRC實施過程可以分為四個階段：第一個是計劃階段，即確定企業(yè)將針對什么樣的標準或者是什么樣法規(guī)框架去實現(xiàn)合規(guī)，然后會制定一套相應(yīng)管控框架，通過技術(shù)和流程上的保障在這個管控框架中實現(xiàn)合規(guī)；第二個是評估階段，會根據(jù)確定的標準來評估在企業(yè)安全合規(guī)框架中所使用的技術(shù)和流程管控手段，是不是達到了第一階段計劃當中制定的標準；第三個是報告階段，要把問題向各個利益相關(guān)方做充分的溝通，包括對采取補救措施負責的部門或者是主管以及將負責在安全技術(shù)方面的采購決策的負責人；最后是補救，僅僅制定和評估標準是不夠的，一個負責安全的部門必須要能夠驅(qū)動相應(yīng)的變化去提高整個企業(yè)的安全和合規(guī)水平。

“這個過程很復(fù)雜，完全手工幾乎無法完成，GRC解決方案必不可少。GRC解決方案就是通過自動化、可視化等手段來把幫助企業(yè)進行企業(yè)風險管理、合規(guī)管理以及內(nèi)控，從而規(guī)避風險，同時驅(qū)動公司的業(yè)績以及公司的戰(zhàn)略實施。”Caroline Wong表示，這也正是賽門鐵克可以為企業(yè)提供幫助的地方。

賽門鐵克今年剛剛發(fā)布了最新版的GRC——Symantec Control Compliance Suite 11。其中，包含眾多模塊，可以為GRC的四個階段提供幫助。比如，計劃階段的策略管理模塊幫助企業(yè)主管給CIO/CSO在制定策略上的授權(quán)，而風險管理模塊讓負責人對風險管理做出界定等。值得一提的是，該解決方案新增了風險管理模塊（Risk Manager），它把技術(shù)問題轉(zhuǎn)化成了與企業(yè)流程相關(guān)的風險問題，為不同的利益相關(guān)方提供關(guān)于IT風險的定制化分析，并且可以基于業(yè)務(wù)關(guān)鍵性而非技術(shù)嚴重性，確定補救措施的優(yōu)先級。

Caroline Wong說，基于賽門鐵克新一代GRC解決方案，安全主管能夠依據(jù)IT風險指標為特定人群定制不同的風險報表，從而使企業(yè)中圍繞IT風險進行的溝通更為有效。

Caroline Wong特別強調(diào)，企業(yè)實施合規(guī)和風險管控并不僅僅是要花錢滿足各種法規(guī)的要求，應(yīng)對各種審計，其實對企業(yè)業(yè)務(wù)而言也是一件好的事情。比如，可以降低公司的運營風險，提升公司美譽度、知名度，最終提升競爭力，更好地幫助企業(yè)達成經(jīng)營目標。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]