随着萨班斯（SOX）法案两年来的频频“发威”，越来越多的上市公司意识到了信息安全与企业规则之间的联系。那么，如何满足日益增多的法律要求，法律法规与安全技术中的联系体现在哪些环节，这些都是当下争论的焦点。

    无论是美国还是中国，企业对于法律法规的安全遵从是必须尽到的社会义务。确保企业IT基础设施和信息流转过程能满足安全的要求，不仅是对企业IT经理的考验，而且也是对信息安全厂家的要求：过程安全、全局监控、规则匹配、保障到位，已经成为当前法规安全遵从中的技术重点。

    为此，编辑特别策划了本期专题，不仅邀请到了Cisco、Juniper、RSA、合勤科技、启明星辰、深信服的安全专家，而且邀请了中国电力投资集团、中银保险公司、新华人寿保险公司、全聚德集团的CIO们，一起分享法规法规遵从与安全建设中的经验。

    命题一：遵从折射安全理念

    回首两年前，在萨班斯法案生效之日，由财政部牵头发起，证监会、国资委共同参与成立的“企业内部控制标准委员会”正式在北京成立，这预示着中国企业也即将面对一部类似美国萨班斯法案的标准体系。不难看出，中国的企业最终也要适应这一游戏规则。

    中银保险有限公司科技部网络主管方航指出，在全球公司治理趋同的监管环境下，越来越严格的法规规范是全球化趋势，靠短暂地逃离严厉监管永远不能解决问题。完善公司IT治理，完善内部控制不仅是资本市场的要求，更是中国企业国际竞争力的重要要素之一。

    深信服上网行为管理产品部总监郭栋梓表示，对于中国企业而言，法规遵从不是结果而是过程。以法规遵从为契机，深入研究IT治理，加强IT控制，降低风险，把公司治理与IT治理相结合，把全面风险管理与IT治理相结合的理念彻底贯彻下去，中国企业必将有更加美好的发展前景。

    对此持类似观点的还有启明星辰产品管理中心总工万卿。他认为，法规遵从从狭义上讲，是对于主管机构制定的相关法规的遵守；从广义上讲，是企业内外部在信息系统应用中对于各项规章制度的遵从。

    事实上，近两年来国内大部分中大型企业的IT系统发展很快，企业对IT系统的依赖程度也越来越高，就网络信息系统而言，CIO们不仅需要考虑一些传统的安全问题，比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫等，而且，随着信息化程度的提高，企业内部各类业务系统也变得日益复杂，对业务系统的防护也变得越来越重要。据IDC统计，70％的安全问题是来自于组织中的内部人员，因此，针对业务系统的信息安全治理成为主要任务。

    中国电力投资集团信息化高级主管宋怡强表示，从国内的大环境上看，法规遵从性是企业所面临的一个新的安全问题，但也是一个提高企业运营效率，降低运营风险，向国际标准看齐的机遇。IT经理对此应当抱有积极态度，毕竟法规遵从是现代经济社会发展趋向完善的一个重要标志，而信息安全体系的建立是法规遵从的重要保障。没有严密的信息安全保障体系，企业就无法对日常管理和运营状态进行安全控制和事后行为审计，也就无法适应安全的要求。

    对此，RSA公司高级技术顾问冯崇彪表示赞同。他说，法规遵从对于企业而言既是机遇也是挑战，对于那些合法经营和发展的企业而言，法规遵从可以遏制违规经营、虚假交易等不法企业的恶性竞争。规范市场秩序，提高投资人、合作伙伴、客户对企业的信心，有利于企业长期健康的发展。同时，法规遵从也是摆在企业面前的一次挑战，这意味者企业将会在更严格的法律监督与管理下经营，如果不能适应新的法律监督环境，那么，将会被市场淘汰，丧失新的发展机会。
    
    命题二：用技术迎接挑战

    美国IT治理协会（IT Governance Institute）在年初撰写的报告中指出，法规遵从给CIO带来最少四方面的新挑战: 第一，必须加强对内控知识的掌握程度; 第二，理解企业遵从萨班斯法的全面计划; 第三，推动特定IT控制环节的法规遵从计划; 第四，努力使自己所承担的计划融入企业的整体法规遵从计划当中。

    新华人寿保险公司IT经理杜大军表示，企业IT主管除了确保安全外，还包括了其他三部分工作内容：IT治理、IT管理和安全保护。事实上，要在短时间内满足这些安全审计要求，对企业而言是极大的挑战。在开展合规性项目的实际过程中，也暴露出许多国内企业共性的一些问题。

    严格来看，在法规遵从中的安全考虑还是比较充分的，只不过在安全的高要求下，对于国内企业会有很多不适应。对此，万卿归纳为：“无规”、“铁规”和“无法”。

    所谓“无规”，指的是没有“规则”或者“规则”无法落地。通常来看，很多企业制定的安全规则具有普遍适应性，因此，相对较宏观，缺乏层层分解到具体实际操作上。所以，规则的具体建立和落地是企业面临的首要问题。

    “铁规”则是说规则制定后一成不变。要知道，安全规则的本身是在不断发展成熟，不断变化的，这就要求企业对法规的遵从是动态的，而非一蹴而就和一劳永逸的，是需要持续付出成本代价的。以上两点都需要企业在思想上和行动上有组织地持续地开展工作。

    而“无法”是指落实到具体操作层面，由于缺少有效的方法和技术手段，往往使遵从成本居高不下。此前Juniper的安全专家梁晓东透露说，如何改善原有的管理模式和员工习惯也是一个不断引导教育和实践摸索的过程，而这个过程本身并不轻松。

    对于前两个挑战，需要企业与安全厂家共同探索，一些服务和产品技术会起到关键的作用。对于第三个挑战，单纯靠现有的技术并不能够完全解决，因为规则是动态的。但至少可以看到身份管理，内容安全管理，安全事件管理，审计技术以及脆弱性评估技术正在尝试来解决这个挑战，这些技术正在实际应用中不断的成熟和发展。

    事实上，法规遵从所涉及的内容很多，以上三点仅是一个浓缩的总结。针对不同的法律环境企业要遵从不同的法律规范，所要面对的挑战也是多样的。不过冯崇彪的看法是，从信息安全的角度而言，当前企业所面临的挑战主要是许多企业的安全管理体系还没有建立起来，信息安全的操作规范还没有从真正意义上被严格地执行，因此，无法达到相关法规所要求的管理水平，用以进行合规性审计的基础数据无法及时、准确地提供。

    另外，对于那些规模不是很大，但是步入高速发展轨道的企业来说，法规遵从的挑战和安全技术的解决上有一些捷径。郭栋梓透露说，对于这些企业而言，最有效的安全遵从技术就是给企业竖起一道安全门，防止发生企业机密外泄的事件。如果资源足够，可以进一步部署内网的全面保护方案，即安全信息管理、防病毒管理、身份认证以及企业级的安全管理。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。