【IT168 专稿】一年前由财政部、证监会、审计署、银监会、保监会五大部委联合发布的《企业内部控制基本规范》(简称《规范》)，如今遇到执行难的问题。7月1日，原本是五部委《规范》正式实施的日子。但是据称这一规范推迟了半年，延期到2010年1月1日再实施，2010年年底，执行企业要出具内控自我评价报告。执行范围也缩小到境外上市公司，之后再扩大到国内上市公司及其它大型企业。据专家分析，延期的原因，一是企业的准备工作还不足，有大量工作要做;二是企业执行成本比较大，在经济危机时期形势尤其严峻。

　　尽管《规范》不等同于IT合规，但是跟IT合规有着密切的联系。《规范》第七条指出， 企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。　　第四十一条指出，企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

　　由此可见，对国内不少企业来说，IT合规成了迫在眉睫的事情。无论《规范》何时执行，中国企业的IT合规都是一个必修课。如何高效地实现IT合规，成为管理者关心的话题。

　　对此，RSA负责全球产品管理与策略的副总裁Sam Curry介绍了一种简化IT合规、降低合规成本的思路和途径，为当前“中国版萨班斯”执行难的状况提供了一个有益的启示。

RSA全球产品管理与策略副总裁Sam Curry

　　一套方案应对多种法规

　　除了《规范》以外，企业可能还要面对很多管理规定，例如公安部、国家保密局、国家密码管理局、国务院信息工作办公室四部委下发的《信息安全等级保护管理办法》。对于境外上市的企业来说，要受到更多国际法规约束。Sam Curry提出，根据国外的经验，企业有大量的法规和政府需要遵从，例如支付卡行业数据安全标准(PCI DSS)、内部政策、合作伙伴政策、数据隐私法规、巴塞尔II规则等。传统的方法是，逐个满足这些法规的要求。但是法规层出不穷，企业会疲于应对，而且成本高昂。根据Gartner的估计，如果企业单个地解决IT合规的问题，由于重复劳动带来的开销超过150%。

传统方式造成大量重复劳动

　　Sam Curry同时分析到，每个产品其实都具有自己的功能，但它所具有的功能某种程度上和其他产品具备的功能具有类似性。都受到其背后安全政策推动，无论在形成政策以及做决策、审计和执行过程中都是一样的。所以RSA要做的是把这些功能尽可能从每个不同的产品中拿出来。

　　“假设在point Tool模式下，如果你想控制整个信息环境就要到三个不同工具点上进行信息控制，比如要在SIEM、DLP、Email Encypt上进行。这样做的结果是会从三个系统上获得三个不同的报告。与此相对照，我们有一个单一整体性解决办法，可以用一个合适的产品在整个生命周期当中定义政策，从技术角度来说，如果这么做也会产生一些影响。当然我讲到了一些非常理想的状态，但要实现真正理想的状态要花很长时间。在此之前我们只需要从这里获得一些非常小的好处，就已经能有很大的改善。首先要加入单一的、集中化政策管理系统。在另外一个地方，我们做决策时，不再依赖于今天这些非常复杂的，多种多样的工具，而是依赖于我们所可能面临的那些风险以及我们所具有的信任程度来做出决策。”

通用框架满足所有法规要求

　　采用RSA的新思路，在底层实施防数据泄漏，然后对敏感数据加密，对密钥进行统一管理，再往上分别进行访问控制、身份认证、监控/报告/审计。这一套框架适用于所有的法规。接受检查时，根据不同法规提供相应的报告就可以了。这样大大减少重复劳动，可以快速地满足新法规的要求，而且降低合规成本。

　　产品遵循着集中化原则

　　Sam Curry强调说“第一部分是认证产品，为认证我们要建立起健全正确的层面。第二部分是访问管理产品，我们与微软这类公司合作，同时建立起身份生命周期管理及类似产品。第三部分数据安全方面有DLP产品，还有数字版权管理产品。我们会将这些联合起来进行企业管理。我们把加密、权利管理方面的产品结合起来做成密钥管理产品。在基础设施这部分，我们有自己的enVision产品，可以集中起来，做政策监控和审计报告。我们做产品时都遵循着集中化原则。

　　在整个系统中，首先为所有产品建立起中央控制系统，也要更为广泛地采用DLP分类以及基于风险健全的产品。同时还要采用可适应性健全产品和DLP健全方式，并尽可能多地把它嵌入系统中。此外要把我们所有产品都和enVision产品解决方案结合起来，我们已经和微软、思科这类厂商合作，把我们的产品嵌入他们的系统中，还有其他的合作厂商的名字会不断公布。我们要把一些解决信息嵌入到管理系统中，这样你就能这样它会为你的管理带来什么样的价值。

五个构建块及RSA相应的解决方案

　　我们希望上述讲到的产品可以从初始就内置到系统中，而不是后期再加上。我们现在已经在跟微软、思科公司进行这方面的合作，4月份向公众公布了RSA的Share计划，会把三个不同版本的软件提供给系统使用。我们拥有超过500名技术合作伙伴，与我们进行技术集成，所以我们将充分利用到这方面的优势。我们正积极参与各种有利于推进我们工作的标准化活动。在这个过程中我们将不断创建一些标准。”