【IT168 专稿】一年前由财政部、证监会、审计署、银监会、保监会五大部委联合发布的《企业内部控制基本规范》(简称《规范》)，如今遇到执行难的问题。7月1日，原本是五部委《规范》正式实施的日子。但是据称这一规范推迟了半年，延期到2010年1月1日再实施，2010年年底，执行企业要出具内控自我评价报告。执行范围也缩小到境外上市公司，之后再扩大到国内上市公司及其它大型企业。据专家分析，延期的原因，一是企业的准备工作还不足，有大量工作要做;二是企业执行成本比较大，在经济危机时期形势尤其严峻。

　　尽管《规范》不等同于IT合规，但是跟IT合规有着密切的联系。《规范》第七条指出， 企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。　　第四十一条指出，企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

　　由此可见，对国内不少企业来说，IT合规成了迫在眉睫的事情。无论《规范》何时执行，中国企业的IT合规都是一个必修课。如何高效地实现IT合规，成为管理者关心的话题。

　　对此，RSA负责全球产品管理与策略的副总裁Sam Curry介绍了一种简化IT合规、降低合规成本的思路和途径，为当前“中国版萨班斯”执行难的状况提供了一个有益的启示。

RSA全球产品管理与策略副总裁Sam Curry

　　一套方案应对多种法规

　　除了《规范》以外，企业可能还要面对很多管理规定，例如公安部、国家保密局、国家密码管理局、国务院信息工作办公室四部委下发的《信息安全等级保护管理办法》。对于境外上市的企业来说，要受到更多国际法规约束。Sam Curry提出，根据国外的经验，企业有大量的法规和政府需要遵从，例如支付卡行业数据安全标准(PCI DSS)、内部政策、合作伙伴政策、数据隐私法规、巴塞尔II规则等。传统的方法是，逐个满足这些法规的要求。但是法规层出不穷，企业会疲于应对，而且成本高昂。根据Gartner的估计，如果企业单个地解决IT合规的问题，由于重复劳动带来的开销超过150%。

传统方式造成大量重复劳动

　　Sam Curry同时分析到，每个产品其实都具有自己的功能，但它所具有的功能某种程度上和其他产品具备的功能具有类似性。都受到其背后安全政策推动，无论在形成政策以及做决策、审计和执行过程中都是一样的。所以RSA要做的是把这些功能尽可能从每个不同的产品中拿出来。

　　“假设在point Tool模式下，如果你想控制整个信息环境就要到三个不同工具点上进行信息控制，比如要在SIEM、DLP、Email Encypt上进行。这样做的结果是会从三个系统上获得三个不同的报告。与此相对照，我们有一个单一整体性解决办法，可以用一个合适的产品在整个生命周期当中定义政策，从技术角度来说，如果这么做也会产生一些影响。当然我讲到了一些非常理想的状态，但要实现真正理想的状态要花很长时间。在此之前我们只需要从这里获得一些非常小的好处，就已经能有很大的改善。首先要加入单一的、集中化政策管理系统。在另外一个地方，我们做决策时，不再依赖于今天这些非常复杂的，多种多样的工具，而是依赖于我们所可能面临的那些风险以及我们所具有的信任程度来做出决策。”

通用框架满足所有法规要求

　　采用RSA的新思路，在底层实施防数据泄漏，然后对敏感数据加密，对密钥进行统一管理，再往上分别进行访问控制、身份认证、监控/报告/审计。这一套框架适用于所有的法规。接受检查时，根据不同法规提供相应的报告就可以了。这样大大减少重复劳动，可以快速地满足新法规的要求，而且降低合规成本。

　　产品遵循着集中化原则

　　Sam Curry强调说“第一部分是认证产品，为认证我们要建立起健全正确的层面。第二部分是访问管理产品，我们与微软这类公司合作，同时建立起身份生命周期管理及类似产品。第三部分数据安全方面有DLP产品，还有数字版权管理产品。我们会将这些联合起来进行企业管理。我们把加密、权利管理方面的产品结合起来做成密钥管理产品。在基础设施这部分，我们有自己的enVision产品，可以集中起来，做政策监控和审计报告。我们做产品时都遵循着集中化原则。

　　在整个系统中，首先为所有产品建立起中央控制系统，也要更为广泛地采用DLP分类以及基于风险健全的产品。同时还要采用可适应性健全产品和DLP健全方式，并尽可能多地把它嵌入系统中。此外要把我们所有产品都和enVision产品解决方案结合起来，我们已经和微软、思科这类厂商合作，把我们的产品嵌入他们的系统中，还有其他的合作厂商的名字会不断公布。我们要把一些解决信息嵌入到管理系统中，这样你就能这样它会为你的管理带来什么样的价值。

五个构建块及RSA相应的解决方案

　　我们希望上述讲到的产品可以从初始就内置到系统中，而不是后期再加上。我们现在已经在跟微软、思科公司进行这方面的合作，4月份向公众公布了RSA的Share计划，会把三个不同版本的软件提供给系统使用。我们拥有超过500名技术合作伙伴，与我们进行技术集成，所以我们将充分利用到这方面的优势。我们正积极参与各种有利于推进我们工作的标准化活动。在这个过程中我们将不断创建一些标准。”

　　记者：问两个比较简单的问题，RSA这套新思路，有没有在用户节约成本这个关键问题上，帮用户降低多少费用，这个费用有没有比例?

　　Sam Curry：您这个问题很简单，但要让我给出一个准确的数字来总结很难做到，这要花一段时间看最后的降低幅度。当然最大部分成本的节约应该来自于非常小的本地化公司，他们可以很大程度上提高效率、节约成本，但这种好处会逐渐扩散到其他大客户那里。

　　记者：最近因为成本问题，PCI规范和内控都在做相应的调整，您认为这种调整是规范本身有问题还是出于成本控制的需要?

　　Sam Curry：我觉得您的思路是对的，对于任何法规、规范都有成熟度曲线要遵循。一开始肯定是非常简单的指导性原则或者规则，之后简单的指导原则会逐渐演化为要求非常严格的要求和法规。第三个阶段才会看到，如果你不依从这些法规，遭受的罚款将会增长，最后才会发展到很具体的阶段，对某一个产品来说，最终要遵循一个上限和最高的要求是什么。之所以会沿着这样的曲线发展以及出台法规是因为现在有一些行为没有按法规行事，就像你想煮开水要逐渐加大火力才能达到沸点。如果行业都能自律就没必要出台法规了，但这种情况是非常罕见的。一旦有了法规就表明，至少这个行业的相关人士应该按照最低标准进行工作，如果连最低的法规标准都没有满足和达到，就会相应被罚款，并被严格规范。

　　记者：众所周知做合规性企业都非常注重产品的本地化，就您的经验来看，中国用户和美国客户在做合规性上有什么区别，能否介绍一个国内客户使用合规产品的成功案例?

　　Sam Curry：做合规产品的压力就像是人们要丢掉自己的一份工作所面临的压力一样，在美国如果没有合规，就会面临很重的罚款。还有一些宏观经济层面的影响，如果今年公司亏损了10%，但增长保持了百分之百，或者整体宏观经济是百分之百增长的情况，你不会担心10%的增长，如果你的亏损达到了10%，但整体后来经济的增长只有5%，你就会非常关注这个损失。现在美国就是这样的情形，现在经济情况非常不好，每一点的损失都是人们非常关心的。中国现在在合规方面的工作，就像美国推萨班斯法案时所经历的情形是一样的。就经济层面来说，我觉得现在的情形也不是特别好，但肯定不像美国在过去8个月所经历的情形那么糟，我觉得美国公司有着非常迫切的需要实现法规的依从性，当然中国公司也有这方面的需求。

　　记者：美国的萨班斯法和中国的企业内控有很多不同，RSA如何在部署方案时会有哪些不同?对中国用户最后出合规性报告是否还需要再次开发?

　　Sam Curry：我觉得这要看情况而定，首先中国行业或者中国的相应部门对新出台的法规有什么样的反映。我想传递的一条信息是我的确认为美国的萨班斯法案和中国企业内控制度是不一样的。我们的企业宗旨是让IT人员无论面临什么样的规范都可以做出真正的反映。我们应该花很少的精力来辨别到底要符合的规范是美国的萨班斯法还是中国企业内控规范或其他法规，更多把这个工作让我们的IT系统自己做出分辨。比如说在我的介绍中曾经给大家看过一张片子，上面密密麻麻写了很多法规，其实我根本就没有想过，而且我也坚决认为，这些法规都是不同的。我们应该能够转变整个IT行业，而且为每一个都配备一个模块，让它很容易发现所要符合的法规到底是什么。

　　记者：现在与思科、微软的合作达到哪个阶段，大家采取什么形式合作?反馈怎么样?

　　Sam Curry：这个问题非常好，目前我们的确收到很多最终用户反馈，但现在还没有在市场上把我们的产品推出去。微软现在其实已经制订出一个发展路线图，在他们的哪个产品或者哪个系统中会部署我们的哪个产品。相信我们第一批配套产品出货将在年底。思科应该是一个比较新的合作伙伴，他们将从IronPort产品开始。以后我们还会与其他的厂商合作。

　　记者：今后与厂商的合作是今后我们的发展重心吗?安全厂商如何在其中保证自己最大的优势?

　　Sam Curry：这两个问题都非常好，答案是肯定的，我们会做更多合作工作，虽然它不是我们唯一要做的工作。我们现在在投资两方面的工作，首先会以一种完全不同的方式来考虑与知识产权相关的问题。我们一些竞争对手也是非常优秀的公司，之前他们认为核心技术都是自己最为宝贵的资产，我也曾经为这些公司工作过，他们大可以继续保持这样的想法，在未来的二十天中进行竞争，但最终现在权在客户。我们的确要建立起很多智能，并以此进行竞争。它的好处就在于，作为竞争对手，他们可以参与到整个竞争过程中，通过自己的技术解决实际的问题。如果他们愿意参与到这样的竞争中，我们非常欢迎。欢迎他们通过自己的技术实力给整个客户带来价值。

　　记者：RSA跟微软和思科都在谈合作，RSA在选择这类合作伙伴时有没有什么标准?

　　Sam Curry：我们的确有标准，因为资源有限，不可能与无限量的合作伙伴合作。但是我们的目标非常明确也很直观，就是让我们的技术尽可能延伸到各个地方。所以首先第一个标准，要和我们合作的公司是否与我们具备同样的想法。第二个标准，这些要合作的公司规模是否足够大，足够影响整个IT系统。我们的资源会从最大到最小的方式进行运作。当然在建立生态系统的过程中，还会有越来越多合作伙伴会加入我们，我们对此持开放态度，只要他们跟我们持有相同的想法，我们会关注他们。

　　记者：我们的内控法拖到明年1月1日，明年1月1日还会有很多企业根据国家法律做内控变动，由人控变成机控，Sam对企业有什么没有建议?

　　Sam Curry：当然我们其实有一个产品叫enVision，可以帮助他们实现合规。我试着回答这个问题时尽可能少地宣传我们这个产品。IT系统应该是服务于我们的，首先我们应该给出一些指令，指示IT系统如何做，其次IT系统要回馈我们，它是如何完成的。实际情况如果你从产生报告或者做审计开始，比从给出指令开始聪明得多。自动化会使系统变得更可靠，也使这个系统变得更具可扩展性，也更容易进行复制。所以最重要的是跟相关咨询者进行沟通，让他们知道你们的目标是什么，对你们来说怎么做才是最合适的。我以前也碰到过类似的情形，在此通过各位提醒广大读者。你要保证的是做完报告后给出的IT指令是非常正确的，因此要使用恰当、正确的工具，而且这些工具是可以被修改的。这只是目标之一，还有许多其他的目标也需要实现。因为最终的目标就是要让IT系统服务于整个公司。

　　记者：在RSA提倡建立安全生态系统概念中，谁将是领导者?是那些实力非常雄厚的基础设施厂商还是对安全知识了解非常深入的安全厂商?

　　Sam Curry：当然我希望不要是“非此即彼”的关系，最好是我们这样的安全公司和拥有先进技术的基础设施厂商共同领导。在过去的历史中，曾经有过很多现象，那些拥有非常好的技术公司，实际上最后很多都以失败告终，而那些真正的赢家可以切实听取客户意见，做出反映满足客户需求的公司。但无论怎样，未来五年中我们都可以看到许多好玩的事出现。