Symantec-年会内部稿件_7-赛门铁克法规遵从解决方案

赛门铁克法规遵从解决方案张东英系统工程师日程2企业所面临的IT法规遵从挑战11赛门铁克在IT风险与法规遵从的调查发现22赛门铁克的法规遵从解决方案33全球企业所面临的法规遵从挑战有些征兆可以作为企业资产价值正在大幅减损的指标3ƒ大型公司平均额外要花费将近70,000FTE小时來遵从Sarbanes-OxleyDeloitteToucheTohmatsuƒ61%的企业在治理、遵从和持续改善方面并不十分有效赛门铁克2006年度调查ƒ59%的高层管理人员认为他们的法規遵从计划仍有改善空間PricewaterhouseCoopersƒ由于法规重复和规定不明确或不一致而造成許多企業成本攀升SecuritiesIndustryAssociation，2006年显示您的计划已经出问题的征兆：无法重复利用信息和融合各种标准控制模式无法与資料类別接轨在诠释控制时持续发生失误无法將法規遵从的范围沟通清楚审计员横冲直撞毫无头绪#5#5#4#4#3#3#2#2#1#1更明白地检视法规遵从挑战6+ƒ更多法规=更多资料/数据ƒ确保数据准确是昂贵的ƒ可获取的预算持平或减少ƒ没有通用语言ƒ难以与业务活动或目标保持一致人员/$$$遵从成本ƒ预算无法满足需求(Demand)ƒ无效率的使用稀有资源=$$$遵从复杂性所导致的结果业务目标不一致日程11企业所面临的IT法规遵从挑战11赛门铁克在IT风险与法规遵从的调查发现22赛门铁克的法规遵从解决方案33IRC1610-通过整体方法应对遵从挑战Symantec2008IT风险管理报告59%的企业预期在接下来的5年内会发生重大信息泄漏事件66%的企业预计在下一年会出现重大法规违规事故78%的企业认知到与可用性相关的风险日益严重或成为关键业务问题IT员工将26%的时间投入到解决业务应用程序性能延迟问题ITRM报告的调查发现-数据丟失N=277ƒIT专业人员就数据泄漏的严重性同其客户达成了共识：63％的人认为，数据泄漏会对他们所在的企业产生严重影响ƒ仅有46%的人预期事故一年至少发生一次；预期每五年仅发生一次事故的人略多一些46%要求企业保护自己的个人信息和资金，既是客户的权利，也是客户的期望。客户尤其无法容忍对自己的信息漫不经心的企业数据泄漏不仅对用户构成了严重的威胁，而且给电子商业和银行也带来不堪的后果数据泄漏的IT安全风险甚至直接威胁到金融市场的流动性ITRM报告的调查发现–各类IT控制的有效性N=405“最好”级别中的企业在部署战略、支持、提供和安全控制方面具有相同的高效性，而“最差”级别中的企业在部署安全控制方面具有相对较高的有效性，但在战略和提供控制方面却表现不力2008IT治理、风险与遵从年度报告ITGRC不同级別的成熟度-定义最不成熟最成熟第一级第二级第三级第四级第五级初级的/未规范的流程和实践可重复且基于经验的流程和实践已定义的流程和实践受管理且可衡量的流程和实践优化且均衡的流程和实践IT活动依据不断变化的业务需求，由高级经理和主要业务关系人推动进行。问题的解决係以项目為基础來组建和解散团队。不制定日常治理计划。没有人意识到需要更加形式化的IT监管。IT治理依赖于IT经理的经验，业务关系人很少参与。大多数IT活动依据上一年的花费用来取得经费，对于预期的业务变化，没有给予一定的灵活性。当主要业务活动失去控制时，高级经理参与到IT工作中。IT的成功与否往往取决于技术措施。IT监管侧重于每个发生的实际业务问题。通过相对简单、易于理解的衡量和评估技术，将非正式的实践形式化、制度化。制定特定的流程来管理IT活动。利用外部审计框架来评估IT在传递价值方面的有效性。IT操作依据个别案件处理,并无一致性。为监督和管理IT活动制定了相应的流程和实践框架。这些框架作为企业内IT治理的基础。根据这些框架明确常用的IT流程以及有待改进的方面。高级管理团队审视与IT有关的价值传递和风险。IT开支从价值和风险指标两方面综合考虑。高级管理层对于IT掌握足够的信息，不必亲自参与实际IT工作即可制定明智的业务决策。借助可以纠正偏差和问题的备份计划，IT活动最恰当地定位于提供业务价值和避免业务风险方面，这两方面都是可以衡量的.实施持续质量改进计划，采用统一的方式衡量与目标之间的偏差。根据内部和外部指标，以及内部和外部审计结果，全面实施对已划分优先级的IT功能进行的持续改进，并依据这些指标和结果制定基准。IT开支经过优化和挑战，以企业能够承担的风险提供最高的价值。N=2608最不成熟最成熟2008IT治理、风险与遵从年度报告受訪企业的ITGRC成熟度与其营运成果ITGRC成熟度12345占总样本%20%68%12%客户满意度%-8.7%-4.4%0%4.4%8.7%客户维持%--6.3%-3.2%0%3.2%7.3%营收-8.5%-4.3%0%4.3%8.5%费用-6.4%-3.2%0%3.2%6.4%利潤-6.9%-3.5%0%3.5%6.9%客户数据外泄/遭窃所造成的财务风险9.6%ofrevenue8%ofrevenue6.4%ofrevenue3.2%ofrevenue0.4%ofrevenue业务营运中断所造成的财务风险10%ofrevenue3%ofrevenue1%ofrevenue0.4%ofrevenue0.2%ofrevenue在法规遵从上的花费37%lowerthanmaximum3%lowerthanmaximum3%lowerthanmaximum20%lowerthanmaximum52%lowerthanmaximum2008IT治理、风险与遵从年度报告受访企业%N=10421.营收与获利2.市场占有率与进入市场时效3.IT维护预算4.新的IT项目实施5.改进/保持法规遵从稽核成果6.保护敏感数据7.避免/复原业务中断8.管理外包/离岸/第三方之IT厂商9.招募与保留IT技能10.改进/保持IT服务水平11.企业并购12.存在IT系统、应用程序、一般作业程序与控制的不一致性影响IT的业务压力最不成熟最成熟内部控制评估的频率(每年次数)2008IT治理、风险与遵从年度报告评估控制和报告的频率N=2608每半年一次每個月一次2008IT治理、风险与遵从年度报告N=2041最不成熟最成熟技術控制自動化的%成熟度最佳的公司采用两种方法来改进遵从结果：1.部署更多的技术控制，将此作为流程控制的代理2.几乎所有的技术控制都已自动化技术控制的自动化93%N=454佔受訪公司%2008IT治理、风险与遵从年度报告最不成熟常态均值最成熟1.流程和控制2.评估对策略的遵从情况3.收集与审计相关的数据4.补救和变更管理5.持续监控和报告IT项下的自动化活动•Bestperformers:–Managerewardandrisksimultaneously–ConnectmanagementandIToperationswithCQI–Shiftfocustoprevention–Measureandimprovecontinuously–Leveragetechnologycapabilities–Spendmuchlesstimeandmoneyonregulatoryaudit–Protectcustomerdatabetter–Maintainnearly100%uptime–Retaincustomersbetter–Achievehigherrevenuesandprofits2008IT治理、风险与遵从年度报告总结不断的改进!日程22企业所面临的IT法规遵从挑战11赛门铁克在IT风险与法规遵从的调查发现22赛门铁克的法规遵从解决方案33IRC1610-通过整体方法应对遵从挑战法规遵从要求的共通性27这些项目至少涵盖90%遵从标准要求的内容您针对哪些控制项进行书面化？书面化的内容与实际的行动是否相符？策略管理您能否出示在您环境中与策略相关活动的证据？您是否拥有这些证据的历史记录？监控和报告您是否可以在人员、环境、基础架构发生变化时仍然能够保持控制的运行？操作持续性您的员工是否了解其角色和责任？培训和意识一切控制是否都按预期方式进行？验证和检验您如何控制哪些人可以何种访问权限？准入控制24赛门铁克的自动化IT遵从方法论评估基础架构和流程评估报告检视风险状况并补救问题补救监控并验证已尽责任定义确定风险并制定策略技术控制管理面板审计报告风险评估风险加权的补救流程控制策略和控制例外技术控制撰写策略流程控制创建映射发布評估解决Controlselfassessment•Questionnaireresponses•Risk-basedprioritizationEntitlementsreview•Group\filepermission•classify&assignowners•ApprovalworkflowConfigurations•Securitybestpractices•RemediationVulnerabilities•Non-credentialedchecks•Credentialedchecks•PatchMgmtPCISOXBaselIINISTCOBITISO按照风险级别划分范围CorporatePolicies•InfoSecurity•AccessControl•Termination21赛门铁克IT遵从控制流程概述Symantec策略遵从解决方案整体架构遵从报告法规和框架策略管理配置和事故管理数据管理网络系统和客户端PolicyManagerSOXViewHIPAAViewCOBITViewISO17799ViewSecurityInformationManagerEnterpriseSecurityManagerNetworkAccessControlDLPVontuEnterpriseVaultControlComplianceSuiteClientandSystemSecurityANSWERSQUESTIONS张东英Dongying_zhang@symantec.comCopyright©2007SymantecCorporation.Allrightsreserved.SymantecandtheSymantecLogoaretrademarksorregisteredtrademarksofSymantecCorporationoritsaffiliatesintheU.S.andothercountries.Othernamesmaybetrademarksoftheirrespectiveowners.Thisdocumentisprovidedforinformationalpurposesonlyandisnotintendedasadvertising.Allwarrantiesrelatingtotheinformationinthisdocument,eitherexpressorimplied,aredisclaimedtothemaximumextentallowedbylaw.Theinformationinthisdocumentissubjecttochangewithoutnotice.ThankYouSymantecandSymantecVisionareregisteredtrademarksofSymantecintheU.S.andinothercountries.Theothercompanynamesorproductsmentionedareormaybetrademarksoftheirrespectiveowners.