用GRC來降低企業經營風險

“隨著美國薩班斯法和有中國版薩班斯法之稱的C-SOX的施行，GRC的話題正在引起越來越多人的關注。” 賽門鐵克IT管理、風險與合規部門區域產品管理總監Caroline Wong告訴記者。剛加入賽門鐵克不久的Caroline Wong擁有信息系統安全認證專家（CISSP）的頭銜，此前在eBay、Zynga公司任職，負責這些企業的整個信息安全工作。

據Caroline Wong介紹，一個典型的GRC實施過程可以分為四個階段：第一個是計劃階段，即確定企業將針對什么樣的標準或者是什么樣法規框架去實現合規，然后會制定一套相應管控框架，通過技術和流程上的保障在這個管控框架中實現合規；第二個是評估階段，會根據確定的標準來評估在企業安全合規框架中所使用的技術和流程管控手段，是不是達到了第一階段計劃當中制定的標準；第三個是報告階段，要把問題向各個利益相關方做充分的溝通，包括對采取補救措施負責的部門或者是主管以及將負責在安全技術方面的采購決策的負責人；最后是補救，僅僅制定和評估標準是不夠的，一個負責安全的部門必須要能夠驅動相應的變化去提高整個企業的安全和合規水平。

“這個過程很復雜，完全手工幾乎無法完成，GRC解決方案必不可少。GRC解決方案就是通過自動化、可視化等手段來把幫助企業進行企業風險管理、合規管理以及內控，從而規避風險，同時驅動公司的業績以及公司的戰略實施。”Caroline Wong表示，這也正是賽門鐵克可以為企業提供幫助的地方。

賽門鐵克今年剛剛發布了最新版的GRC——Symantec Control Compliance Suite 11。其中，包含眾多模塊，可以為GRC的四個階段提供幫助。比如，計劃階段的策略管理模塊幫助企業主管給CIO/CSO在制定策略上的授權，而風險管理模塊讓負責人對風險管理做出界定等。值得一提的是，該解決方案新增了風險管理模塊（Risk Manager），它把技術問題轉化成了與企業流程相關的風險問題，為不同的利益相關方提供關于IT風險的定制化分析，并且可以基于業務關鍵性而非技術嚴重性，確定補救措施的優先級。

Caroline Wong說，基于賽門鐵克新一代GRC解決方案，安全主管能夠依據IT風險指標為特定人群定制不同的風險報表，從而使企業中圍繞IT風險進行的溝通更為有效。

Caroline Wong特別強調，企業實施合規和風險管控并不僅僅是要花錢滿足各種法規的要求，應對各種審計，其實對企業業務而言也是一件好的事情。比如，可以降低公司的運營風險，提升公司美譽度、知名度，最終提升競爭力，更好地幫助企業達成經營目標。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]